Phát Hiện Các Đại Lý Trí Tuệ Nhân Tạo Chính Dễ Bị Đánh Cắp, Theo Nghiên Cứu

Một số trợ lý AI được sử dụng rộng rãi nhất từ Microsoft, Google, OpenAI và Salesforce có thể bị kẻ tấn công chiếm đoạt mà không cần nhiều hoặc không cần sự tương tác của người dùng, theo một nghiên cứu mới từ Zenity Labs.nghiên cứu.

Được trình bày tại hội nghị về an ninh mạng Black Hat USA, các kết quả nghiên cứu cho thấy rằng các hacker có thể đánh cắp dữ liệu, thao túng quy trình làm việc, và thậm chí giả mạo người dùng. Trong một số trường hợp, kẻ tấn công có thể đạt được “sự lưu trữ trong bộ nhớ” – điều này cho phép họ tiếp tục truy cập và kiểm soát trong một thời gian dài.

“Họ có thể thao túng các hướng dẫn, đầu độc nguồn kiến thức, và hoàn toàn thay đổi hành vi của đại lý,” Greg Zemlin, quản lý sản phẩm tiếp thị tại Zenity Labs, cho biết với Cybersecurity Dive. “Điều này mở ra cánh cửa cho việc phá hoại, làm gián đoạn hoạt động, và thông tin sai lệch lâu dài, đặc biệt trong môi trường nơi các đại lý được tin tưởng để đưa ra hoặc hỗ trợ các quyết định quan trọng.”

Các nhà nghiên cứu đã minh họa toàn bộ chuỗi tấn công đối với một số nền tảng AI doanh nghiệp lớn. Trong một trường hợp, ChatGPT của OpenAI đã bị đánh cắp thông qua việc tiêm dấu nhắc qua email, cho phép truy cập vào dữ liệu Google Drive đã kết nối.

Microsoft Copilot Studio đã bị phát hiện rò rỉ cơ sở dữ liệu CRM, với hơn 3.000 đại lý dễ bị tấn công được xác định trực tuyến. Nền tảng Einstein của Salesforce đã bị thao túng để chuyển hướng thông tin liên lạc của khách hàng đến các tài khoản email do kẻ tấn công kiểm soát.

Trong khi đó, Gemini của Google và Microsoft 365 Copilot có thể bị biến đổi thành mối đe dọa từ bên trong, có khả năng đánh cắp các cuộc trò chuyện nhạy cảm và lan truyền thông tin sai lệch.

Ngoài ra, các nhà nghiên cứu đã có thể lừa AI Gemini của Google để điều khiển các thiết bị nhà thông minh. Cuộc tấn công đã tắt đèn, mở cửa sổ và khởi động lò hơi mà không cần lệnh của người dân.

Zenity đã công bố những phát hiện của mình, thúc đẩy một số công ty phát hành các bản vá. “Chúng tôi đánh giá cao công việc của Zenity trong việc xác định và báo cáo trách nhiệm về những phương pháp này,” một người phát ngôn của Microsoft nói với Cybersecurity Dive. Microsoft cho biết hành vi được báo cáo “không còn hiệu quả” và rằng các đại lý của Copilot đã có các biện pháp phòng ngừa đúng mực.

OpenAI xác nhận đã vá lỗi ChatGPT và đang thực hiện chương trình thưởng cho việc tìm lỗi. Salesforce cho biết đã khắc phục vấn đề được báo cáo. Google cho biết đã triển khai “các biện pháp phòng thủ lớp”, và nhấn mạnh rằng “việc có một chiến lược phòng thủ lớp đối với các cuộc tấn công tiêm mã là rất crucial,” như được Cybersecurity Dive báo cáo.

Báo cáo nổi bật những mối quan tâm về an ninh ngày càng tăng khi các đại lý AI trở nên phổ biến hơn trong các nơi làm việc và được tin tưởng để xử lý các nhiệm vụ nhạy cảm.

Trong một cuộc điều tra gần đây, đã được báo cáo rằng các hacker có thể đánh cắp tiền điện tử từ các đại lý AI Web3 bằng cách gieo rắc những kỷ niệm giả mạo làm ghi đè lên các biện pháp bảo vệ bình thường.

Lỗi bảo mật tồn tại trong ElizaOS và các nền tảng tương tự vì kẻ tấn công có thể sử dụng các đại lý bị xâm nhập để chuyển tiền giữa các nền tảng khác nhau. Tính chất vĩnh viễn của các giao dịch blockchain khiến việc lấy lại tiền bị đánh cắp trở nên không thể. Một công cụ mới, CrAIBench, nhằm giúp các lập trình viên tăng cường biện pháp phòng thủ.