黑客如何通过 ChatGPT 或 Microsoft Copilot 读取您的聊天记录

进攻性人工智能实验室的以色列研究人员发表了一篇论文描述了一种恢复截获的人工智能聊天机器人消息文本的方法。今天我们将看看这种攻击是如何运作的，以及它实际上有多危险。 从截获的人工智能聊天机器人消息中可以提取哪些信息？ 当然，聊天机器人会发送加密消息。即便如此，大型语言模型（LLM）的实现以及用它们构建的聊天机器人仍然存在许多严重削弱加密的功能。结合起来，这些功能使得执行旁路攻击成为可能，其中消息内容从泄露的信息片段中恢复。 为了了解这次攻击期间会发生什么，我们需要更深入地研究 LLM 和聊天机器人机制的细节。

首先要知道的是法学硕士不是对单

个字符或单词进行操作而是对标记进行操作，标记可以被描述为文本的语义单元。OpenAI 网站 玻利维亚电话号码 上的Tokenizer页面提供了内部工作原理的概述。 使用 型的文本标记化示例 该示例演示了消息标记化如何与 GPT-3.5 和 GPT-4 模型配合使用。来源 至于促进这种攻击的第二个功能，如果您曾经与人工智能聊天机器人互动过，您就已经知道了：它们不会大块地发送响应，而是逐渐地发送响应，几乎就像是由人键入的一样。但与人不同的是，法学硕士用标记而不是单个字符来书写。因此，聊天机器人会一个接一个地发送实时生成的令牌；或者更确切地说，大多数聊天机器人：Google Gemini 是个例外，这使得它不会受到这种攻击。

第三个特点是在本文发表时多数聊天

机器人在加密消息之前没有使用压缩编码或填充（将无用数据附加到有意义的文本中，以降低可预测性 德国 电话号码列表 并提高加密强度）。 旁道攻击利用了所有三个特性。尽管截获的聊天机器人消息无法解密，但攻击者可以从中提取有用的数据。具体来说，是聊天机器人发送的每个令牌的长度。结果类似于绞刑吏之谜：你看不到到底加密了什么，但单个单词标记的长度被揭示。 攻击者可以推断出发送的令牌的长度 虽然无法解密消息，但攻击者可以提取聊天机器人发送的令牌的长度；由此产生的序列类似于绞刑吏中揭示的短语。来源 使用提取的信息恢复消息文本 剩下的就是猜测哪些单词隐藏在标记后面。