الذكاء الاصطناعي
يعهد الناس إلى الشبكات العصبية بأهم شؤونهم، بل حتى أكثرها خصوصية: التأكد من التشخيصات الطبية، أو طلب نصيحة عاطفية، أو اللجوء إلى الذكاء الاصطناعي بدلاً من طبيب نفسي. وهناك بالفعل حالات معروفة للتخطيط لعمليات انتحارية، وهجمات في العالم الحقيقي، وأفعال خطيرة أخرى سهلتها نماذج اللغة الكبيرة (LLMs). ونتيجة لذلك، فإن المحادثات الخاصة بين البشر والذكاء الاصطناعي تجذب اهتمامًا متزايدًا من الحكومات والشركات والأفراد الفضوليين.
لذلك، لن يكون هناك نقص في الأفراد الراغبين في تنفيذ هجوم Whisper Leak على أرض الواقع. وهو يسمح، في نهاية المطاف، بتحديد الموضوع العام للمحادثة مع الشبكة العصبية دون التدخل في حركة مرور البيانات على الإطلاق – ببساطة عن طريق تحليل أنماط توقيت إرسال واستقبال حزم البيانات المشفرة عبر الشبكة إلى خادم الذكاء الاصطناعي. ومع ذلك، لا يزال بإمكانك الحفاظ على خصوصية محادثاتك؛ وستجد أدناه المزيد عن هذا الموضوع…
كيف يعمل هجوم Whisper Leak
تُنشئ جميع نماذج اللغة مُخرجاتها تدريجيًا. ويظهر هذا للمستخدم كما لو أن شخصًا على الطرف الآخر يكتب كلمة بكلمة. لكن في الواقع، لا تعمل نماذج اللغة بالأحرف أو الكلمات الفردية، بل تعمل عن طريق”الوحدات الرمزية” – وهي بمثابة وحدة دلالية لنماذج اللغة الكبيرة، ويظهر رد الذكاء الاصطناعي على الشاشة فور توليد هذه الوحدات الرمزية. ويُعرف وضع الإخراج هذا باسم “التدفق”، ويتضح أنه يمكن استنتاج موضوع المحادثة عن طريق قياس خصائص هذا التدفق. وقد سبق أن تناولنا جهدًا بحثيًا نجح في إعادة بناء نص المحادثة مع الروبوت بدقة معقولة من خلال تحليل طول كل وحدة رمزية أرسلها.
مضى الباحثون في Microsoft أبعد من ذلك، حيث حللوا خصائص الاستجابة من 30 نموذجًا مختلفًا للذكاء الاصطناعي مقابل 11,800 مُطالبة. واستُخدمت مائة مُطالبة كاختلافات على السؤال “هل غسيل الأموال قانوني؟”، بينما كانت المطالبات المتبقية عشوائية وتغطي مواضيع مختلفة تمامًا.
من خلال مقارنة تأخير استجابة الخادم، وحجم الحزمة، والعدد الإجمالي للحزم، تمكن الباحثون من الفصل بدقة عالية جدًا بين الاستفسارات “الخطيرة” والاستفسارات “العادية”. واستخدموا كذلك شبكات عصبية لأغراض التحليل – لكنها ليست نماذج لغة كبيرة. وتراوحت دقة تحديد المواضيع “الخطيرة” بين 71% و100%، اعتمادًا على النموذج الذي خضع للدراسة، حيث تجاوزت الدقة 97% في 19 نموذجًا من أصل 30 نموذجًا.
أجرى الباحثون بعد ذلك تجربة أكثر تعقيدًا وواقعية. واختبروا مجموعة بيانات مكونة من 10,000 محادثة عشوائية، حيث ركزت واحدة فقط منها على الموضوع المختار.
كانت النتائج أكثر تباينًا، لكن الهجوم المحاكي ظل ناجحًا للغاية. وبالنسبة لنماذج مثل Deepseek-r1 وGroq-llama-4 وgpt-4o-mini وxai-grok-2 و-3، بالإضافة إلى Mistral-small وMistral-large، تمكن الباحثون من تمييز الموضوع المستهدف في 50% من تجاربهم مع عدم وجود أي “إيجابيات كاذبة” على الإطلاق.
بالنسبة لنماذج Alibaba-Qwen2.5 وLambda-llama-3.1 وgpt-4.1 وgpt-o1-mini وGroq-llama-4 وDeepseek-v3-chat، انخفض معدل نجاح الاكتشاف إلى 20% – مع استمرار غياب “الإيجابيات الكاذبة”. وفي الوقت نفسه، بالنسبة لنماذج Gemini 2.5 pro وAnthropic-Claude-3-haiku وgpt-4o-mini، لم ينجح اكتشاف المحادثات “الخطيرة” على خوادم Microsoft إلا في 5% من الحالات فقط. وكان معدل النجاح للنماذج الأخرى التي اُختبرت أقل من ذلك.
هناك نقطة أساسية يجب أخذها في الاعتبار هي أن النتائج لا تعتمد فقط على نموذج الذكاء الاصطناعي المحدد، بل تعتمد أيضاً على تكوين الخادم الذي يعمل عليه النموذج. ولذلك، قد يُظهر نموذج OpenAI نفسه نتائج مختلفة في البنية التحتية لدى Microsoft مقارنة بخوادم OpenAI الخاصة بها. وينطبق الشيء نفسه على جميع النماذج مفتوحة المصدر.
الآثار العملية: ما متطلبات عمل هجوم Whisper Leak؟
إذا كان لدى مهاجم يمتلك موارد كبيرة إمكانية الوصول إلى حركة مرور شبكة ضحاياه – على سبيل المثال، عن طريق التحكم في جهاز توجيه لدى مزود خدمة الإنترنت (ISP) أو داخل إحدى المؤسسات – يمكنه اكتشاف نسبة كبيرة من المحادثات حول مواضيع اهتمامه، وذلك بمجرد قياس حركة المرور المرسلة إلى خوادم المساعد الذي يعمل بالذكاء الاصطناعي، مع الحفاظ على معدل خطأ منخفض جدًا. ومع ذلك، هذا لا يعني الاكتشاف التلقائي لأي موضوع محادثة ممكن. ويجب على المهاجم أولاً تدريب أنظمة الاكتشاف الخاصة به على مواضيع محددة – ولن يحدد النموذج سوى تلك المواضيع.
لا يمكن اعتبار هذا التهديد نظريًا بحتًا. ومن الممكن أن تراقب وكالات إنفاذ القانون، على سبيل المثال، الاستفسارات المتعلقة بتصنيع الأسلحة أو المخدرات، بينما قد تتعقب الشركات استفسارات موظفيها المتعلقة بالبحث عن وظيفة. ومع ذلك، فإن استخدام هذه التقنية لإجراء مراقبة جماعية عبر مئات أو آلاف المواضيع ليس مجديًا – لأنه يتطلب ببساطة كثافة كبيرة في الموارد.
استجابة لهذا البحث، أجرت بعض خدمات الذكاء الاصطناعي الشائعة تعديلات على خوارزميات الخوادم الخاصة بها لجعل تنفيذ هذا الهجوم أكثر صعوبة.
كيف تحمي نفسك من هجوم Whisper Leak
تقع المسؤولية الأساسية للدفاع ضد هذا الهجوم على عاتق مزودي نماذج الذكاء الاصطناعي. وهم بحاجة إلى تقديم النص المولَّد بطريقة تمنع استنتاج الموضوع من أنماط توليد الوحدات الرمزية. وفي أعقاب بحث Microsoft، أفادت شركات شملت OpenAI وMistral وMicrosoft Azure وxAI أنها تتصدى للتهديد. وهي الآن تضيف كمية صغيرة من الحشو غير المرئي إلى الحزم التي ترسلها الشبكة العصبية، مما يعطل خوارزميات Whisper Leak. ومن الجدير بالذكر أن نماذج Anthropic كانت أقل عرضة بطبيعتها لهذا الهجوم منذ البداية.
إذا كنت تستخدم نموذجًا و/أو خوادم لا يزال هجوم Whisper Leak يمثل مصدر قلق بشأنها، فيمكنك إما التبديل إلى مزود خدمة أقل عرضة للهجوم أو اتخاذ احتياطات إضافية. وهذه الإجراءات ذات صلة أيضًا بأي شخص يسعى للحماية ضد هجمات مستقبلية من هذا النوع:
- استخدام نماذج الذكاء الاصطناعي المحلية للمواضيع شديدة الحساسية، ويمكنك اتباع دليلنا.
- تكوين النموذج لاستخدام الإخراج غير المتدفق حيثما كان ذلك ممكنًا بحيث يتم تسليم الاستجابة بأكملها دفعة واحدة بدلاً من تسليمها كلمة بكلمة.
- تجنب مناقشة المواضيع الحساسة مع روبوتات الدردشة عند الاتصال بشبكات غير موثوقة.
- استخدام مزود شبكة VPN قوي وموثوق للتمتع بمزيد من أمان الاتصال.
- تذكر أن النقطة الأكثر ترجيحًا لتسريب أي معلومات محادثة هي جهاز الكمبيوتر الخاص بك. لذلك، من الضروري حماية هذا الجهاز من برامج التجسس باستخدام حل أمان موثوق يعمل على جهاز الكمبيوتر وجميع هواتفك الذكية.
فيما يلي بعض المقالات الأخرى التي تشرح ما المخاطر الإضافية المرتبطة باستخدام الذكاء الاصطناعي، وكيفية تهيئة أدوات الذكاء الاصطناعي بشكل صحيح:
- انتحال الشريط الجانبي للذكاء الاصطناعي: هجوم جديد يستهدف مستعرضات الذكاء الاصطناعي
- إيجابيات وسلبيات المستعرضات المدعومة بالذكاء الاصطناعي
- كيف يستطيع المخترقون قراءة محادثاتك باستخدام ChatGPT أو Microsoft Copilot
- إعدادات الخصوصية في ChatGPT
- DeepSeek: تكوين الخصوصية ونشر إصدار محلي
النصائح