Logo TecMundo
Segurança

Whisper Leak: o ataque que espiona suas conversas com o ChatGPT e outros chatbots de IA

Ataque Whisper Leak identifica 1 conversa sensível em cada 10 mil com quase zero falsos positivos; pesquisadores da Microsoft alertam para riscos em regimes autoritários

Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

schedule11/11/2025, às 19:45

updateAtualizado em 12/11/2025, às 10:06

Pesquisadores da Microsoft descobriram que conversar sobre assuntos sensíveis pode não ser tão seguro quanto parece. O ataque, batizado de Whisper Leak, consegue descobrir o assunto das suas conversas com inteligências artificiais como ChatGPT, Claude e outros modelos de linguagem, mesmo que todo o tráfego esteja criptografado de ponta a ponta.

De acordo com os pesquisadores da Microsoft, o problema não está na criptografia em si – ela continua funcionando perfeitamente. A questão é que os atacantes conseguem "ler nas entrelinhas" através de padrões de tamanho e tempo dos pacotes de dados que trafegam pela rede, mesmo sem conseguir descriptografar o conteúdo.

smart_display

Nossos vídeos em destaque

O que é o ataque Whisper Leak

O Whisper Leak é um ataque de canal lateral, uma técnica que explora informações vazadas indiretamente pelo sistema, em vez de quebrar a criptografia diretamente. Pense nisso como observar a fumaça saindo da chaminé de uma casa para adivinhar o que está sendo cozinhado lá dentro – você não precisa entrar na casa para ter uma boa ideia.

Neste caso, os cibercriminosos não conseguem ler o conteúdo das suas mensagens com o ChatGPT ou outros chatbots, mas conseguem identificar se você está conversando sobre tópicos sensíveis específicos. Nos testes realizados pela Microsoft, o ataque alcançou mais de 98% de precisão em identificar conversas sobre lavagem de dinheiro, por exemplo.

Leia Mais
Domo de Ferro: cibercriminosos alegam ter desativado defesa aérea de Israel

O mais preocupante é o cenário do mundo real simulado pelos pesquisadores: imagine um governo autoritário monitorando 10.000 conversas aleatórias com apenas uma sobre um tópico sensível misturada no meio. 

Mesmo nesse cenário extremo, o ataque conseguiu identificar a conversa alvo com 100% de precisão, sem nenhum falso positivo. Isso significa que, em termos práticos, um atacante consegue apontar exatamente quem está falando sobre assuntos proibidos, protestos, eleições ou jornalismo investigativo.

Como funciona o ataque na prática

O Whisper Leak explora uma característica fundamental de como os chatbots de IA modernos funcionam. Quando você faz uma pergunta ao ChatGPT, por exemplo, ele não espera processar a resposta inteira para só então enviá-la de uma vez. Em vez disso, ele gera e envia palavra por palavra (tecnicamente, "token por token") em tempo real – é por isso que você vê o texto aparecer gradualmente na tela.

Esse comportamento de streaming cria um problema sutil mas crítico. Cada palavra ou pedaço de texto que o chatbot envia vem em um pacote de dados de tamanho específico, e esses pacotes são enviados em intervalos de tempo também específicos. Mesmo que tudo esteja criptografado pelo TLS (a mesma tecnologia que protege seus dados bancários online), o tamanho dos pacotes e o tempo entre eles não são escondidos.

Leia Mais
Chave de API do Google gera dívida de US$ 82 mil após ataque cibernético

Basicamente, toda vez que o modelo de IA gera um token, o tamanho desse token mais a sobrecarga constante da criptografia resulta num padrão único de tamanho de pacote. Palavras diferentes têm tamanhos diferentes, e respostas sobre tópicos diferentes criam sequências características de pacotes.

Os pesquisadores treinaram modelos de inteligência artificial para reconhecer esses padrões. Eles coletaram milhares de exemplos de conversas sobre tópicos específicos e conversas aleatórias de controle, registrando apenas os tamanhos de pacotes e tempos de chegada – sem jamais descriptografar nada. 

Com esses dados, algoritmos de machine learning aprenderam a identificar as "impressões digitais" únicas que cada tipo de conversa deixa no tráfego de rede.

Para tornar o ataque ainda mais perigoso, ele pode ser programado para agir em momentos específicos. 

Leia Mais
149 ataques em quatro dias: como a guerra contra o Irã se tornou também digital

Um cibercriminoso pode injetar o código malicioso em um site com um gatilho temporal, deixando-o dormente até uma data e hora exatas. Isso permite ataques coordenados durante janelas críticas: abertura do mercado de ações, horários de pico de e-commerce ou até mesmo durante eventos políticos importantes.

Quem está em risco com essa vulnerabilidade

A resposta curta é: praticamente todo mundo que usa chatbots de IA, mas algumas pessoas enfrentam riscos muito maiores. O Whisper Leak afeta todos os principais modelos de linguagem testados – ChatGPT, Claude, Gemini, Llama, Mistral e dezenas de outros. Foram testados 28 modelos diferentes de grandes empresas, e 17 deles mostraram vulnerabilidade com mais de 98% de precisão para o atacante.

Os pesquisadores destacam que isso representa riscos especialmente reais para usuários sob governos opressivos onde podem estar mirando tópicos como protestos, material proibido, processo eleitoral ou jornalismo. Em países com censura pesada ou perseguição política, um simples questionamento sobre direitos civis ou críticas ao governo pode colocar alguém em risco.

Profissionais que lidam com informações sensíveis também estão na linha de fogo. Advogados consultando chatbots sobre estratégias legais, médicos buscando segunda opinião sobre diagnósticos, jornalistas pesquisando tópicos investigativos – todos podem ter seus interesses revelados para quem estiver monitorando a rede.

Leia Mais
FGV sofre vazamento de 1,52 TB em suposto ataque cibernético do grupo Dragonforce

O ataque presume que o adversário esteja em posição de observar o tráfego de rede entre você e o servidor do chatbot. Isso inclui provedores de internet, administradores de rede corporativa ou universitária, pessoas conectadas ao mesmo Wi-Fi público que você, ou até mesmo Estados-nação com acesso à infraestrutura de internet em nível nacional.

Os testes mostraram que quanto mais dados de treinamento o atacante coleta, melhor fica sua capacidade de identificar tópicos. Além disso, conversas mais longas com múltiplas rodadas de perguntas e respostas deixam padrões ainda mais distintivos, facilitando a identificação.

Como se proteger

A boa notícia é que algumas empresas já implementaram proteções após a divulgação responsável feita pela Microsoft. OpenAI, Microsoft Azure, Mistral e xAI já liberaram mitigações que reduzem drasticamente a eficácia do ataque. Essas empresas adicionaram campos extras nas respostas com sequências aleatórias de texto de tamanho variável, mascarando o comprimento real dos tokens e quebrando os padrões que o ataque explora.

No entanto, muitos outros provedores de IA ou declinaram agir ou simplesmente não responderam ao alerta de segurança. Por isso, é importante tomar medidas do lado do usuário também.

Leia Mais
Malware usa domínios gov.br legítimos para infectar vítimas
  • Use VPN ao acessar chatbots: isso adiciona uma camada extra de proteção ao criptografar todo o seu tráfego antes que ele saia do seu dispositivo;
  • Evite redes públicas para assuntos sensíveis: Wi-Fi de cafés, aeroportos, hotéis e outros locais públicos são especialmente vulneráveis. Qualquer pessoa na mesma rede pode potencialmente monitorar seu tráfego;
  • Desative o modo streaming quando disponível: alguns provedores de chatbot permitem desativar o modo streaming, fazendo com que a resposta completa seja gerada antes de ser enviada de uma vez. Isso elimina a vulnerabilidade do Whisper Leak, já que não há mais a sequência característica de pacotes pequenos sendo enviados um por um;
  • Mantenha-se informado sobre práticas de segurança: novas vulnerabilidades são descobertas regularmente, assim como novas proteções são desenvolvidas. Acompanhe os blogs de segurança dos provedores que você usa e fique atento a atualizações.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.

Perguntas Frequentes

O que é o ataque Whisper Leak?
Whisper Leak é um tipo de ataque de canal lateral que permite identificar o tema de conversas com chatbots de IA, como o ChatGPT, mesmo quando o tráfego está criptografado. Ele não quebra a criptografia diretamente, mas analisa padrões de tamanho e tempo dos pacotes de dados para inferir o conteúdo das interações.
Como o Whisper Leak consegue identificar conversas sensíveis sem descriptografar os dados?
O ataque explora o comportamento de streaming dos chatbots, que enviam respostas token por token. Cada token gera um pacote de dados com tamanho e tempo específicos. Esses padrões formam uma espécie de "impressão digital" que pode ser reconhecida por algoritmos de machine learning treinados com exemplos anteriores, permitindo identificar tópicos como lavagem de dinheiro ou protestos.
Quais são os riscos práticos do Whisper Leak?
O ataque representa um risco significativo para usuários em regimes autoritários, onde conversas sobre eleições, protestos ou jornalismo investigativo podem ser monitoradas. Profissionais que lidam com informações sensíveis, como advogados, médicos e jornalistas, também estão vulneráveis, especialmente se usarem redes públicas ou forem alvos de vigilância em nível de infraestrutura.
Quais modelos de IA são vulneráveis ao ataque?
Dos 28 modelos testados por pesquisadores da Microsoft, 17 apresentaram vulnerabilidade com mais de 98% de precisão para o atacante. Isso inclui modelos populares como ChatGPT, Claude, Gemini, Llama, Mistral, entre outros.
Como posso me proteger contra o Whisper Leak?
Algumas medidas recomendadas incluem: usar VPN ao acessar chatbots, evitar redes públicas para tratar de assuntos sensíveis, desativar o modo streaming quando possível e manter-se atualizado sobre práticas de segurança divulgadas pelos provedores de IA.
O ataque Whisper Leak já foi mitigado por alguma empresa?
Sim. Empresas como OpenAI, Microsoft Azure, Mistral e xAI já implementaram proteções que reduzem significativamente a eficácia do ataque. Elas adicionaram campos aleatórios nas respostas dos chatbots para mascarar os padrões de tamanho dos pacotes.
Quem pode executar esse tipo de ataque?
Qualquer entidade com acesso ao tráfego de rede entre o usuário e o servidor do chatbot pode realizar o ataque. Isso inclui provedores de internet, administradores de redes corporativas ou públicas, e até governos com controle sobre a infraestrutura de internet.
Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

Cecilia Ferraz é formada em Jornalismo pela Universidade Metodista de São Paulo. Repórter do TecMundo Security, especializada em cibersegurança, tecnologia e negócios.

local_mall

Ofertas TecMundo

Atualizado há 13 horas
Headphone JBL Tune 520BT
35% off

Aproveite!

Headphone JBL Tune 520BT

R$ 195,00

Áudio amazon.com.brnew_releases
Smartphone Samsung Galaxy S24 Ultra, 256GB
51% off

Cupom TELEFONIA500

Smartphone Samsung Galaxy S24 Ultra, 256GB

R$ 4.899,10

Celulares amazon.com.brnew_releases
Fone de Ouvido Apple AirPods 4 com Estojo
36% off

Cupom 3DO3

Fone de Ouvido Apple AirPods 4 com Estojo

R$ 948,00

Áudio kabum.com.brnew_releases
Smartphone Motorola Edge 60 5G, 512GB
22% off

Aproveite!

Smartphone Motorola Edge 60 5G, 512GB

R$ 2.174,00

Celulares pontofrio.com.brnew_releases
Controle DualSense PlayStation 5
26% off

Imperdível!

Controle DualSense PlayStation 5

R$ 369,00

Gamer amazon.com.brnew_releases
Kindle, 16GB
14% off

Aproveite já!

Kindle, 16GB

R$ 559,00

Tablets amazon.com.brnew_releases
local_mall

Guia de Compras TecMundo

As melhores promoções e cupons para sua próxima compra!

Confira todas as ofertas
star

Continue por aqui

Imagem de Estadão
Estadão
Imagem de Lançamentos
Lançamentos
Imagem de Gadgets
Gadgets
Imagem de Cibersegurança
Cibersegurança
Imagem de Filmes e séries
Filmes e séries
Imagem de Mercado
Mercado
Imagem de Cupons
Cupons
Imagem de Internet
Internet
Imagem de Games
Games
Imagem de Apostas
Apostas
Imagem de Ciência
Ciência
Imagem de Software
Software
Imagem de IA
IA