Các nhà nghiên cứu bảo mật đã phát hiện ra những lỗ hổng đáng báo động trong các ứng dụng Mô hình Ngôn ngữ Lớn (LLM) cấp doanh nghiệp. Những lỗ hổng này có khả năng cho phép kẻ tấn công vượt qua hệ thống xác thực và truy cập dữ liệu nhạy cảm của công ty thông qua các kỹ thuật tiêm lệnh (prompt injection) tinh vi. Đây là một rủi ro bảo mật đáng kể đối với các tổ chức đang triển khai các hệ thống AI.
Những phát hiện này cho thấy nhiều tổ chức triển khai chatbot và hệ thống tự động hóa dựa trên AI có thể đang vô tình làm lộ thông tin quan trọng cho các tác nhân độc hại. Nghiên cứu sâu hơn về vấn đề này có thể được tìm thấy tại Humanativa SpA Security Blog, cung cấp cái nhìn chi tiết về các phương pháp tấn công.
Bản Chất Lỗ Hổng Prompt Injection trong LLM
Nguyên Lý Hoạt Động của Prompt Injection
Lỗ hổng cốt lõi bắt nguồn từ kiến trúc cơ bản của LLM. Các mô hình này xử lý cả lệnh hệ thống và truy vấn người dùng như một đầu vào văn bản duy nhất. Không có sự phân tách nghiêm ngặt giữa nội dung đáng tin cậy và nội dung không đáng tin cậy.
Thiết kế thiếu sót này tạo cơ hội cho kẻ tấn công thao túng hành vi của mô hình. Điều này được thực hiện thông qua các prompt (lệnh) được tạo ra cẩn thận. Những prompt này có thể ghi đè các kiểm soát bảo mật và truy cập thông tin được bảo vệ.
Các cuộc tấn công “prompt injection” đặc biệt nguy hiểm. Chúng khai thác khả năng xử lý ngôn ngữ tự nhiên làm cho LLM trở nên mạnh mẽ. Không giống như các lỗ hổng phần mềm truyền thống, những cuộc tấn công này không yêu cầu chuyên môn kỹ thuật cao. Kẻ tấn công có thể chỉ cần yêu cầu hệ thống tiết lộ thông tin nhạy cảm bằng ngôn ngữ đàm thoại.
Các Kịch Bản Tấn Công Prompt Injection Đã Được Chứng Minh
Vượt Qua Kiểm Soát Xác Thực
Các nhà nghiên cứu đã chứng minh một số vector tấn công đáng lo ngại chống lại các ứng dụng LLM doanh nghiệp. Trong một kịch bản, kẻ tấn công đã vượt qua thành công các kiểm soát ủy quyền. Điều này được thực hiện bằng cách trực tiếp gọi các công cụ hệ thống với các tham số tùy ý.
Phương pháp này giúp kẻ tấn công phá vỡ quy trình bảo mật thông thường. Quy trình này thường sẽ xác minh quyền của người dùng. Việc này tạo ra một khe hở để truy cập trái phép vào các tài nguyên nội bộ.
Khai Thác Lỗ Hổng SQL Injection
Một cuộc tấn công đã được chứng minh khác liên quan đến việc thao túng các truy vấn cơ sở dữ liệu. Kỹ thuật SQL injection được sử dụng. Các prompt độc hại được dùng để trích xuất thông tin trái phép từ cơ sở dữ liệu doanh nghiệp.
Các nhà nghiên cứu đã chỉ ra cách kẻ tấn công có thể truy xuất dữ liệu người dùng nhạy cảm. Điều này được thực hiện bằng cách nhúng các lệnh SQL vào các câu hỏi tưởng chừng vô hại gửi đến hệ thống AI. Việc này làm nổi bật rủi ro bảo mật nghiêm trọng đối với dữ liệu.
Nguy Cơ Thực Thi Mã Lệnh Từ Xa (Remote Code Execution – RCE)
Đáng báo động nhất, nghiên cứu tiết lộ rằng một số ứng dụng LLM doanh nghiệp có quyền truy cập cấp hệ thống có thể bị khai thác để thực thi mã lệnh từ xa (Remote Code Execution – RCE). Tiềm năng này cho phép kẻ tấn công giành quyền kiểm soát cơ sở hạ tầng cơ bản. Đây là nơi lưu trữ các dịch vụ AI.
Việc chiếm quyền điều khiển ở cấp độ hệ thống có thể dẫn đến hậu quả thảm khốc. Nó bao gồm khả năng cài đặt mã độc, thay đổi cấu hình hệ thống hoặc đánh cắp toàn bộ dữ liệu. Đây là một trong những rủi ro bảo mật cao nhất.
Thách Thức Bảo Mật Đặc Thù của Ứng Dụng LLM
Khó Khăn Trong Việc Vá Lỗi
Các hàm ý bảo mật đối với doanh nghiệp là rất đáng kể. Nhiều tổ chức đã nhanh chóng triển khai các ứng dụng dựa trên LLM mà không hiểu đầy đủ các thách thức bảo mật độc đáo mà chúng đặt ra. Không giống như các ứng dụng web truyền thống nơi các lỗ hổng bảo mật có thể được vá thông qua cập nhật mã, các lỗ hổng LLM vốn dĩ rất khó giải quyết.
Điều này là do bản chất xác suất của các mô hình và khả năng xử lý ngôn ngữ tự nhiên của chúng. Việc vá lỗi không đơn thuần là sửa một dòng mã cụ thể, mà đòi hỏi phải hiểu sâu về cách mô hình diễn giải và phản hồi các prompt.
Ảnh Hưởng của Tham Số Temperature
Nghiên cứu nhấn mạnh rằng cài đặt tham số temperature trong LLM bổ sung thêm một lớp phức tạp cho việc kiểm thử bảo mật. Cùng một prompt độc hại có thể thành công trong một trường hợp nhưng lại thất bại trong trường hợp khác. Điều này là do tính ngẫu nhiên được tích hợp trong quá trình tạo phản hồi của mô hình.
Sự không nhất quán này gây khó khăn cho việc kiểm thử và xác minh tính hiệu quả của các biện pháp bảo mật. Nó đòi hỏi một cách tiếp cận toàn diện và lặp lại liên tục để phát hiện và giảm thiểu các rủi ro bảo mật.
Các Biện Pháp Giảm Thiểu và Phòng Ngừa
Thực Hành AI Red Teaming và Giám Sát Chi Tiết
Các chuyên gia bảo mật khuyến nghị các tổ chức nên triển khai các thực hành AI red teaming toàn diện. Đồng thời, cần duy trì các hệ thống ghi nhật ký (logging) chi tiết để giám sát hành vi của LLM. AI red teaming giúp chủ động tìm kiếm và khai thác các lỗ hổng tiềm ẩn trước khi kẻ tấn công có thể làm được.
Hệ thống ghi nhật ký chi tiết cung cấp khả năng hiển thị về các tương tác của mô hình, giúp phát hiện các hoạt động bất thường hoặc đáng ngờ. Việc này là rất quan trọng để duy trì an toàn thông tin cho các hệ thống LLM.
Hướng Dẫn Kiểm Thử Bảo Mật AI
Hướng dẫn Kiểm thử AI của OWASP (OWASP AI Testing Guide) đã được phát triển để hỗ trợ các tổ chức thiết lập các phương pháp kiểm thử bảo mật phù hợp cho các ứng dụng AI. Nguồn tài liệu này cung cấp một khung sườn có cấu trúc để đánh giá các rủi ro và lỗ hổng.
Khi các doanh nghiệp tiếp tục tích hợp công nghệ AI vào hoạt động của mình, việc giải quyết các lỗ hổng bảo mật cơ bản này sẽ rất quan trọng. Điều này giúp ngăn chặn các vụ rò rỉ dữ liệu và duy trì lòng tin của khách hàng vào các dịch vụ hỗ trợ AI.
