MinhSec
Writer
Khi các mô hình ngôn ngữ lớn (LLM) được tích hợp vào hệ thống doanh nghiệp, một lỗ hổng mới xuất hiện: khai thác ngôn ngữ để điều khiển tác nhân AI. Không cần mã độc hay liên kết lừa đảo kẻ tấn công chỉ cần một lời nhắc đúng cách.
Trong vụ tấn công "không nhấp chuột" mang tên Echoleak, Microsoft 365 Copilot đã bị thao túng bởi một lời nhắc được ngụy trang trong dữ liệu. Copilot không bị hack theo nghĩa truyền thống nó chỉ đơn giản làm điều nó được thiết kế: hiểu và thực hiện lệnh. Nhưng chính vì điều đó, nó trở thành công cụ bị lợi dụng.
Rủi ro đến từ việc tác nhân AI được lập trình để hỗ trợ người dùng, phản hồi ngôn ngữ tự nhiên một cách tuân thủ. Những lời nhắc nghe có vẻ bình thường, nhưng được thiết kế khéo léo, có thể kích hoạt các hành động như gửi email, gọi API, hay truy cập dữ liệu tất cả đều trong vai trò "giúp đỡ" người dùng.
Các cuộc tấn công dạng này đã vượt qua nhiều lớp bảo vệ truyền thống. Tin tặc có thể chia nhỏ mệnh lệnh, dùng ngôn ngữ mơ hồ, sử dụng các ngôn ngữ khác tiếng Anh, hoặc giấu lệnh trong định dạng tệp lạ. Dù nhiều hệ thống dùng mô hình "watchdog" để giám sát lời nhắc nguy hiểm, chúng vẫn bị vượt qua.
Theo báo cáo từ Check Point:
62% giám đốc an ninh thông tin (CISO) lo sợ sẽ bị truy cứu trách nhiệm cá nhân nếu xảy ra sự cố bảo mật do AI.
40% tổ chức thừa nhận đã tích hợp AI nội bộ mà không có giám sát an ninh.
20% nhóm tội phạm mạng hiện đã sử dụng AI để thực hiện trinh sát và tấn công lừa đảo.
Khi AI như Copilot được cấp quyền truy cập sâu vào hệ điều hành hoặc bộ công cụ Office 365, khả năng gây thiệt hại mở rộng đáng kể. Tương tự như lỗ hổng SQL injection trước đây điểm yếu không nằm ở mã, mà ở cách hệ thống phân biệt đầu vào và lệnh.
Thay vì cố ngăn chặn mọi cuộc tấn công, các tổ chức nên tập trung vào khả năng phát hiện và phản ứng nhanh:
Giám sát hoạt động của tác nhân AI theo thời gian thực
Ghi nhật ký đầy đủ các lời nhắc và hành vi AI
Áp dụng nguyên tắc truy cập tối thiểu
Thêm bước xác nhận cho các hành động nhạy cảm
Kiểm tra hệ thống bằng các lời nhắc giả định để phát hiện lỗ hổng
Các công cụ bảo mật truyền thống như EDR không thể phát hiện loại tấn công này vì đây không còn là tấn công vào mã, mà là tấn công vào ý định và ngữ cảnh.
Trong dài hạn, nếu được huấn luyện và triển khai đúng cách, chính các tác nhân AI cũng có thể trở thành lớp phòng thủ hiệu quả. Chúng có khả năng tự học từ các cuộc tấn công trước, phản ứng nhanh hơn con người, và chủ động ngăn chặn mối đe dọa từ khi còn trong trứng nước.
www.unite.ai
Trong vụ tấn công "không nhấp chuột" mang tên Echoleak, Microsoft 365 Copilot đã bị thao túng bởi một lời nhắc được ngụy trang trong dữ liệu. Copilot không bị hack theo nghĩa truyền thống nó chỉ đơn giản làm điều nó được thiết kế: hiểu và thực hiện lệnh. Nhưng chính vì điều đó, nó trở thành công cụ bị lợi dụng.
Rủi ro đến từ việc tác nhân AI được lập trình để hỗ trợ người dùng, phản hồi ngôn ngữ tự nhiên một cách tuân thủ. Những lời nhắc nghe có vẻ bình thường, nhưng được thiết kế khéo léo, có thể kích hoạt các hành động như gửi email, gọi API, hay truy cập dữ liệu tất cả đều trong vai trò "giúp đỡ" người dùng.
Lỗ hổng hiện hữu và đang bị khai thác rộng rãi
Các cuộc tấn công dạng này đã vượt qua nhiều lớp bảo vệ truyền thống. Tin tặc có thể chia nhỏ mệnh lệnh, dùng ngôn ngữ mơ hồ, sử dụng các ngôn ngữ khác tiếng Anh, hoặc giấu lệnh trong định dạng tệp lạ. Dù nhiều hệ thống dùng mô hình "watchdog" để giám sát lời nhắc nguy hiểm, chúng vẫn bị vượt qua.
Theo báo cáo từ Check Point:
62% giám đốc an ninh thông tin (CISO) lo sợ sẽ bị truy cứu trách nhiệm cá nhân nếu xảy ra sự cố bảo mật do AI.
40% tổ chức thừa nhận đã tích hợp AI nội bộ mà không có giám sát an ninh.
20% nhóm tội phạm mạng hiện đã sử dụng AI để thực hiện trinh sát và tấn công lừa đảo.
Khi AI như Copilot được cấp quyền truy cập sâu vào hệ điều hành hoặc bộ công cụ Office 365, khả năng gây thiệt hại mở rộng đáng kể. Tương tự như lỗ hổng SQL injection trước đây điểm yếu không nằm ở mã, mà ở cách hệ thống phân biệt đầu vào và lệnh.
Phát hiện nhanh quan trọng hơn bảo mật tuyệt đối
Thay vì cố ngăn chặn mọi cuộc tấn công, các tổ chức nên tập trung vào khả năng phát hiện và phản ứng nhanh:
Giám sát hoạt động của tác nhân AI theo thời gian thực
Ghi nhật ký đầy đủ các lời nhắc và hành vi AI
Áp dụng nguyên tắc truy cập tối thiểu
Thêm bước xác nhận cho các hành động nhạy cảm
Kiểm tra hệ thống bằng các lời nhắc giả định để phát hiện lỗ hổng
Các công cụ bảo mật truyền thống như EDR không thể phát hiện loại tấn công này vì đây không còn là tấn công vào mã, mà là tấn công vào ý định và ngữ cảnh.
Trong dài hạn, nếu được huấn luyện và triển khai đúng cách, chính các tác nhân AI cũng có thể trở thành lớp phòng thủ hiệu quả. Chúng có khả năng tự học từ các cuộc tấn công trước, phản ứng nhanh hơn con người, và chủ động ngăn chặn mối đe dọa từ khi còn trong trứng nước.
The Security Vulnerabilities We Built In: AI Agents and the Problem with Obedience
LLM-based AI agents are introducing a new class of vulnerabilities, where attackers inject malicious instructions into data, turning helpful systems into unwitting accomplices. Microsoft Copilot wasnât hacked in the traditional sense. There was no malware, no phishing link, no malicious code. No...
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview