Các nhà nghiên cứu bảo mật của Unit 42 cảnh báo rằng, tin tặc có thể xâm nhập các công cụ AI khi lấy dữ liệu từ các nguồn bên ngoài.
 |
Theo các chuyên gia nghiên cứu, trợ lý mã AI kết nối với các môi trường phát triển tích hợp dưới dạng tiện ích mở rộng (plugin), chẳng hạn như GitHub Copilot. Mặc dù hữu ích, nhưng chúng ta vẫn cần phải cẩn trọng khi sử dụng chúng. Các chuyên gia bảo mật của Unit 42 thuộc công ty Palo Alto Networks, đã công bố một bài nghiên cứu về mối đe dọa mới này.
Các nhà nghiên cứu cảnh báo: "Cả người dùng và kẻ tấn công đều có thể sử dụng sai các tính năng của trợ lý mã như trò chuyện, tự động hoàn thành và viết bài kiểm tra đơn vị cho các mục đích gây hại. Việc sử dụng sai này bao gồm chèn cửa hậu, làm rò rỉ thông tin nhạy cảm và tạo ra nội dung độc hại".
Nghiên cứu cũng đã nêu chi tiết một số cuộc tấn công khác nhau mà tội phạm mạng có thể khai thác để nhắm mục tiêu vào các nhà phát triển. Chèn lời nhắc gián tiếp là một trong những lỗ hổng bảo mật dễ thấy nhất. Cụ thể, tin tặc có thể nhúng các lời nhắc độc hại vào hàng nghìn nguồn trực tuyến, bao gồm các trang web, kho lưu trữ, tài liệu hoặc giao diện lập trình ứng dụng (API), mà trợ lý AI có thể truy cập và xử lý.
Trong trường hợp này, tin tặc sẽ không cần truy cập ban đầu vào máy tính của nạn nhân mà thay vào đó sẽ dựa vào các mô hình ngôn ngữ lớn (LLM) hữu ích để lấy nội dung bị nhiễm độc và thực thi các lệnh độc hại. LLM không thể phân biệt đâu là điều đáng tin cậy giữa lệnh hệ thống và lời nhắc.
"LLM xử lý cả lệnh và dữ liệu đầu vào của người dùng theo cùng một cách. Hành vi này khiến chúng dễ bị tiêm lời nhắc, khi kẻ tấn công tạo ra các dữ liệu đầu vào để thao túng LLM thành hành vi không mong muốn", Đơn vị 42 cảnh báo.
Do bị giới hạn về kiến thức và thiếu các thông tin mới nhất, nên hầu hết các LLM cũng cung cấp cho người viết mã các tính năng để cung cấp nội dung bên ngoài một cách rõ ràng, chẳng hạn như liên kết đến kho lưu trữ, tệp, thư mục cụ thể…
Điều này mở ra một hướng tấn công thứ hai, đó là các tệp đính kèm ngữ cảnh cũng có thể bị lạm dụng. Bản thân người dùng có thể vô tình cung cấp các nguồn ngữ cảnh mà tin tặc đã làm nhiễm độc. Việc các tác nhân đe dọa chiếm đoạt ngay cả một số kho lưu trữ phổ biến nhất là điều thường thấy.
Các nhà nghiên cứu cho biết: "Khi người dùng thêm ngữ cảnh vào một lệnh, mô hình sẽ xử lý ngữ cảnh này như một lời nhắc trước lời nhắc thực tế của người dùng".
Các chuyên gia đã chứng minh rằng, ngay cả một bài đăng trên mạng xã hội bị nhiễm độc cũng có thể trở thành một lời nhắc nhở, khiến chatbot phát tán phần mềm độc hại. Một trợ lý AI được giao nhiệm vụ tìm nạp và phân tích một số bài viết từ mạng xã hội X đã cài đặt cửa hậu (backdoor) vào mã được tạo ra.
"Nhiều người dùng sẽ sao chép, dán mã kết quả (hoặc nhấp vào 'Áp dụng') để thực thi mã và sau đó kiểm tra xem đầu ra có chính xác không. Nhưng hành động này có thể cho phép kẻ tấn công xâm nhập vào máy tính của người dùng."
Bản thân người dùng, đôi khi không cố ý, có thể thao túng chatbot AI để tạo ra nội dung độc hại. Tin tặc cũng bẻ khóa chatbot để sử dụng cho mục đích xấu. Một mối đe dọa khác là khả năng sử dụng sai các giao diện máy khách khác nhau được trợ lý AI sử dụng.
Tin tặc, với quyền truy cập hạn chế vào hệ thống, có thể gọi các mô hình và tương tác với chatbot, bỏ qua các ràng buộc IDE. Ví dụ: chúng có thể lợi dụng các chatbot này để đánh cắp thông tin đăng nhập đám mây.
Unit 42 đã mô phỏng một tình huống trong đó người dùng trực tiếp gọi mô hình bằng một tập lệnh tùy chỉnh, sử dụng một lời nhắc hệ thống khác, thay đổi hành vi của mô hình để nghe giống như một tên gọi ấn tượng nào đó.
Các nhà nghiên cứu khuyến cáo người dùng luôn xem xét kỹ lưỡng bất kỳ mã được đề xuất nào trước khi thực thi, đặc biệt là khi sử dụng ngữ cảnh kèm theo.
"Đừng tin tưởng mù quáng vào AI. Hãy kiểm tra kỹ mã để phát hiện các hành vi bất ngờ và các mối lo ngại tiềm ẩn về bảo mật", báo cáo viết. "Hãy chú ý đến bất kỳ ngữ cảnh hoặc dữ liệu nào bạn cung cấp cho các công cụ LLM."
Các nhà nghiên cứu cũng lo ngại rằng các hình thức tấn công mới có thể xuất hiện khi các hệ thống trở nên tự chủ và tích hợp hơn.
Hà Linh
Bình luận