ChatGPT của OpenAI đang đối mặt với những lo ngại ngày càng tăng về bảo mật khi các nhà nghiên cứu phát hiện nhiều vector tấn công khai thác khả năng tích hợp mở rộng của trợ lý AI này. Những phát hiện gần đây tiết lộ cách các tác nhân độc hại có thể thao túng ChatGPT thông qua các lời mời lịch bị xâm phạm và sử dụng nền tảng này để tạo ra các tài liệu deepfake tinh vi cho các hoạt động gián điệp.
Tích hợp Google Calendar tạo ra bề mặt tấn công mới
Nhà nghiên cứu bảo mật Eito Miyamura đã chứng minh một lỗ hổng đáng lo ngại trong tích hợp Google của ChatGPT cho phép kẻ tấn công đánh cắp email riêng tư thông qua các lời mời lịch độc hại. Cuộc tấn công tận dụng các connector Gmail, Google Calendar và Google Contacts gốc của OpenAI được giới thiệu vào giữa tháng 8 năm 2024, tự động tham chiếu các nguồn này trong các cuộc hội thoại mà không cần người dùng lựa chọn rõ ràng mỗi lần.
Cơ chế tấn công vừa đơn giản vừa hiệu quả một cách lừa dối. Kẻ tấn công gửi một lời mời lịch chứa các hướng dẫn prompt injection ẩn đến địa chỉ email của mục tiêu. Khi nạn nhân sau đó yêu cầu ChatGPT thực hiện các tác vụ thường xuyên như kiểm tra lịch của họ, trợ lý AI đọc sự kiện bị xâm phạm và làm theo các hướng dẫn độc hại được nhúng để tìm kiếm Gmail và trích xuất thông tin nhạy cảm. Kỹ thuật prompt injection gián tiếp này khai thác việc ChatGPT tự động thu thập dữ liệu từ các dịch vụ Google được kết nối.
Lịch trình tích hợp ChatGPT Google
- Giữa tháng 8 năm 2024: OpenAI đã giới thiệu các trình kết nối gốc cho Gmail , Google Calendar và Google Contacts
- Ban đầu: Phát hành cho người dùng Pro
- Sau đó: Mở rộng cho người đăng ký Plus
- 12 tháng 9 năm 2024: Lỗ hổng bảo mật được chứng minh bởi Eito Miyamura
Model Context Protocol mở rộng phạm vi lỗ hổng
Những tác động bảo mật mở rộng ra ngoài các tích hợp Google cơ bản với việc OpenAI gần đây hỗ trợ Model Context Protocol (MCP). Framework này cho phép ChatGPT kết nối với các dịch vụ bên thứ ba khác nhau bao gồm Sharepoint và Notion, mở rộng đáng kể bề mặt tấn công tiềm năng. Tính năng sử dụng tự động, được bật mặc định cho các connector Google, có nghĩa là người dùng có thể vô tình để lộ dữ liệu của họ trong các tương tác bình thường với trợ lý AI.
Tài liệu của OpenAI thừa nhận những rủi ro này, lưu ý rằng các connector tùy chỉnh sử dụng MCP được dành cho các nhà phát triển và không được công ty kiểm tra. Người dùng có thể tắt tính năng sử dụng tự động trong cài đặt của ChatGPT hoặc ngắt kết nối hoàn toàn các nguồn, nhưng những biện pháp bảo vệ này đòi hỏi can thiệp thủ công mà nhiều người dùng có thể không thực hiện.
Khuyến nghị Giảm thiểu Rủi ro Bảo mật
- Thay đổi cài đặt Google Calendar để chỉ chấp nhận lời mời từ những người gửi đã biết
- Tắt tính năng sử dụng tự động các trình kết nối Google của ChatGPT trong cài đặt
- Ẩn các sự kiện lịch đã từ chối để ngăn chặn việc lộ dữ liệu
- Thận trọng khi kết nối các tài khoản cá nhân với trợ lý AI
- Các tổ chức nên triển khai các cài đặt mặc định an toàn hơn thông qua quản trị Google Workspace
Các tác nhân nhà nước Triều Tiên vũ khí hóa AI cho gián điệp
Riêng biệt, công ty an ninh mạng Genians đã phát hiện bằng chứng về nhóm hacker Triều Tiên bị nghi ngờ Kimsuky sử dụng ChatGPT để tạo ra các tài liệu nhận dạng quân sự deepfake. Đơn vị được nhà nước tài trợ đã tạo ra thẻ căn cước quân đội Hàn Quốc giả để tăng cường độ tin cậy của các chiến dịch phishing nhắm vào các nhà báo, nhà nghiên cứu và các nhà hoạt động nhân quyền tập trung vào Triều Tiên.
Các kẻ tấn công đã thành công vượt qua sự từ chối ban đầu của ChatGPT trong việc tạo ra các tài liệu nhận dạng chính phủ bằng cách sửa đổi prompt của họ. Điều này đại diện cho một phần của mô hình rộng lớn hơn về các điệp viên Triều Tiên tận dụng các công cụ AI để thu thập thông tin tình báo, theo sau các sự cố trước đó khi họ sử dụng Claude của Anthropic để xây dựng danh tính giả để xâm nhập vào các công ty Fortune 500 của Mỹ và OpenAI đã cấm các tài khoản Triều Tiên vì tạo ra tài liệu tuyển dụng gian lận.
Các Trường Hợp Khai Thác AI Đã Biết Của Triều Tiên
- Tháng 2/2024: OpenAI đã cấm các tài khoản Triều Tiên tạo ra hồ sơ xin việc và tài liệu tuyển dụng giả mạo
- Tháng 7/2024: Nhóm Kimsuky đã sử dụng ChatGPT để làm giả giấy tờ tùy thân quân đội Hàn Quốc
- Tháng 8/2024: Anthropic phát hiện các hacker Triều Tiên sử dụng Claude Code để xâm nhập vào các công ty Fortune 500 của Mỹ
Tác động toàn ngành đối với bảo mật AI
Những sự cố này làm nổi bật một thách thức cơ bản mà ngành AI đang đối mặt: các hệ thống trí tuệ nhân tạo sử dụng công cụ đặc biệt dễ bị tổn thương trước các hướng dẫn thù địch được nhúng trong dữ liệu mà chúng được phép truy cập. Chính những connector tăng cường tiện ích của trợ lý AI cũng tạo ra những con đường mới để khai thác, từ lịch và hộp thư đến các nền tảng hợp tác doanh nghiệp.
Các cuộc tấn công chứng minh cách các khả năng AI mới nổi có thể được vũ khí hóa trong suốt quá trình hack, bao gồm lập kế hoạch tấn công, phát triển malware và các kế hoạch mạo danh tinh vi. Khi các trợ lý AI có quyền truy cập vào nhiều nguồn dữ liệu cá nhân và doanh nghiệp hơn, tác động tiềm năng của các cuộc tấn công prompt injection thành công tăng lên theo cấp số nhân.
Chiến lược giảm thiểu và triển vọng tương lai
Các chuyên gia bảo mật khuyến nghị một số biện pháp phòng thủ trong khi ngành công nghiệp phát triển các biện pháp bảo vệ mạnh mẽ hơn chống lại prompt injection gián tiếp. Người dùng nên cấu hình Google Calendar để tự động thêm lời mời chỉ từ những người gửi đã biết và ẩn các sự kiện đã từ chối. Các tổ chức có thể triển khai các cài đặt mặc định an toàn hơn thông qua cài đặt quản trị Google Workspace.
Đối với người dùng ChatGPT, biện pháp bảo vệ hiệu quả nhất bao gồm việc thận trọng về các tài khoản nào để kết nối và tắt tính năng sử dụng tự động của các connector khi có thể. Tuy nhiên, những biện pháp bảo vệ thủ công này làm nổi bật nhu cầu về các biện pháp bảo mật mặc định bật không đòi hỏi can thiệp của người dùng.
Cộng đồng an ninh mạng rộng lớn hơn tiếp tục giám sát các hoạt động mạng của Triều Tiên, mà các quan chức Mỹ mô tả như một phần của nỗ lực toàn diện để thu thập thông tin tình báo, tạo ra doanh thu tránh trừng phạt và hỗ trợ phát triển vũ khí hạt nhân thông qua các cuộc tấn công mạng và trộm cắp tiền điện tử.