微軟發表的Whisper Leak資安研究，揭露即使大型語言模型的對話透過TLS加密，攻擊者仍可能僅憑封包大小與傳輸間距，推斷出使用者與聊天機器人的對話主題。也就是說，加密雖能防止內容被竊聽，但流量模式本身仍可能成為隱私弱點。微軟指出，已與多家人工智慧服務業者合作修補風險，包含OpenAI、Mistral與xAI等。

研究人員針對大型語言模型的串流模式回應進行分析，由於模型通常以逐字產生的方式輸出Token，使用者在輸入問題後，會即時看到模型生成文字。研究人員指出，要是攻擊者能監控網路流量，無論是ISP層級的觀測、公共Wi-Fi上的竊聽，或同一區域網路的監聽，都可能在不解密任何內容的情況下，判斷出對話主題。

由於大型語言模型在串流回應時是逐一產生Token並傳回，因此每次輸出會轉成一段位元組資料再由封包傳送。即使內容被TLS加密，封包的長度與送出時間仍保留在網路層可觀測的後設資料中，這些後設資料與模型輸出的Token數量、Token長度與分組策略有關。攻擊者如果蒐集大量已知主題的範例，就能用機器學習把封包長度序列與到達時序當作特徵進行訓練，學習出不同主題對應的流量指紋。當新流量到來時，分類器只需比對這些指紋就能推斷主題，無須解密內容。

實驗中，研究人員以洗錢的合法性為測試主題，蒐集多組與此相關的問題，並將其與隨機的其他對話混合後進行訓練。結果顯示，即使僅根據加密封包的大小與時序，機器學習模型仍可準確辨識特定主題。不少模型的AUPRC評分超過98，而在模擬現實監控情境下，即使在一萬筆對話中僅有一筆為敏感內容，仍能以極高精度識別出目標。只要有足夠樣本與時間，監聽者便能建立可靠的主題分類器。

微軟將此攻擊歸類為旁通道（Side-Channel）分析的一種，與以往針對加密演算法硬體實作的功耗或電磁分析不同，Whisper Leak鎖定的是應用層的語言模型流量。研究團隊指出，這類攻擊與2024年學界已揭露的Token長度、推論時序、快取共享等旁通道手法屬同一類型，反映出生成式人工智慧服務在串流階段的潛在隱私風險。

人工智慧服務業者對此作出迴應，OpenAI在串流回應的每個串流事件新增名為混淆欄位，放入隨機長度的字元序列，以掩蓋單次輸出的Token長度資訊，微軟Azure也採用相同策略。微軟表示，此機制已能將攻擊準確率降至不具實際威脅的水準。Mistral則於Completion API的串流區塊新增p參數達到類似效果，xAI也已完成防護部署。