Microsoft baru saja mengungkap detail tentang jenis serangan sampingan (side-channel attack) baru yang menargetkan model bahasa besar (Large Language Models/LLM) jarak jauh. Serangan ini memungkinkan penyerang pasif yang dapat mengamati lalu lintas jaringan untuk menebak topik percakapan pengguna dengan model bahasa, bahkan ketika data tersebut sudah dilindungi oleh enkripsi. Serangan baru ini diberi nama Whisper Leak, dan Microsoft memperingatkan bahwa kebocoran semacam ini berpotensi mengancam privasi komunikasi pengguna maupun perusahaan.
Menurut tim peneliti keamanan Microsoft yang terdiri dari Jonathan Bar Or dan Geoff McDonald, bersama Microsoft Defender Security Research Team, serangan ini memungkinkan pihak yang mengamati lalu lintas terenkripsi TLS antara pengguna dan layanan LLM untuk mengekstrak pola ukuran serta waktu paket. Dengan melatih model klasifikasi tertentu, penyerang dapat menebak apakah percakapan pengguna berkaitan dengan topik sensitif tertentu. Hal ini dapat dilakukan oleh aktor negara, penyedia layanan internet, atau seseorang yang terhubung di jaringan Wi-Fi yang sama.
Secara teknis, serangan ini mengeksploitasi mekanisme streaming pada LLM, di mana model mengirimkan data secara bertahap seiring proses pembuatan respons. Teknik ini sangat berguna untuk memberikan umpan balik cepat kepada pengguna, tetapi justru membuka peluang bagi penyerang untuk menganalisis pola lalu lintas terenkripsi. Microsoft menegaskan bahwa serangan Whisper Leak tetap efektif meski komunikasi antara pengguna dan chatbot AI dilindungi HTTPS yang seharusnya menjaga kerahasiaan data.
Whisper Leak sendiri dikembangkan berdasarkan temuan-temuan sebelumnya tentang serangan sampingan terhadap LLM. Dalam penelitian Microsoft, mereka menunjukkan bahwa urutan ukuran paket terenkripsi dan waktu antar paket yang dikirim selama proses streaming dapat cukup memberikan informasi untuk mengklasifikasikan topik awal dari percakapan pengguna. Sebagai bukti, Microsoft melatih sebuah model pembeda menggunakan LightGBM, Bi-LSTM, dan BERT, yang mampu mengenali apakah suatu prompt termasuk topik target tertentu atau tidak.
Hasilnya menunjukkan bahwa model dari Mistral, xAI, DeepSeek, dan OpenAI memiliki tingkat akurasi lebih dari 98%. Artinya, seseorang yang memantau lalu lintas jaringan bisa mengenali jika pengguna sedang membahas topik sensitif seperti pencucian uang, kritik politik, atau isu-isu yang diawasi oleh otoritas tertentu—semuanya tanpa perlu membongkar enkripsi. Lebih buruk lagi, akurasi serangan ini bisa meningkat seiring waktu jika penyerang mengumpulkan lebih banyak data untuk melatih model mereka.
Sebagai tanggapan, OpenAI, Microsoft, Mistral, dan xAI telah menerapkan langkah mitigasi untuk mengurangi risiko ini. Salah satu cara efektif yang digunakan adalah dengan menambahkan urutan teks acak dengan panjang bervariasi pada setiap respons AI. Pendekatan ini membuat panjang token menjadi tidak konsisten sehingga menyulitkan analisis pola oleh penyerang. Microsoft juga memberikan saran tambahan kepada pengguna, seperti menghindari membahas topik sensitif di jaringan publik yang tidak terpercaya, menggunakan VPN untuk perlindungan tambahan, serta memilih model non-streaming jika memungkinkan.
Temuan Whisper Leak ini muncul bersamaan dengan hasil evaluasi terhadap delapan model LLM open-weight dari berbagai perusahaan besar seperti Alibaba, DeepSeek, Google, Meta, Microsoft, Mistral, OpenAI, dan Zhipu AI. Hasil penelitian dari Cisco AI Defense menunjukkan bahwa sebagian besar model tersebut sangat rentan terhadap manipulasi adversarial, terutama dalam serangan multi-turn yang terjadi selama percakapan panjang. Peneliti dari Cisco menilai bahwa strategi penyelarasan (alignment) dan prioritas pengembangan model memengaruhi ketahanan terhadap serangan tersebut.
Secara keseluruhan, temuan ini memperlihatkan kelemahan sistemik pada model bahasa besar yang terus berkembang sejak kemunculan ChatGPT pada November 2022. Bagi perusahaan yang mengadopsi LLM open-source, risiko operasional bisa meningkat jika tidak disertai kontrol keamanan tambahan. Oleh karena itu, pengembang disarankan untuk menerapkan kontrol keamanan ketat, melakukan AI red-teaming secara berkala, memperkuat sistem prompt sesuai konteks penggunaan, serta meningkatkan ketahanan model terhadap serangan jailbreak dan manipulasi data.
Whisper Leak menjadi pengingat penting bahwa meskipun kecerdasan buatan telah membawa kemajuan besar dalam dunia digital, keamanan dan privasi tetap harus menjadi prioritas utama. Tanpa mitigasi yang tepat, bahkan lalu lintas terenkripsi sekalipun dapat menjadi pintu masuk bagi kebocoran data yang membahayakan pengguna dan organisasi di seluruh dunia.