Os assistentes de IA, que se tornaram onipresentes no cenário digital moderno, enfrentam uma nova ameaça que coloca em risco a privacidade e segurança das conversas privadas de seus usuários. Recentemente, pesquisadores descobriram uma vulnerabilidade significativa nos sistemas de criptografia utilizados pela maioria desses assistentes, com a exceção do Google Gemini. Esta brecha permite que hackers, através de um ataque sofisticado, decifrem as respostas dadas pelos assistentes com uma precisão alarmante, expondo assim informações sensíveis que vão desde consultas pessoais até segredos comerciais.
Desde que os assistentes de IA se popularizaram, eles têm sido confidenciados com uma gama extensa de informações privadas. Os usuários recorrem a esses assistentes para discutir tópicos que variam desde questões íntimas de saúde até assuntos corporativos delicados. Fornecedores desses serviços, cientes da natureza sensível dessas interações, adotam medidas como a criptografia para proteger a privacidade dos usuários. No entanto, a nova técnica de ataque desenvolvida explora um canal lateral — uma vulnerabilidade até então desconhecida — presente em todos os principais assistentes de IA, exceto o Google Gemini, capaz de inferir o conteúdo de 55% de todas as respostas interceptadas com uma precisão notável.
Como utilizam a vulnerabilidade
Este ataque funciona observando o tamanho dos tokens — unidades de informação que representam palavras ou conceitos — transmitidos entre o assistente e o usuário, mostra o Ars Technica. Apesar da transmissão criptografada, o tamanho desses tokens revela informações suficientes para que os hackers possam deduzir o texto das respostas. Esse processo é refinado por meio de grandes modelos de linguagem treinados especificamente para esta tarefa, tornando possível decifrar respostas com uma precisão perfeita de palavras em 29% dos casos.
Yisroel Mirsky, chefe do Laboratório de Pesquisa Ofensiva de IA da Universidade Ben-Gurion, aponta que este ataque é passivo e pode ocorrer sem o conhecimento da OpenAI ou dos usuários, tornando qualquer pessoa na mesma rede Wi-Fi ou LAN um potencial espião. Além disso, a natureza dinâmica da transmissão de tokens, característica projetada para melhorar a experiência do usuário, inadvertidamente expõe um canal lateral que facilita a interceptação e decifração das mensagens.
A metodologia do ataque consiste em analisar a sequência de comprimentos dos tokens para inferir as possíveis frases ou sentenças. Esse processo é aprimorado por um ataque de inferência simbólica, que executa os dados brutos através de dois LLMs treinados para decifrar o texto com base na sequência de tokens. Este método revela uma falha crítica na forma como a criptografia é aplicada, deixando as conversas privadas vulneráveis.
O canal lateral do comprimento do token representa um desafio único, pois o ataque não depende de vazamentos de informação em nível de caractere, comum em ataques tradicionais de canal lateral. Em vez disso, a técnica se concentra em deduzir o texto completo a partir da sequência de comprimentos de token, uma tarefa complexa devido à vasta quantidade de sentenças gramaticalmente corretas que podem corresponder a uma única sequência de tokens.
A pesquisa conduzida por Mirsky e sua equipe não apenas expõe uma vulnerabilidade significativa nos serviços de assistentes de IA, mas também destaca a necessidade urgente de revisar e fortalecer os mecanismos de criptografia e segurança. A proteção da privacidade das conversas privadas em assistentes de IA deve ser uma prioridade máxima, especialmente em uma era onde a dependência desses serviços é cada vez maior.
