Prompt Injection: Nguy Cơ Tấn Công Hệ Thống AI & LLMs

24/06/2025
6 mins read

Trong bối cảnh hệ thống trí tuệ nhân tạo (AI) đang phát triển mạnh mẽ, đặc biệt là các mô hình ngôn ngữ lớn (LLMs), các lỗ hổng bảo mật mới cũng dần xuất hiện và trở thành mối quan tâm hàng đầu. Một trong những kỹ thuật tấn công nổi bật, được đề cập trong khuôn khổ MITRE ATT&CK như một biến thể của việc thao túng đầu vào, là Prompt Injection. Kỹ thuật này tập trung vào việc tiêm các chỉ thị độc hại vào đầu vào của mô hình AI, nhằm thay đổi hành vi dự kiến của nó, khiến AI thực hiện các tác vụ không mong muốn hoặc tiết lộ thông tin nhạy cảm.

Nội dung
Kỹ thuật Tấn công: Prompt Injection
Các Nền tảng Bị Khai thác
Chi tiết Hạ tầng và Điểm Yếu
Các Biện pháp Giảm thiểu (TTPs)

Kỹ thuật Tấn công: Prompt Injection

Prompt Injection không phải là một lỗ hổng theo nghĩa truyền thống như SQL Injection hay Cross-Site Scripting, mà là một loại lỗ hổng logic hoặc thiết kế. Nó khai thác khả năng diễn giải ngôn ngữ tự nhiên của các LLMs để vượt qua các biện pháp bảo mật hoặc giới hạn hành vi đã được lập trình. Kẻ tấn công có thể chèn các lệnh ẩn, yêu cầu ghi đè lên hướng dẫn ban đầu của hệ thống, hoặc thậm chí lừa mô hình bỏ qua các quy tắc an toàn. Mục tiêu cuối cùng là khiến AI thực hiện các hành động nằm ngoài ý định của nhà phát triển, từ tiết lộ dữ liệu huấn luyện, mã nguồn, thông tin cá nhân, cho đến thực hiện các hành động độc hại thông qua các API tích hợp.

Các Nền tảng Bị Khai thác

Phạm vi ảnh hưởng của Prompt Injection rất rộng, bao gồm bất kỳ hệ thống nào sử dụng LLMs làm lõi xử lý. Các nền tảng đáng chú ý có thể trở thành mục tiêu bao gồm:

  • Large Language Models (LLMs): Đây là mục tiêu chính vì chúng là cốt lõi của các ứng dụng AI hiện đại. Khả năng hiểu và tạo ngôn ngữ tự nhiên của chúng là con dao hai lưỡi, vừa mang lại sức mạnh, vừa tạo ra lỗ hổng cho các cuộc tấn công dựa trên văn bản.
  • Google Vertex AI platform with Gemini models: Vertex AI là một nền tảng học máy toàn diện của Google Cloud, cung cấp các công cụ để xây dựng, triển khai và quản lý các mô hình ML. Việc tích hợp các mô hình Gemini mạnh mẽ, đa phương thức trên nền tảng này, mặc dù mang lại hiệu suất vượt trội, cũng đồng nghĩa với việc các ứng dụng được xây dựng trên đó có thể kế thừa rủi ro Prompt Injection nếu không được bảo vệ đúng cách. Khả năng của Gemini trong việc xử lý nhiều loại đầu vào (văn bản, hình ảnh, âm thanh) làm tăng bề mặt tấn công.
  • Generative AI agents and applications on Google Cloud: Ngoài các mô hình thô, các tác nhân AI (AI agents) và ứng dụng tổng quát được xây dựng trên Google Cloud, đặc biệt là những ứng dụng có khả năng tương tác với các hệ thống bên ngoài hoặc truy cập dữ liệu nhạy cảm, là mục tiêu hấp dẫn. Những ứng dụng này thường kết hợp nhiều mô hình và API, tạo ra các chuỗi tấn công phức tạp hơn.

Chi tiết Hạ tầng và Điểm Yếu

Để hiểu rõ hơn về các điểm yếu tiềm tàng, cần xem xét các thành phần hạ tầng cụ thể:

  • Gemini API in Vertex AI: Đây là giao diện chính cho các nhà phát triển để tương tác với các mô hình Gemini. Bất kỳ ứng dụng nào sử dụng API này để nhận đầu vào từ người dùng và chuyển tiếp trực tiếp hoặc gián tiếp đến mô hình đều có nguy cơ bị tấn công. Kẻ tấn công có thể cố gắng chèn các lệnh vào chuỗi prompt được gửi qua API này.
  • Imagen on Vertex AI for image generation and watermark verification: Mặc dù Imagen chủ yếu tập trung vào tạo và xử lý hình ảnh, nhưng các mô hình tạo ảnh cũng có thể bị thao túng thông qua prompt. Ví dụ, prompt injection có thể được sử dụng để tạo ra các hình ảnh không phù hợp, bỏ qua các quy tắc kiểm duyệt nội dung, hoặc thậm chí tạo ra các hình ảnh giả mạo mang thông tin sai lệch. Cơ chế xác minh watermark cũng có thể bị nhắm mục tiêu nếu nó phụ thuộc vào các hướng dẫn dễ bị thay đổi.
  • Live API integrated with Google Maps: Sự tích hợp của AI với các API bên ngoài, đặc biệt là những API cung cấp quyền truy cập vào dữ liệu hoặc dịch vụ thời gian thực như Google Maps, tạo ra một bề mặt tấn công đáng kể. Một cuộc tấn công prompt injection thành công có thể khiến AI truy vấn thông tin nhạy cảm từ Google Maps (nếu AI có quyền truy cập đủ rộng), hoặc thậm chí thao túng các yêu cầu đến API đó, tiềm ẩn nguy cơ tiết lộ vị trí, thông tin lộ trình, hoặc các dữ liệu khác mà không có sự cho phép rõ ràng từ người dùng hoặc hệ thống.

Các Biện pháp Giảm thiểu (TTPs)

Để chống lại các cuộc tấn công Prompt Injection, cần áp dụng một cách tiếp cận đa lớp, kết hợp các biện pháp kiểm soát kỹ thuật và quy trình:

  • Input Validation để lọc các prompt độc hại:

    Đây là tuyến phòng thủ đầu tiên. Việc xác thực đầu vào không chỉ giới hạn ở việc kiểm tra định dạng hay kiểu dữ liệu. Đối với LLMs, nó bao gồm việc phân tích ngữ nghĩa và cấu trúc của prompt để phát hiện các dấu hiệu của ý định độc hại. Các kỹ thuật có thể bao gồm:

    • Sanitization (Làm sạch): Loại bỏ hoặc mã hóa các ký tự đặc biệt, chuỗi lệnh không mong muốn.
    • Blacklisting (Danh sách đen) và Whitelisting (Danh sách trắng): Lọc bỏ các từ khóa, cụm từ, hoặc cấu trúc câu đã biết là độc hại (blacklist) hoặc chỉ cho phép các đầu vào theo một cấu trúc an toàn đã định (whitelist).
    • AI-based filters: Sử dụng các mô hình AI khác để phân loại và từ chối các prompt có khả năng gây hại trước khi chúng đến mô hình chính.
    • Chấm điểm rủi ro: Gán điểm rủi ro cho mỗi prompt dựa trên các yếu tố như độ phức tạp, sự hiện diện của các từ khóa nhạy cảm, hoặc cấu trúc bất thường.

    Thách thức lớn nhất là phân biệt giữa prompt hợp lệ và prompt độc hại vì cả hai đều sử dụng ngôn ngữ tự nhiên. Điều này đòi hỏi sự hiểu biết sâu sắc về cách LLM diễn giải các lệnh.

  • Context Isolation để giới hạn quyền truy cập của AI vào dữ liệu nhạy cảm:

    Nguyên tắc này tương tự như “least privilege” (quyền tối thiểu) trong bảo mật truyền thống. Context Isolation đảm bảo rằng mô hình AI chỉ có quyền truy cập vào lượng dữ liệu và tài nguyên cần thiết để thực hiện nhiệm vụ được giao. Điều này bao gồm:

    • Phân vùng dữ liệu: Giới hạn tập dữ liệu mà mô hình có thể truy cập hoặc tham chiếu trong quá trình xử lý prompt. Không bao giờ cung cấp cho mô hình quyền truy cập tổng quát vào toàn bộ cơ sở dữ liệu hoặc kho lưu trữ thông tin.
    • Sandboxing (Hộp cát): Chạy các tác vụ AI trong môi trường biệt lập, nơi chúng không thể tương tác trực tiếp với các hệ thống nhạy cảm hoặc truy cập thông tin ngoài phạm vi cho phép.
    • Kiểm soát truy cập dựa trên vai trò (RBAC): Áp dụng các chính sách kiểm soát truy cập nghiêm ngặt cho các API và tài nguyên mà AI có thể tương tác. Mỗi tác nhân AI hoặc ứng dụng nên có vai trò và quyền hạn được xác định rõ ràng và tối thiểu.
    • Tokenization hoặc che giấu dữ liệu (data masking): Thay thế thông tin nhạy cảm bằng các token hoặc giá trị che giấu trước khi dữ liệu được đưa vào mô hình AI.

    Việc giới hạn bối cảnh giúp giảm thiểu tác động của một cuộc tấn công Prompt Injection thành công, ngăn chặn việc tiết lộ dữ liệu nhạy cảm hoặc thực hiện các hành động không mong muốn trên diện rộng.

  • Robust Monitoring để phát hiện hành vi bất thường trong thời gian thực:

    Ngay cả với các biện pháp phòng thủ mạnh mẽ, khả năng xảy ra một cuộc tấn công vẫn luôn tồn tại. Do đó, việc giám sát liên tục và mạnh mẽ là rất quan trọng để phát hiện và phản ứng kịp thời. Điều này bao gồm:

    • Ghi nhật ký chi tiết (Comprehensive Logging): Ghi lại tất cả các prompt đầu vào, phản hồi của mô hình, và các hành động mà AI thực hiện (ví dụ: các cuộc gọi API). Nhật ký phải đủ chi tiết để phục vụ cho việc điều tra sau này.
    • Phân tích hành vi (Behavioral Analytics): Sử dụng các công cụ và thuật toán để phân tích hành vi của AI và người dùng, tìm kiếm các mẫu bất thường. Ví dụ: một lượng lớn các yêu cầu truy cập dữ liệu nhạy cảm từ một người dùng cụ thể, hoặc các phản hồi của AI đột nhiên thay đổi giọng điệu hoặc nội dung.
    • Hệ thống cảnh báo (Alerting Systems): Thiết lập các ngưỡng và quy tắc để tự động tạo cảnh báo khi phát hiện các hành vi đáng ngờ. Các cảnh báo này cần được gửi đến đội ngũ SOC hoặc quản trị viên hệ thống để điều tra ngay lập tức.
    • Kiểm tra định kỳ (Regular Audits): Thực hiện các cuộc kiểm tra bảo mật thường xuyên, bao gồm kiểm thử thâm nhập và đánh giá lỗ hổng, tập trung vào các kỹ thuật Prompt Injection.

    Hệ thống giám sát hiệu quả giúp nhanh chóng nhận diện các dấu hiệu của một cuộc tấn công đang diễn ra hoặc đã thành công, cho phép đội ngũ bảo mật phản ứng và giảm thiểu thiệt hại.

Tóm lại, bảo vệ các hệ thống Generative AI khỏi Prompt Injection đòi hỏi sự kết hợp chặt chẽ giữa thiết kế an toàn, kiểm soát đầu vào nghiêm ngặt, cách ly bối cảnh và khả năng giám sát mạnh mẽ. Đây là một thách thức liên tục khi các mô hình AI ngày càng trở nên phức tạp và tích hợp sâu hơn vào các ứng dụng thực tế.