Pesquisadores da Microsoft identificaram um método de ataque capaz de expor o assunto de conversas com inteligências artificiais como ChatGPT, Claude e Gemini — mesmo quando o tráfego está protegido por criptografia de ponta a ponta. Batizada de Whisper Leak, a técnica explora brechas indiretas para inferir o conteúdo das conversas.
O curioso é que a criptografia não é quebrada. O ataque se aproveita de padrões de tamanho e tempo dos pacotes de dados que circulam entre o usuário e o servidor. Esses padrões, quando analisados com técnicas de aprendizado de máquina, permitem deduzir o tema da conversa com altíssima precisão.
Como o Whisper Leak funciona
O Whisper Leak é um ataque de canal lateral — tipo de exploração que não tenta decifrar os dados diretamente, mas observar o comportamento do sistema para extrair pistas. É como tentar adivinhar o que alguém está cozinhando apenas observando a fumaça saindo da chaminé.
Os pesquisadores da Microsoft demonstraram que o método consegue identificar conversas sobre temas sensíveis com até 98% de precisão. Em um teste mais extremo, o ataque detectou com 100% de acerto uma única conversa sobre lavagem de dinheiro em meio a 10 mil outras conversas aleatórias.
O motivo está no modo como os chatbots de IA funcionam. Modelos como o ChatGPT enviam respostas em tempo real, “token por token” — cada palavra é transmitida em pacotes de tamanhos e intervalos específicos. Esses detalhes, que permanecem visíveis mesmo sob criptografia TLS, formam assinaturas únicas que podem ser reconhecidas por algoritmos de machine learning.
Os pesquisadores treinaram IA para identificar esses padrões analisando apenas o tamanho e o tempo dos pacotes, sem acessar o conteúdo em si. O resultado foi um sistema capaz de mapear a “impressão digital” de cada tipo de conversa, revelando quando o usuário fala sobre política, finanças, medicina ou outros temas delicados.
Além disso, o ataque pode ser programado para agir em momentos específicos, permitindo ações coordenadas — como monitorar discussões durante eleições, crises políticas ou movimentações financeiras importantes.
Quem está mais vulnerável
A vulnerabilidade afeta praticamente todos os grandes modelos de linguagem testados — ChatGPT, Claude, Gemini, Llama, Mistral e outros. Em 28 modelos avaliados, 17 apresentaram vulnerabilidade com mais de 98% de precisão para o atacante.
O risco é maior em regimes autoritários ou contextos onde há censura e perseguição política. Usuários discutindo temas como protestos, eleições ou direitos civis podem ser facilmente identificados. Profissionais que lidam com informações sensíveis — como advogados, médicos e jornalistas — também estão em risco, já que seus interesses podem ser deduzidos sem que o conteúdo da conversa seja lido.
O ataque pressupõe que o invasor tenha acesso ao tráfego de rede entre o usuário e o chatbot. Isso inclui provedores de internet, administradores de rede corporativa ou pública, e até governos com infraestrutura de vigilância avançada.
Como se proteger do Whisper Leak
A Microsoft divulgou o problema de forma responsável, e algumas empresas já adotaram medidas de mitigação. OpenAI, Microsoft Azure, Mistral e xAI adicionaram camadas de proteção, incluindo a inserção de sequências aleatórias de texto que mascaram os padrões de tráfego.
Ainda assim, várias plataformas permanecem vulneráveis. Para se proteger, os usuários podem:
- Usar VPNs ao acessar chatbots, garantindo criptografia extra no tráfego;
- Evitar redes públicas (cafés, hotéis, aeroportos) para conversas sensíveis;
- Desativar o modo de streaming, quando possível, para que as respostas sejam enviadas de uma só vez;
- Acompanhar atualizações de segurança dos provedores de IA.
O Whisper Leak reforça um ponto essencial: a privacidade em interações com inteligência artificial ainda depende de camadas múltiplas de proteção — e de atenção constante dos usuários e desenvolvedores.
