Code Nguyen
Writer
Một nhà nghiên cứu của Neural Trust đã phát hiện ra cách khai thác điểm yếu của các mô hình AI như GPT hay Gemini, thông qua kỹ thuật có tên "Echo Chamber" – tức là tạo ra một chuỗi lời nhắc dường như vô hại nhưng lại dẫn mô hình đến việc tạo ra nội dung nguy hiểm.
Từ đó, mô hình bắt đầu hình thành mối liên hệ ngữ cảnh, trở nên quen với chủ đề nhạy cảm, mà không hề bị cảnh báo từ hệ thống. Sau nhiều vòng phản hồi liên tiếp, mô hình có thể bị thuyết phục tạo ra nội dung vi phạm như lời lẽ kích động, hướng dẫn hành vi nguy hiểm hoặc thông tin sai lệch.
Ahmad Alobaid, người phát hiện kỹ thuật này, mô tả rằng mỗi lời nhắc là một “cú hích ngữ nghĩa nhẹ” – tinh tế nhưng có chủ đích, dẫn dắt mô hình theo hướng dần dần nguy hiểm hơn. Chẳng hạn, sau khi mô hình tạo ra một phần thông tin, kẻ tấn công có thể yêu cầu "mở rộng thêm điểm số hai", như một cách hợp lý để tiếp tục chuỗi dẫn dắt.
Điểm nguy hiểm nằm ở chỗ mô hình không nhận ra rằng mình đang bị thao túng, và các phản hồi trước đó trở thành nền tảng cho những phản hồi sau, tạo ra một vòng lặp không thể dễ dàng chặn đứng.
Kết quả rất đáng báo động: với các nội dung như ngôn từ thù hận, b.ạ.o l.ự.c và khiêu d.â.m, tỷ lệ mô hình bị khai thác thành công vượt quá 90%. Với thông tin sai lệch và hành vi tự làm hại, tỷ lệ khoảng 80%. Ngay cả các nội dung khó vượt qua kiểm duyệt như hoạt động bất hợp pháp cũng đạt tỷ lệ 40%.
Alobaid còn cho thấy bằng chứng mô hình đã tạo ra hướng dẫn chế b.o.m x.ă.n.g, chỉ bằng cách bị dẫn dắt khéo léo qua nhiều lượt nhắc.
Neural Trust đã thông báo với cả Google và OpenAI về phát hiện này. Họ khuyến nghị áp dụng các biện pháp kiểm tra ngữ cảnh, tính điểm tích lũy độc tính và phát hiện thao túng gián tiếp. Tuy nhiên, theo Alobaid, các tấn công dạng tinh vi như Echo Chamber rất khó để khắc phục nhanh chóng, do chúng không vi phạm luật ngay từ đầu mà chỉ tạo nền để từng bước vượt rào.
DarkReading
Nguồn bài viết: https://www.darkreading.com/cloud-security/echo-chamber-attack-ai-guardrails
Cách thức hoạt động của Echo Chamber
Khác với những kiểu tấn công trực diện, kỹ thuật này không đưa ra yêu cầu rõ ràng mà dùng những lời nhắc ngầm, từng bước dẫn dắt mô hình tạo ra nội dung trái phép. Ban đầu, kẻ tấn công sử dụng các câu nhắc vô hại để xây dựng một bối cảnh cảm xúc hoặc câu chuyện mang tính ám chỉ. Ví dụ như kể về một người đang gặp khó khăn tài chính trong một đoạn hội thoại tưởng như bình thường.Từ đó, mô hình bắt đầu hình thành mối liên hệ ngữ cảnh, trở nên quen với chủ đề nhạy cảm, mà không hề bị cảnh báo từ hệ thống. Sau nhiều vòng phản hồi liên tiếp, mô hình có thể bị thuyết phục tạo ra nội dung vi phạm như lời lẽ kích động, hướng dẫn hành vi nguy hiểm hoặc thông tin sai lệch.
Ahmad Alobaid, người phát hiện kỹ thuật này, mô tả rằng mỗi lời nhắc là một “cú hích ngữ nghĩa nhẹ” – tinh tế nhưng có chủ đích, dẫn dắt mô hình theo hướng dần dần nguy hiểm hơn. Chẳng hạn, sau khi mô hình tạo ra một phần thông tin, kẻ tấn công có thể yêu cầu "mở rộng thêm điểm số hai", như một cách hợp lý để tiếp tục chuỗi dẫn dắt.
Điểm nguy hiểm nằm ở chỗ mô hình không nhận ra rằng mình đang bị thao túng, và các phản hồi trước đó trở thành nền tảng cho những phản hồi sau, tạo ra một vòng lặp không thể dễ dàng chặn đứng.
Thử nghiệm và cảnh báo
Trong môi trường kiểm soát, Neural Trust đã thử nghiệm Echo Chamber trên các mô hình GPT-4.1-nano, GPT-4o-mini, GPT-4o, Gemini-2.0-flash-lite và Gemini-2.5-flash. Mỗi mô hình thực hiện 200 lần kiểm tra với các chủ đề nhạy cảm như bạo lực, phân biệt giới tính, thù ghét, thông tin sai lệch, nội dung khiêu d.â.m, tự gây thương tích và hoạt động bất hợp pháp.Kết quả rất đáng báo động: với các nội dung như ngôn từ thù hận, b.ạ.o l.ự.c và khiêu d.â.m, tỷ lệ mô hình bị khai thác thành công vượt quá 90%. Với thông tin sai lệch và hành vi tự làm hại, tỷ lệ khoảng 80%. Ngay cả các nội dung khó vượt qua kiểm duyệt như hoạt động bất hợp pháp cũng đạt tỷ lệ 40%.
Alobaid còn cho thấy bằng chứng mô hình đã tạo ra hướng dẫn chế b.o.m x.ă.n.g, chỉ bằng cách bị dẫn dắt khéo léo qua nhiều lượt nhắc.
Neural Trust đã thông báo với cả Google và OpenAI về phát hiện này. Họ khuyến nghị áp dụng các biện pháp kiểm tra ngữ cảnh, tính điểm tích lũy độc tính và phát hiện thao túng gián tiếp. Tuy nhiên, theo Alobaid, các tấn công dạng tinh vi như Echo Chamber rất khó để khắc phục nhanh chóng, do chúng không vi phạm luật ngay từ đầu mà chỉ tạo nền để từng bước vượt rào.
DarkReading
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview