Sự bùng nổ trí tuệ nhân tạo đã mang lại một tác dụng phụ bất ngờ: sự trở lại của các lỗ hổng bảo mật từng gây khó khăn cho internet thời kỳ đầu. Các nhà nghiên cứu bảo mật tại Black Hat USA 2023 tiết lộ rằng nhiều hệ thống AI đang được triển khai với những lỗ hổng bảo mật cơ bản gợi nhớ đến thập niên 1990, khi các thực hành bảo mật web cơ bản vẫn đang được thiết lập.
Việc vội vàng tích hợp AI vào các quy trình kinh doanh đã khiến các công ty lặp lại những sai lầm từ hàng thập kỷ trước. Các mô hình ngôn ngữ lớn và tác nhân AI đang được cấp quá nhiều đặc quyền và quyền truy cập vào các hệ thống nhạy cảm mà không có các rào cản bảo mật phù hợp. Điều này đã tạo ra một sân chơi mới cho những kẻ tấn công có thể khai thác các hệ thống này bằng các kỹ thuật đơn giản đến ngạc nhiên.
 |
|---|
| Nhấn mạnh nhu cầu giám sát các hệ thống AI để giải quyết các lỗ hổng bảo mật gợi nhớ đến thời kỳ đầu của internet |
Prompt Injection: SQL Injection phiên bản mới
Lỗ hổng đáng lo ngại nhất ảnh hưởng đến các hệ thống AI là prompt injection, mà các chuyên gia bảo mật so sánh với các cuộc tấn công SQL injection từ thời kỳ đầu của web. Tuy nhiên, không giống như SQL injection truyền thống, vấn đề này có thể về cơ bản không thể khắc phục được. Các hệ thống AI gặp khó khăn trong việc phân biệt giữa hướng dẫn và dữ liệu, khiến chúng dễ bị thao túng thông qua các đầu vào được thiết kế cẩn thận.
Các nhà nghiên cứu đã chứng minh cách những kẻ tấn công có thể đánh cắp dữ liệu khách hàng nhạy cảm từ các hệ thống được hỗ trợ bởi AI chỉ bằng cách yêu cầu một cách lịch sự. Trong một trường hợp, một AI dịch vụ khách hàng được xây dựng với Microsoft's Copilot Studio đã bị lừa gửi email toàn bộ cơ sở dữ liệu khách hàng cho kẻ tấn công mà không cần bất kỳ ủy quyền nào hoặc phá vỡ mã.
Cộng đồng đã lưu ý một lỗ hổng nghiêm trọng trong cách các công ty tiếp cận bảo mật AI. Nhiều tổ chức coi các hệ thống AI như những người ra quyết định tinh vi thay vì các công cụ đơn giản cần giám sát nghiêm ngặt và quyền truy cập hạn chế.
Các Hệ thống AI Dễ bị Tổn thương được Trình diễn tại Black Hat 2023
| Hệ thống | Lỗ hổng | Phương thức Tấn công |
|---|---|---|
| Microsoft Copilot Studio | Đánh cắp Dữ liệu | Tiêm prompt qua email |
| ChatGPT | Tiêm Prompt Độc hại | Khai thác tích hợp Google Drive |
| Salesforce Einstein AI | Thao túng Chủ đề | Tấn công chuyển đổi ngữ cảnh |
| Cursor (Công cụ Phát triển) | Trích xuất Token | Bỏ qua bằng thay thế từ khóa |
| CodeRabbit | Đánh cắp Thông tin Xác thực | Thao túng trình phân tích tĩnh |
Các hệ thống AI được cấp quá nhiều đặc quyền tạo ra bề mặt tấn công mới
Một vấn đề lớn được các nhà nghiên cứu bảo mật xác định là các hệ thống AI thường được cấp quyền truy cập nhiều hơn mức cần thiết. Các công ty triển khai các mô hình AI đa năng để xử lý mọi thứ từ dịch vụ khách hàng đến phát triển mã, tạo ra các bề mặt tấn công không cần thiết lớn.
AI tạo sinh bị mở rộng quá mức. Cùng một AI trả lời câu hỏi về Shakespeare cũng đang giúp bạn phát triển mã. Sự tổng quát hóa quá mức này dẫn bạn đến một bề mặt tấn công gia tăng.
Các chuyên gia bảo mật khuyến nghị coi các hệ thống AI như bất kỳ giao diện người dùng nào khác kết nối với các hệ thống backend. Các nguyên tắc bảo mật tương tự áp dụng cho ứng dụng web nên điều chỉnh việc triển khai AI. Điều này có nghĩa là thực hiện kiểm soát truy cập phù hợp, xác thực đầu vào, và giả định rằng bất kỳ hệ thống nào mà AI có thể truy cập đều có khả năng bị xâm phạm.
Các Nguyên Tắc Bảo Mật AI Chính Được Các Nhà Nghiên Cứu Khuyến Nghị
- Giả Định Prompt Injection: Thiết kế hệ thống với giả định rằng AI sẽ bị xâm phạm
- Hạn Chế Quyền Hạn AI: Không bao giờ cấp cho AI quyền truy cập vượt quá những gì người dùng cuối nên có
- Coi AI Như Công Cụ: Không mong đợi AI đưa ra quyết định bảo mật hoặc hoạt động như các tác nhân đáng tin cậy
- Triển Khai Rào Cản Phù Hợp: Đặt các biện pháp kiểm soát bảo mật giữa AI và hệ thống backend, không phải bên trong chính AI
- Sử Dụng AI Chuyên Biệt: Triển khai AI dành riêng cho từng tác vụ thay vì hệ thống đa năng với quyền truy cập rộng
Yếu tố con người trong các lỗi bảo mật AI
Cộng đồng bảo mật đã quan sát thấy rằng nhiều lỗ hổng AI hiện tại bắt nguồn từ sự hiểu lầm cơ bản về những gì các hệ thống này có thể và không thể làm. Các công ty đang triển khai AI với kỳ vọng rằng nó sẽ hoạt động như một nhân viên con người đáng tin cậy, trong khi thực tế nó cần giám sát liên tục và các hạn chế nghiêm ngặt.
Vấn đề được làm phức tạp thêm bởi một thế hệ nhà phát triển mới thiếu kinh nghiệm với các thực hành bảo mật cơ bản. Sự tiện lợi của các trợ lý lập trình AI đã dẫn đến cái mà các nhà nghiên cứu gọi là vibe coding - một cách tiếp cận phát triển thoải mái bỏ qua các nguyên tắc bảo mật đã được thiết lập.
Tình huống này đã tạo ra cái mà một số người mô tả là sự dân chủ hóa của hacking, nơi những lỗ hổng tương tự từng đòi hỏi kiến thức chuyên môn để khai thác trong thập niên 1990 giờ đây có thể được phát hiện và tấn công bởi một phạm vi người rộng lớn hơn nhiều.
Nhìn về phía trước: Bài học từ quá khứ
Ngành an ninh mạng đối mặt với một lựa chọn: học hỏi từ những sai lầm trong quá khứ hoặc lặp lại chúng trên quy mô lớn. Các chuyên gia bảo mật nhấn mạnh rằng các hệ thống AI không bao giờ nên được tin tưởng với các đặc quyền vượt quá những gì sẽ được cấp cho người dùng cuối. Họ khuyến nghị thực hiện các công cụ AI chuyên biệt cho các nhiệm vụ cụ thể thay vì triển khai các hệ thống đa năng với quyền truy cập rộng.
Tình huống hiện tại phục vụ như một lời nhắc nhở rằng tiến bộ công nghệ không tự động bao gồm cải thiện bảo mật. Khi các công ty tiếp tục tích hợp AI vào hoạt động của họ, những bài học rút ra từ hàng thập kỷ phát triển bảo mật web trở nên liên quan hơn bao giờ hết.
Tham khảo: Sloppy AI defenses take cybersecurity back to the 1990s, researchers say