Trong thế giới trí tuệ nhân tạo đang phát triển với tốc độ chóng mặt, các nhà nghiên cứu bảo mật đang phát hiện ra những lỗ hổng nghiêm trọng trong các công cụ tích hợp AI với tần suất đáng báo động. Một phát hiện gần đây liên quan đến Microsoft 365 Copilot đã tiết lộ cách dữ liệu nhạy cảm của công ty có thể bị đánh cắp một cách lén lút thông qua việc thao túng khéo léo hệ thống AI. Sự việc xảy ra sau đó đã châm ngòi cho cuộc tranh luận sôi nổi trong cộng đồng an ninh mạng về cách các gã khổng lồ công nghệ xử lý việc tiết lộ lỗ hổng cho các sản phẩm AI của họ.
 |
|---|
| Lời nhắc đăng nhập cho Microsoft 365 Copilot, làm nổi bật các rủi ro tiềm ẩn liên quan đến việc truy cập dữ liệu doanh nghiệp nhạy cảm |
Phương thức tấn công sáng tạo làm lộ bí mật công ty
Các nhà nghiên cứu bảo mật đã phát hiện ra một chuỗi tấn công tinh vi kết hợp hai kỹ thuật mạnh mẽ để trích xuất thông tin nhạy cảm từ Microsoft 365 Copilot. Lỗ hổng này hoạt động bằng cách nhúng các lệnh ẩn bên trong một tài liệu Excel mà khi được Copilot xử lý, sẽ kích hoạt AI truy xuất dữ liệu bí mật như email gần đây và mã hóa nó để truyền đi. Cuộc tấn công sử dụng biểu đồ Mermaid - vốn thường được dùng để tạo lưu đồ và biểu đồ kỹ thuật - làm phương tiện để rò rỉ dữ liệu bằng cách nhúng thông tin bị đánh cắp bên trong các phần tử kiểu CSS của một nút đăng nhập giả.
Điều khiến cuộc tấn công này đặc biệt khéo léo là cách nó vượt qua các kỳ vọng bảo mật thông thường. Nhà nghiên cứu đã sử dụng kỹ thuật tiêm prompt gián tiếp, trong đó các lệnh độc hại được ẩn bên trong các tài liệu trông có vẻ bình thường mà AI xử lý sau này. Khi được yêu cầu tóm tắt tài liệu, Copilot đã làm theo các lệnh ẩn thay vì mục đích dự định của nó, về cơ bản bị lừa trở thành đồng phạm vô ý trong vụ trộm dữ liệu.
Đây là cách Microsoft nói với bất kỳ ai tìm thấy lỗ hổng trong M365 Copilot rằng hãy bán nó thay vì báo cáo. Một quyết định cực kỳ thiển cận và ngu ngốc.
Các Loại Biểu Đồ Mermaid Phổ Biến Được Sử Dụng Trong Phát Triển Phần Mềm
- Flowcharts - Sơ đồ quy trình với các hình dạng nút và kết nối
- Sequence Diagrams - Tương tác giữa các hệ thống theo thời gian
- Gantt Charts - Dòng thời gian dự án và các phụ thuộc nhiệm vụ
- Class Diagrams - Cấu trúc hướng đối tượng và các mối quan hệ
- Pie Charts - Trực quan hóa dữ liệu theo tỷ lệ
Phản ứng dữ dội từ cộng đồng về quyết định tiền thưởng của Microsoft
Cộng đồng an ninh mạng đã phản ứng mạnh mẽ khi Trung tâm Phản hồi Bảo mật của Microsoft (MSRC) xác định rằng Microsoft 365 Copilot nằm ngoài phạm vi nhận tiền thưởng cho lỗ hổng, đồng nghĩa với việc nhà nghiên cứu không nhận được bất kỳ khoản bồi thường tài chính nào cho việc tiết lộ có trách nhiệm lỗ hổng nghiêm trọng này. Nhiều chuyên gia bảo mật xem đây là một tiền lệ nguy hiểm có thể khiến các nhà nghiên cứu ngần ngại báo cáo các vấn đề bảo mật AI trong tương lai.
Những người bình luận chỉ ra sự mỉa mai khi Microsoft tổ chức các sự kiện tri ân nhà nghiên cứu trong khi đồng thời loại trừ sản phẩm AI hàng đầu của họ khỏi các chương trình tiền thưởng. Quyết định này đặt ra câu hỏi về việc liệu các công ty đã chuẩn bị đầy đủ để xử lý các thách thức bảo mật đặc thù do hệ thống AI đặt ra hay chưa. Một số chuyên gia lo ngại rằng nếu không có động lực thích hợp, các nhà nghiên cứu có thể chọn bán phát hiện của họ trên thị trường chợ đen thay vì báo cáo một cách có trách nhiệm.
 |
|---|
| Nút đăng nhập làm nổi bật giao diện nơi các nhà nghiên cứu tìm cách bảo mật quyền truy cập vào dữ liệu nhạy cảm trong Microsoft 365 Copilot |
Mô hình tổng thể của các lỗ hổng bảo mật AI
Sự cố này không đơn lẻ - các lỗ hổng tương tự đã được tìm thấy trong các công cụ phát triển tích hợp AI khác. Chỉ vài ngày sau phát hiện ban đầu, một nhà nghiên cứu khác đã công bố phát hiện về một lỗ hổng rò rỉ dữ liệu tương tự trong Cursor IDE cũng sử dụng biểu đồ Mermaid. Mô hình này cho thấy các hệ thống AI trên nhiều nền tảng khác nhau chia sẻ điểm yếu bảo mật cơ bản liên quan đến cách chúng xử lý và thực thi các lệnh từ các nguồn không đáng tin cậy.
Cộng đồng bảo mật đã đặt tên cho nhóm lỗ hổng này là Bộ ba chết chóc, kết hợp việc tuân theo các lệnh không liên quan với cơ chế rò rỉ dữ liệu. Như một người bình luận đã nhận xét, thách thức cơ bản là các hệ thống AI hiện tại gặp khó khăn trong việc phân biệt giữa hướng dẫn hợp pháp của người dùng và các lệnh độc hại được ẩn trong dữ liệu mà chúng đang xử lý - một vấn đề mà ngay cả con người đôi khi cũng trở thành nạn nhân thông qua các cuộc tấn công kỹ thuật xã hội.
Các Mốc Thời Gian Quan Trọng Trong Tiến Trình Công Bố Lỗ Hổng Bảo Mật
- 30 tháng 7, 2023: Phát hiện kỹ thuật đánh cắp dữ liệu qua sơ đồ Mermaid
- 4 tháng 8, 2023: Lỗ hổng bảo mật tương tự được công bố cho Cursor IDE
- 15 tháng 8, 2023: Chuỗi lỗ hổng bảo mật đầy đủ được báo cáo cho MSRC
- 26 tháng 9, 2023: MSRC giải quyết vụ việc
- 3 tháng 10, 2023: MSRC xác định M365 Copilot nằm ngoài phạm vi tiền thưởng
Tương lai của bảo mật AI và tiết lộ có trách nhiệm
Microsoft cuối cùng đã vá lỗ hổng bằng cách loại bỏ khả năng tương tác với nội dung động trong biểu đồ Mermaid trong Copilot. Tuy nhiên, câu hỏi lớn hơn vẫn còn đó: các công ty công nghệ nên xử lý nghiên cứu bảo mật cho hệ thống AI vốn dễ bị tổn thương bởi một số loại tấn công nhất định như thế nào? Sự đồng thuận trong cộng đồng dường như cho rằng việc loại trừ các sản phẩm AI khỏi chương trình tiền thưởng cho lỗ hổng chỉ khiến các hệ thống này kém an toàn hơn về lâu dài.
Khi AI ngày càng được tích hợp sâu vào hoạt động kinh doanh, tính bảo mật của các hệ thống này trở nên quan trọng để bảo vệ dữ liệu doanh nghiệp nhạy cảm. Sự cố này làm nổi bật sự căng thẳng đang diễn ra giữa việc triển khai AI nhanh chóng và kiểm tra bảo mật kỹ lưỡng, cho thấy rằng các công ty có thể cần suy nghĩ lại về cách tiếp cận quản lý lỗ hổng AI khi các công nghệ này trở nên phổ biến hơn trong môi trường doanh nghiệp.
Tham khảo: Microsoft 365 Copilot - Rò rỉ dữ liệu tùy ý thông qua biểu đồ Mermaid