論文の概要: Whisper Leak: a side-channel attack on Large Language Models
- arxiv url: http://arxiv.org/abs/2511.03675v1
- Date: Wed, 05 Nov 2025 17:47:46 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-11-06 18:19:32.509806
- Title: Whisper Leak: a side-channel attack on Large Language Models
- Title(参考訳): Whisper Leak: 大規模言語モデルに対するサイドチャネル攻撃
- Authors: Geoff McDonald, Jonathan Bar Or,
- Abstract要約: 本稿では,暗号化LLMトラフィックからトピックを推測するサイドチャネル攻撃であるWhisper Leakを紹介する。
TLS暗号化によるコンテンツ保護にもかかわらず、これらのメタデータパターンはトピック分類を可能にするのに十分な情報をリークする。
多くのモデルでは、"マネーロンダリング"のようなセンシティブなトピックを特定しながら、ターゲットの会話の5~20%を回復する。
- 参考スコア(独自算出の注目度): 0.2291770711277359
- License: http://creativecommons.org/publicdomain/zero/1.0/
- Abstract: Large Language Models (LLMs) are increasingly deployed in sensitive domains including healthcare, legal services, and confidential communications, where privacy is paramount. This paper introduces Whisper Leak, a side-channel attack that infers user prompt topics from encrypted LLM traffic by analyzing packet size and timing patterns in streaming responses. Despite TLS encryption protecting content, these metadata patterns leak sufficient information to enable topic classification. We demonstrate the attack across 28 popular LLMs from major providers, achieving near-perfect classification (often >98% AUPRC) and high precision even at extreme class imbalance (10,000:1 noise-to-target ratio). For many models, we achieve 100% precision in identifying sensitive topics like "money laundering" while recovering 5-20% of target conversations. This industry-wide vulnerability poses significant risks for users under network surveillance by ISPs, governments, or local adversaries. We evaluate three mitigation strategies - random padding, token batching, and packet injection - finding that while each reduces attack effectiveness, none provides complete protection. Through responsible disclosure, we have collaborated with providers to implement initial countermeasures. Our findings underscore the need for LLM providers to address metadata leakage as AI systems handle increasingly sensitive information.
- Abstract(参考訳): 大規模言語モデル(LLM)は、プライバシが最重要である医療、法律サービス、機密通信など、機密性の高いドメインにますますデプロイされている。
本稿では,ストリーミング応答におけるパケットサイズとタイミングパターンを解析することにより,暗号化LLMトラフィックからトピックを推論するサイドチャネル攻撃であるWhisper Leakを紹介する。
TLS暗号化によるコンテンツ保護にもかかわらず、これらのメタデータパターンはトピック分類を可能にするのに十分な情報をリークする。
主要プロバイダから28のLLMを対象とする攻撃を実証し, 極端クラス不均衡(10,000:1ノイズ・ツー・ターゲット比)においても, ほぼ完全な分類(しばしば98% AUPRC)と高精度化を実現した。
多くのモデルでは、"マネーロンダリング"のようなセンシティブなトピックを特定しながら、ターゲットの会話の5~20%を回復する。
この業界全体での脆弱性は、ISP、政府、あるいは地元の敵によるネットワーク監視の下でのユーザにとって重大なリスクをもたらす。
ランダムパディング、トークンバッチ、パケット注入の3つの緩和戦略を評価し、それぞれが攻撃効率を低下させるが、完全な保護は提供しない。
責任のある開示を通じて、私たちは提供者と協力し、初期対策を実施しました。
我々の発見は、AIシステムがますますセンシティブな情報を処理しているため、メタデータの漏洩に対処するLLMプロバイダの必要性を浮き彫りにしている。
関連論文リスト
- Friend or Foe: How LLMs' Safety Mind Gets Fooled by Intent Shift Attack [53.34204977366491]
大きな言語モデル(LLM)は、印象的な機能にもかかわらず、ジェイルブレイク攻撃に対して脆弱なままである。
本稿では,攻撃意図について LLM を混乱させる ISA (Intent Shift Attack) を提案する。
私たちのアプローチでは、元の要求に対して最小限の編集しか必要とせず、自然で、可読性があり、一見無害なプロンプトをもたらす。
論文 参考訳(メタデータ) (2025-11-01T13:44:42Z) - NetEcho: From Real-World Streaming Side-Channels to Full LLM Conversation Recovery [21.94698636997114]
NetEchoは、暗号化されたネットワークトラフィックから直接会話全体を復元するように設計されている。
各会話の$sim$70%の情報を復元し、現在の防御機構に限界を示せる。
論文 参考訳(メタデータ) (2025-10-29T12:47:36Z) - SASER: Stego attacks on open-source LLMs [14.7664610166861]
SASERはオープンソースの大規模言語モデル(LLM)に対する最初のステゴ攻撃である
ターゲットパラメータの特定、ペイロードの埋め込み、トリガのインジェクション、ペイロードのシーケンシャル実行を通じて影響を緩和する。
LlaMA2-7BとChatGLM3-6Bを量子化せずに実験したところ、SASERは既存のステゴ攻撃を最大98.1%上回った。
論文 参考訳(メタデータ) (2025-10-12T07:33:56Z) - Multi-Stage Prompt Inference Attacks on Enterprise LLM Systems [18.039444159491733]
エンタープライズ環境にデプロイされる大規模言語モデル(LLM)は、新たなセキュリティ課題に直面している。
敵同士が連携して、徐々に機密データを抽出するように仕向ける。
企業LLMコンテキストにおける多段階的プロンプト推論攻撃の包括的研究について述べる。
論文 参考訳(メタデータ) (2025-07-21T13:38:12Z) - LiteLMGuard: Seamless and Lightweight On-Device Prompt Filtering for Safeguarding Small Language Models against Quantization-induced Risks and Vulnerabilities [1.460362586787935]
LiteLMGuard (LLMG) は、量子化されたSLMのリアルタイムかつ迅速な防御を提供する。
LLMGは、深層学習(DL)に基づく即時応答可能性分類タスクとしてプロンプトフィルタリングを形式化する。
LLMGは、ダイレクトインストラクションとジェイルブレイク攻撃戦略を含む有害なプロンプトの87%以上を防御している。
論文 参考訳(メタデータ) (2025-05-08T19:58:41Z) - Commercial LLM Agents Are Already Vulnerable to Simple Yet Dangerous Attacks [88.84977282952602]
最近のMLセキュリティ文献は、整列型大規模言語モデル(LLM)に対する攻撃に焦点を当てている。
本稿では,LLMエージェントに特有のセキュリティとプライバシの脆弱性を分析する。
我々は、人気のあるオープンソースおよび商用エージェントに対する一連の実証的な攻撃を行い、その脆弱性の即時的な影響を実証した。
論文 参考訳(メタデータ) (2025-02-12T17:19:36Z) - Prompt Leakage effect and defense strategies for multi-turn LLM interactions [95.33778028192593]
システムプロンプトの漏洩は知的財産を侵害し、攻撃者に対する敵の偵察として機能する可能性がある。
我々は, LLM sycophancy 効果を利用して, 平均攻撃成功率 (ASR) を17.7%から86.2%に高めるユニークな脅威モデルを構築した。
7つのブラックボックス防衛戦略の緩和効果と、漏洩防止のためのオープンソースモデルを微調整する。
論文 参考訳(メタデータ) (2024-04-24T23:39:58Z) - A Survey on Detection of LLMs-Generated Content [97.87912800179531]
LLMの生成する内容を検出する能力が最重要視されている。
既存の検出戦略とベンチマークの詳細な概要を提供する。
また、様々な攻撃から守るための多面的アプローチの必要性を示唆する。
論文 参考訳(メタデータ) (2023-10-24T09:10:26Z) - Hiding in Plain Sight: Disguising Data Stealing Attacks in Federated Learning [1.9374282535132377]
悪意のあるサーバ(MS)攻撃のクライアント側検出性を初めて検討した。
これらの要件を満たす新しいアタックフレームワークであるSEERを提案する。
SEERは,最大512のバッチサイズであっても,現実的なネットワークの勾配からユーザデータを盗むことができることを示す。
論文 参考訳(メタデータ) (2023-06-05T16:29:54Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。