Chiêu thức có thể khiến ChatGPT làm lộ sạch dữ liệu riêng tư

ChatGPT từ một trợ thủ trung thành có thể trở thành một công cụ phục vụ kẻ xấu.

Tại hội nghị hacker Black Hat ở Las Vegas (Mỹ), hai nhà nghiên cứu Michael Bargury và Tamir Ishay Sharbat đã khiến cả giới an ninh mạng chú ý khi công bố một phương thức tấn công mới mang tên AgentFlayer.

Nghe có vẻ phức tạp, nhưng cơ chế của nó lại đơn giản đến mức khiến ai cũng rùng mình: Chỉ cần một tài liệu bị “đầu độc” được lưu trên Google Drive hoặc GitHub, những nền tảng ChatGPT được cấp quyền truy cập, là dữ liệu riêng tư của người dùng có thể bị đánh cắp.

Cụ thể, kẻ tấn công sẽ nhúng một đoạn lệnh ẩn vào bên trong tài liệu. Khi ChatGPT mở tài liệu đó, đoạn mã sẽ âm thầm kích hoạt, gửi yêu cầu về máy chủ của hacker. Từ đó, các thông tin nhạy cảm như mã API, lịch sử trò chuyện hay dữ liệu bảo mật khác bị rò rỉ ngay lập tức mà người dùng hoàn toàn không hay biết.

Điểm đáng sợ là người dùng không cần phải tải tài liệu về hay mở thủ công. Khi người dùng yêu cầu AI thực hiện một nhiệm vụ liên quan đến tài liệu này, chẳng hạn như tạo một bản tóm tắt, mô hình sẽ đọc lệnh ẩn và thực thi nó. Đây chính là thời điểm AI từ một trợ thủ trung thành trở thành một công cụ phục vụ kẻ xấu.

Lệnh ẩn này không chỉ đơn thuần là một thông điệp mà là một chỉ dẫn chi tiết, hướng dẫn AI bỏ qua nhiệm vụ ban đầu và thay vào đó tìm kiếm, trích xuất thông tin nhạy cảm như API keys hoặc mật khẩu từ kho lưu trữ đám mây được kết nối. Đây là một dạng “prompt injection (Tấn công chèn mã nhanh) gián tiếp” của kẻ gian, trong đó AI bị thao túng bởi dữ liệu đầu vào đã bị cài bẫy.

Tuần qua, một nghiên cứu khác cũng cho thấy mối nguy tương tự: Hacker có thể chiếm quyền điều khiển nhà thông minh chỉ bằng một lời mời được gửi có chứa mã độc, khai thác lỗ hổng trong hệ thống AI Gemini.

Việc liên kết ChatGPT với dịch vụ lưu trữ bên ngoài rõ ràng mang lại nhiều tiện lợi, đặc biệt với lập trình viên khi cần truy cập nhanh vào dữ liệu hay mã nguồn mà không phải di chuyển thủ công. Tuy nhiên, như các chuyên gia cảnh báo, việc trao cho AI quá nhiều quyền truy cập đồng nghĩa với việc mở thêm cánh cửa cho kẻ xấu.