-
09/04/2020
-
117
-
1.226 bài viết
Cảnh báo kỹ thuật tấn công mới có thể đầu độc ChatGPT Atlas và các trình duyệt AI khác
Một kỹ thuật tấn công mới mang tên “agent-aware cloaking” đang khiến giới an ninh mạng lo ngại. Chiêu trò này khiến các hệ thống AI có thể vô tình học hoặc trích dẫn dữ liệu bị thao túng, từ đó làm sai lệch kết quả tìm kiếm, tuyển dụng, đánh giá uy tín hay ra quyết định tự động.
Hiểu đơn giản, thì con người nhìn thấy một trang web bình thường, nhưng AI như ChatGPT Atlas hay Perplexity lại bị “cho xem” phiên bản giả mạo, chứa thông tin sai lệch hoặc có chủ đích thao túng. Dẫn đến việc trả về thông tin sai lệch cho người dùng.
Các nhà nghiên cứu tại SPLX Security Labs đã phát hiện ra kỹ thuật này trong quá trình thử nghiệm với ChatGPT Atlas. Atlas được xây dựng trên nền Chromium, có khả năng tự duyệt web, tìm kiếm và tóm tắt nội dung trực tiếp từ trang web thật. Tuy nhiên, chính khả năng này lại trở thành điểm yếu khi một trang web phát hiện user-agent là “ChatGPT-User” hoặc “PerplexityBot”, nó có thể phục vụ nội dung khác hoàn toàn so với người dùng thật.
Ví dụ, nhóm nghiên cứu SPLX tạo một trang web giới thiệu nghề nghiệp cho “Zerphina Quortane” - nhân vật giả tưởng mà họ tự tạo ra. Khi con người truy cập, họ thấy một hồ sơ sáng sủa, chuyên nghiệp. Nhưng khi ChatGPT Atlas truy cập, trang lại hiển thị một câu chuyện tiêu cực, buộc tội Zerphina là kẻ “phá hoại sản phẩm” và “vô đạo đức”.... Hậu quả là, khi AI tổng hợp thông tin, nó tự tin mô tả Zerphina như một người đáng ngờ, dù thực tế không hề có dữ liệu thật nào như vậy.
Về kỹ thuật, đây không phải là một vụ tấn công xâm nhập mà là 1 "cú lừa". Chỉ cần một dòng lệnh trên máy chủ:
Vậy là xong, AI thấy một Internet khác.
Đây chính là sự tiến hóa từ kỹ thuật cloaking trong SEO, vốn dùng để đánh lừa công cụ tìm kiếm như Google. Nhưng lần này, mục tiêu không phải là thứ hạng tìm kiếm, mà là nhận thức và quyết định của trí tuệ nhân tạo.
Kết quả, khi ChatGPT Atlas quét dữ liệu để đánh giá ứng viên, Natalie được chấm 88/100, cao hơn hẳn các đối thủ. Nhưng khi xem bản thật, điểm chỉ còn 26/100.
Điều này cho thấy AI hoàn toàn có thể bị dẫn dắt bởi dữ liệu bị bóp méo, ảnh hưởng trực tiếp tới quy trình tuyển dụng, xếp hạng sản phẩm, đánh giá rủi ro, hoặc ra quyết định tự động trong doanh nghiệp.
Thậm chí, kẻ xấu có thể giấu mã độc hoặc chèn lệnh ngầm trong các trang dành riêng cho AI, khiến hệ thống tự thực thi hành vi nguy hiểm.
Hiểu đơn giản, thì con người nhìn thấy một trang web bình thường, nhưng AI như ChatGPT Atlas hay Perplexity lại bị “cho xem” phiên bản giả mạo, chứa thông tin sai lệch hoặc có chủ đích thao túng. Dẫn đến việc trả về thông tin sai lệch cho người dùng.
Các nhà nghiên cứu tại SPLX Security Labs đã phát hiện ra kỹ thuật này trong quá trình thử nghiệm với ChatGPT Atlas. Atlas được xây dựng trên nền Chromium, có khả năng tự duyệt web, tìm kiếm và tóm tắt nội dung trực tiếp từ trang web thật. Tuy nhiên, chính khả năng này lại trở thành điểm yếu khi một trang web phát hiện user-agent là “ChatGPT-User” hoặc “PerplexityBot”, nó có thể phục vụ nội dung khác hoàn toàn so với người dùng thật.
Ví dụ, nhóm nghiên cứu SPLX tạo một trang web giới thiệu nghề nghiệp cho “Zerphina Quortane” - nhân vật giả tưởng mà họ tự tạo ra. Khi con người truy cập, họ thấy một hồ sơ sáng sủa, chuyên nghiệp. Nhưng khi ChatGPT Atlas truy cập, trang lại hiển thị một câu chuyện tiêu cực, buộc tội Zerphina là kẻ “phá hoại sản phẩm” và “vô đạo đức”.... Hậu quả là, khi AI tổng hợp thông tin, nó tự tin mô tả Zerphina như một người đáng ngờ, dù thực tế không hề có dữ liệu thật nào như vậy.
Về kỹ thuật, đây không phải là một vụ tấn công xâm nhập mà là 1 "cú lừa". Chỉ cần một dòng lệnh trên máy chủ:
Vậy là xong, AI thấy một Internet khác.
Đây chính là sự tiến hóa từ kỹ thuật cloaking trong SEO, vốn dùng để đánh lừa công cụ tìm kiếm như Google. Nhưng lần này, mục tiêu không phải là thứ hạng tìm kiếm, mà là nhận thức và quyết định của trí tuệ nhân tạo.
Khi dữ liệu “đầu độc” tạo thành quyết định sai lầm
Trong thí nghiệm thứ hai, SPLX tạo 5 hồ sơ xin việc giả trên web. Với người thật, tất cả giống hệt nhau. Nhưng với AI, một hồ sơ “Natalie Carter” được “tẩm độc” sẵn thì trang web sẽ hiển thị cho AI một phiên bản khác, phóng đại kỹ năng và thành tích.Kết quả, khi ChatGPT Atlas quét dữ liệu để đánh giá ứng viên, Natalie được chấm 88/100, cao hơn hẳn các đối thủ. Nhưng khi xem bản thật, điểm chỉ còn 26/100.
Điều này cho thấy AI hoàn toàn có thể bị dẫn dắt bởi dữ liệu bị bóp méo, ảnh hưởng trực tiếp tới quy trình tuyển dụng, xếp hạng sản phẩm, đánh giá rủi ro, hoặc ra quyết định tự động trong doanh nghiệp.
Thậm chí, kẻ xấu có thể giấu mã độc hoặc chèn lệnh ngầm trong các trang dành riêng cho AI, khiến hệ thống tự thực thi hành vi nguy hiểm.
- Không để lại dấu vết: Người dùng không thấy nội dung giả, nên khó phát hiện trang web nào đang “đầu độc” AI.
- Tác động dây chuyền: Khi dữ liệu bị “nhiễm độc” ở tầng truy xuất, các mô hình AI có thể học và lan truyền thông tin sai.
- Ảnh hưởng đến danh tiếng và quyết định thật: Một cá nhân, thương hiệu hoặc công ty có thể bị “bôi nhọ” hoặc thổi phồng danh tiếng chỉ bằng một thay đổi trong giao diện web.
- Không cần hack hay lỗ hổng phần mềm: Kẻ tấn công chỉ cần thao túng nội dung được phân phối cho các user-agent AI.
- Xác thực nguồn dữ liệu: AI cần kiểm tra dấu hiệu xác thực nguồn gốc để xác minh thông tin đến từ trang thật.
- Kiểm tra sự nhất quán nội dung: So sánh kết quả truy xuất giữa người dùng thật và AI.
- Quản lý crawler rõ ràng: Website nên công bố danh sách user-agent được phép truy cập và xác thực AI crawler hợp pháp.
- Giám sát hành vi bất thường: Theo dõi log truy cập và phản hồi AI khi gặp trang cloaking.
- Phát triển hệ thống chống đầu độc dữ liệu cho các mô hình lớn, đặc biệt trong AI tìm kiếm và tóm tắt.
WhiteHat
Chỉnh sửa lần cuối: