-
09/04/2020
-
117
-
1.214 bài viết
“Zero-click AI”: Khi chatbot doanh nghiệp vô tình trở thành "gián điệp" nội bộ
Một phát hiện mới từ một nhóm các nhà nghiên cứu bảo mật, đang khiến giới doanh nghiệp phải nhìn lại cách họ triển khai các trợ lý ảo tự động (AI agent). Trong thử nghiệm, các nhà nghiên cứu đã sao chép lại một chatbot chăm sóc khách hàng trên nền tảng Microsoft Copilot Studio và chứng minh rằng chỉ với vài câu lệnh tự nhiên, hacker có thể chiếm quyền điều khiển chatbot và đánh cắp toàn bộ dữ liệu khách hàng.
Cuộc tấn công được nhóm các nhà nghiên cứu từ Zenity Labs đã mô phỏng cuộc tấn công diễn ra trong hai giai đoạn. Ở bước đầu, tin tặc chỉ cần “dụ” chatbot tiết lộ cấu hình nội bộ, bao gồm tên các nguồn dữ liệu mà AI được kết nối. Thông tin tưởng như vô thưởng vô phạt này, lại chính là “chìa khóa vàng” để mở ra giai đoạn tiếp theo là tấn công thực thi.
Bằng cách gửi một email có nội dung được viết khéo léo, một dạng “prompt injection”, kẻ tấn công yêu cầu chatbot đọc toàn bộ tệp dữ liệu của khách hàng rồi gửi thẳng đến địa chỉ email của hacker. Và vì hệ thống được kết nối trực tiếp với Salesforce CRM, nên cùng kỹ thuật này có thể được dùng để tải xuống toàn bộ hồ sơ khách hàng chỉ trong vài giây.
Điều đáng lo là toàn bộ quá trình diễn ra tự động, không cần sự can thiệp hay xác nhận nào từ con người, dạng “zero-click attack”. Microsoft đã vá lỗ hổng trong hai tháng, nhưng Zenity Labs cảnh báo rằng đây chỉ là phần nổi của tảng băng, các kỹ thuật prompt injection có thể được ngụy trang bằng vô số cách khác nhau, khiến việc chặn bằng danh sách đen gần như vô nghĩa.
Bản chất của vấn đề nằm ở việc AI agent có quyền truy cập quá rộng và không được kiểm soát chặt chẽ. Chatbot trong thí nghiệm được cấp quyền truy cập dữ liệu khách hàng, thư mục nội bộ, CRM và email mà không có quy tắc ràng buộc rõ ràng về việc khi nào và ai có thể yêu cầu truy cập.
Các chuyên gia đã phân tích 5 bước chính trong chuỗi tấn công:
Vụ việc này gióng lên hồi chuông cảnh báo cho những tổ chức đang tích hợp AI agent vào quy trình chăm sóc khách hàng, bán hàng, hay vận hành nội bộ. Khi các tác vụ được tự động hóa, AI không chỉ giúp tăng năng suất, mà còn mở rộng cửa cho tội phạm mạng nếu không được kiểm soát đúng cách.
Các chuyên gia cho rằng, bảo mật cấp nền tảng là chưa đủ. Doanh nghiệp cần thiết lập các lớp bảo vệ ở cấp dữ liệu, nghĩa là mỗi tệp hoặc cơ sở dữ liệu phải được gắn quy tắc sử dụng cụ thể, ví dụ: AI được phép truy cập, trong hoàn cảnh nào và cho mục đích gì. Khi đó, dù chatbot có bị lừa, dữ liệu vẫn tự bảo vệ được chính nó.
Để hạn chế nguy cơ tấn công tương tự, các chuyên gia khuyến cáo các doanh nghiệp nên:
Cuộc tấn công được nhóm các nhà nghiên cứu từ Zenity Labs đã mô phỏng cuộc tấn công diễn ra trong hai giai đoạn. Ở bước đầu, tin tặc chỉ cần “dụ” chatbot tiết lộ cấu hình nội bộ, bao gồm tên các nguồn dữ liệu mà AI được kết nối. Thông tin tưởng như vô thưởng vô phạt này, lại chính là “chìa khóa vàng” để mở ra giai đoạn tiếp theo là tấn công thực thi.
Bằng cách gửi một email có nội dung được viết khéo léo, một dạng “prompt injection”, kẻ tấn công yêu cầu chatbot đọc toàn bộ tệp dữ liệu của khách hàng rồi gửi thẳng đến địa chỉ email của hacker. Và vì hệ thống được kết nối trực tiếp với Salesforce CRM, nên cùng kỹ thuật này có thể được dùng để tải xuống toàn bộ hồ sơ khách hàng chỉ trong vài giây.
Điều đáng lo là toàn bộ quá trình diễn ra tự động, không cần sự can thiệp hay xác nhận nào từ con người, dạng “zero-click attack”. Microsoft đã vá lỗ hổng trong hai tháng, nhưng Zenity Labs cảnh báo rằng đây chỉ là phần nổi của tảng băng, các kỹ thuật prompt injection có thể được ngụy trang bằng vô số cách khác nhau, khiến việc chặn bằng danh sách đen gần như vô nghĩa.
Bản chất của vấn đề nằm ở việc AI agent có quyền truy cập quá rộng và không được kiểm soát chặt chẽ. Chatbot trong thí nghiệm được cấp quyền truy cập dữ liệu khách hàng, thư mục nội bộ, CRM và email mà không có quy tắc ràng buộc rõ ràng về việc khi nào và ai có thể yêu cầu truy cập.
Các chuyên gia đã phân tích 5 bước chính trong chuỗi tấn công:
- Chatbot vô tình tiết lộ danh sách nguồn dữ liệu nội bộ.
- Hộp thư đến mở cho phép nhận lệnh từ bất kỳ ai gửi email.
- Thiếu quy tắc truy cập khiến dữ liệu có thể bị sao chép toàn bộ.
- Kết nối CRM không được kiểm soát dẫn đến rò rỉ thông tin khách hàng.
- Không có giới hạn hành động tự động, khiến toàn bộ quy trình diễn ra mà không ai kịp phát hiện.
Vụ việc này gióng lên hồi chuông cảnh báo cho những tổ chức đang tích hợp AI agent vào quy trình chăm sóc khách hàng, bán hàng, hay vận hành nội bộ. Khi các tác vụ được tự động hóa, AI không chỉ giúp tăng năng suất, mà còn mở rộng cửa cho tội phạm mạng nếu không được kiểm soát đúng cách.
Các chuyên gia cho rằng, bảo mật cấp nền tảng là chưa đủ. Doanh nghiệp cần thiết lập các lớp bảo vệ ở cấp dữ liệu, nghĩa là mỗi tệp hoặc cơ sở dữ liệu phải được gắn quy tắc sử dụng cụ thể, ví dụ: AI được phép truy cập, trong hoàn cảnh nào và cho mục đích gì. Khi đó, dù chatbot có bị lừa, dữ liệu vẫn tự bảo vệ được chính nó.
Để hạn chế nguy cơ tấn công tương tự, các chuyên gia khuyến cáo các doanh nghiệp nên:
- Giới hạn quyền truy cập của AI agent vào dữ liệu nhạy cảm.
- Xác định rõ nguồn gửi lệnh hợp lệ (email, hệ thống nội bộ).
- Gắn quy tắc bảo mật trực tiếp vào dữ liệu thay vì chỉ dựa vào nền tảng.
- Theo dõi hành vi bất thường của AI agent, đặc biệt là các yêu cầu đọc hoặc gửi dữ liệu hàng loạt.
- Đào tạo nhân viên về nguy cơ prompt injection và tấn công zero-click trong môi trường AI.
WhiteHat