Ataque Whisper Leak revela temas de conversas com IA mesmo sob criptografia, apontam pesquisadores

Pesquisadores da Microsoft demonstraram que a simples criptografia não basta para ocultar o teor de diálogos com assistentes de inteligência artificial. O grupo descreveu um método de espionagem, batizado de Whisper Leak, capaz de apontar o assunto tratado entre usuário e chatbot sem descriptografar uma única palavra.

Quem descobriu, o que foi encontrado e quando

O trabalho é resultado de investigação conduzida por especialistas ligados à Microsoft. A publicação das conclusões ocorreu em 11 de novembro de 2025 e apresenta o Whisper Leak como um ataque de canal lateral direcionado a serviços de linguagem natural, entre eles ChatGPT, Claude, Gemini, Llama, Mistral e outros.

Como a técnica consegue driblar a proteção de ponta a ponta

Na arquitetura tradicional de comunicação segura, a camada TLS garante que o conteúdo trafegue embaralhado entre o dispositivo do usuário e o servidor de IA. O Whisper Leak não tenta violar essa camada. Em vez disso, monitora dois elementos que permanecem visíveis: tamanho dos pacotes e intervalos de envio.

Chatbots modernos trabalham em regime de streaming. Cada palavra — ou tecnicamente, cada token — é gerada e transmitida tão logo o modelo a produz. Consequentemente, surge uma sequência contínua de pacotes pequenos cujas dimensões variam conforme o token. Ainda que o texto esteja cifrado, o número de bytes de cada pacote não é ofuscado, tampouco o momento exato em que ele deixa o servidor.

Fases do ataque em detalhes

Os pesquisadores mapearam todas as etapas necessárias para transformar esse padrão em ferramenta de vigilância:

1. Coleta de amostras: milhares de conversas foram realizadas sobre temas previamente definidos, além de diálogos genéricos para controle. Somente dados de tempo e tamanho de pacotes foram armazenados.

2. Treinamento de modelos de machine learning: algoritmos analisaram as séries temporais obtidas e passaram a reconhecer as “impressões digitais” associadas a tópicos, como lavagem de dinheiro.

3. Identificação em ambiente real: após o aprendizado, o sistema foi colocado para observar 10.000 conexões simultâneas em que apenas uma continha o assunto sensível. O resultado relatado foi 100% de acerto, sem falsos positivos, mesmo nesse cenário disperso.

Precisão alcançada e amplitude dos testes

Durante experimentação controlada, o Whisper Leak superou 98% de exatidão para detectar diálogos relacionados à lavagem de dinheiro. Ao todo, 28 modelos de linguagem foram avaliados; 17 deles mostraram vulnerabilidade com índice igual ou superior a 98% para o invasor. O estudo não cita diferenças significativas entre provedores comerciais e projetos de código aberto: o fator decisivo é o envio token a token.

Cenários de ameaça considerados

A investigação enfatiza perigos que extrapolam o contexto acadêmico. Um eventual regime autoritário poderia vigiar conexões nacionais, filtrando grandes volumes de tráfego para localizar discussões sobre protestos, eleições ou jornalismo investigativo. Profissionais que lidam com dados sigilosos — advogados, médicos, repórteres — também correm risco de ter interesses estratégicos revelados.

Para que o ataque seja viável, o adversário precisa observar o fluxo de rede entre usuário e servidor. Isso inclui provedores de internet, administradores de redes corporativas ou educacionais, pessoas conectadas ao mesmo Wi-Fi público e Estados com acesso à infraestrutura de backbone.

Possibilidade de ações coordenadas

O estudo indica que o código malicioso pode permanecer inativo até instantes predeterminados. Assim, um atacante pode sincronizar a espionagem com eventos econômicos ou políticos, analisando tráfego somente em janelas críticas, como abertura de mercado ou período eleitoral. A funcionalidade se baseia em um gatilho temporal embutido em sites comprometidos, reduzindo chance de detecção precoce.

Por que o streaming é o ponto fraco

O modo streaming existe para melhorar experiência do usuário: respostas começam a aparecer antes que o modelo finalize todo o raciocínio. Entretanto, esse ganho de velocidade gera um fluxo rítmico de pacotes cujo perfil varia conforme o conteúdo. Palavras curtas e longas compõem sequências únicas, e temas diferentes tendem a usar vocabulário distinto, reforçando a assinatura observável. Caso o servidor aguarde a conclusão completa da resposta para enviá-la de uma vez, a cadeia homogênea de dados mascara variações e neutraliza o Whisper Leak.

Ações corretivas adotadas pelos principais provedores

Após notificação responsável, algumas empresas implementaram barreiras adicionais. OpenAI, Microsoft Azure, Mistral e xAI divulgaram mudanças no formato de entrega das respostas. A principal medida é inserir blocos extras de texto aleatório e de tamanho variável. Esses caracteres adicionais rompem o mapeamento direto entre tokens gerados e bytes transmitidos, diluindo a impressão digital reconhecida pelo atacante.

Apesar dos avanços, outros fornecedores não responderam ou preferiram aguardar. Isso significa que parte considerável dos modelos disponíveis segue exposta ao método descrito.

Recomendações práticas para o usuário

Enquanto a indústria não padroniza contramedidas, usuários podem adotar cuidados complementares:

• Usar VPN — o túnel virtual criptografa todo o tráfego antes que ele alcance o provedor, ocultando tamanho e intervalo de pacotes individuais em meio a um fluxo agregado.

• Evitar redes abertas — Wi-Fi de cafés, aeroportos e hotéis possibilita que qualquer participante capture pacotes em trânsito.

• Desativar streaming se o serviço permitir — a resposta enviada em bloco elimina o padrão característico explorado pelo Whisper Leak.

• Acompanhar boletins de segurança — atualizações de servidor podem modificar rapidamente o nível de proteção oferecido.

Consequências para o ecossistema de IA

A descoberta do Whisper Leak expõe um dilema entre conveniência e privacidade. Funcionalidades projetadas para tornar a conversa mais fluida criam brecha para monitoramento silencioso. O episódio também reforça que criptografia, embora essencial, não garante sigilo absoluto contra todos os vetores de ataque.

A resposta inicial de parte dos provedores demonstra viabilidade de correção, mas evidencia a necessidade de adoção ampla. Até que a proteção se torne padrão, a exposição permanece significativa para quem trata de temas sensíveis em ambientes vulneráveis.