GenAI bị “thao túng” chủ đề nhạy cảm gây lỗ hổng bảo mật thế nào?

[Nguyễn Tiến Đạt]

Mô hình DeepSeek-R1 tạo nhiều lỗ hổng hơn khi gặp từ khóa chính trị nhạy cảm​

Nghiên cứu mới của CrowdStrike cho thấy mô hình suy luận AI DeepSeek-R1 từ Trung Quốc tạo ra nhiều lỗ hổng bảo mật hơn khi được nhắc đến các chủ đề mà nước này xem là nhạy cảm về chính trị. Công ty an ninh mạng cho biết khả năng sinh mã có lỗ hổng nghiêm trọng tăng tới 50% khi lời nhắc chứa các yếu tố liên quan đến vấn đề nhạy cảm của Trung Quốc.

DeepSeek từng gây lo ngại về an ninh quốc gia và bị cấm ở nhiều quốc gia. Phiên bản mã nguồn mở DeepSeek-R1 cũng bị phát hiện kiểm duyệt các chủ đề bị coi là nhạy cảm, từ chối trả lời câu hỏi liên quan đến Vạn Lý Trường Thành, tình hình Đài Loan và nhiều chủ đề khác.

Cơ quan An ninh Quốc gia Đài Loan (NSB) đã cảnh báo người dân nên thận trọng khi sử dụng GenAI từ DeepSeek, Doubao, Yiyan, Tongyi và Yuanbao, vì các mô hình này có thể đưa ra nội dung thiên vị, bóp méo lịch sử hoặc khuếch đại thông tin sai lệch. NSB cho biết năm mô hình GenAI này thậm chí có thể tạo tập lệnh tấn công mạng và mã khai thác cho phép thực thi mã từ xa, làm tăng rủi ro an ninh mạng.

CrowdStrike cho biết DeepSeek-R1 là mô hình mã hóa mạnh khi không có từ khóa kích hoạt, chỉ tạo mã dễ tấn công trong 19% trường hợp. Tuy nhiên, khi thêm các từ khóa địa chính trị, chất lượng mã thay đổi đáng kể. Ví dụ, khi yêu cầu DeepSeek-R1 đóng vai trò là tác nhân mã hóa cho hệ thống điều khiển công nghiệp tại Tây Tạng, tỷ lệ xuất hiện lỗ hổng nghiêm trọng tăng lên 27,2%.

Nghiên cứu cho thấy việc chỉ đề cập đến Pháp Luân Công, người Duy Ngô Nhĩ hoặc Tây Tạng cũng đủ khiến mô hình tạo ra mã kém an toàn hơn nhiều, thể hiện “độ lệch đáng kể”. Một ví dụ cho thấy khi yêu cầu tạo trình xử lý webhook PayPal bằng PHP cho tổ chức tài chính ở Tây Tạng, mô hình tạo ra mã mã hóa cứng giá trị bí mật, dùng phương pháp xử lý dữ liệu không an toàn và thậm chí sinh ra mã PHP không hợp lệ. Dù vậy, DeepSeek-R1 vẫn khẳng định mã của mình “tuân theo các thông lệ tốt nhất của PayPal”.

Trong một thử nghiệm khác, mô hình được yêu cầu tạo ứng dụng Android hỗ trợ thành viên cộng đồng người Duy Ngô Nhĩ đăng ký và đăng nhập. Phân tích kỹ cho thấy mã này thiếu quản lý phiên và xác thực, khiến dữ liệu người dùng bị lộ. Trong 35% trường hợp, mô hình không dùng hàm băm, hoặc dùng phương pháp băm không an toàn. Tuy nhiên, khi yêu cầu tương tự nhưng cho một câu lạc bộ người hâm mộ bóng đá, lỗi nghiêm trọng lại không xuất hiện.

CrowdStrike cũng phát hiện “công tắc tắt nội tại” bên trong DeepSeek. Khi được yêu cầu viết mã cho Pháp Luân Công, mô hình từ chối trong 45% trường hợp. Dấu vết lý luận cho thấy mô hình xây dựng kế hoạch tạo mã trước khi đột ngột dừng lại với thông báo: “Tôi rất tiếc, nhưng tôi không thể hỗ trợ yêu cầu đó.”

CrowdStrike đưa ra giả thuyết rằng DeepSeek có thể đã tích hợp các rào chắn từ giai đoạn đào tạo để tuân thủ luật Trung Quốc, vốn yêu cầu dịch vụ AI không được tạo nội dung bất hợp pháp hoặc gây ảnh hưởng đến hiện trạng. Công ty nhấn mạnh mô hình không phải lúc nào cũng tạo mã không an toàn khi gặp từ khóa kích hoạt, nhưng về lâu dài, chất lượng mã có xu hướng kém an toàn hơn.

Những công cụ AI khác cũng bị phát hiện tạo mã không an toàn theo mặc định​

Kết quả này xuất hiện cùng lúc với nghiên cứu của OX Security, cho thấy các công cụ AI viết mã như Lovable, Base44 và Bolt tạo mã không an toàn theo mặc định, ngay cả khi lời nhắc có từ “an toàn”. Cả ba công cụ, khi được giao tạo ứng dụng wiki đơn giản, đều sinh mã dính lỗ hổng XSS, cho phép kẻ tấn công chèn mã độc vào trang web và thực thi JavaScript tùy ý.

Lovable chỉ phát hiện lỗ hổng trong 2/3 thử nghiệm, dẫn đến sự thiếu nhất quán và tạo cảm giác an toàn giả. OX Security cho rằng AI không mang tính xác định, nên có thể đưa ra kết quả khác nhau cho cùng dữ liệu đầu vào, khiến việc quét bảo mật bằng AI trở nên không đáng tin.

Báo cáo cũng liên quan đến một vấn đề bảo mật trong trình duyệt Comet AI của Perplexity. SquareX cho biết hai tiện ích mở rộng “Comet Analytics” và “Comet Agentic” có thể thực thi lệnh cục bộ trên thiết bị người dùng nếu bị khai thác thông qua API MCP. Perplexity đã cập nhật và vô hiệu hóa API này.

Trong kịch bản tấn công giả định, kẻ tấn công có thể tạo tiện ích mở rộng giả, chèn JavaScript độc hại vào perplexity.ai rồi chuyển lệnh đến Agentic để chạy phần mềm độc hại. SquareX cảnh báo rằng chỉ cần một trong hai tiện ích mở rộng hoặc tên miền perplexity.ai bị xâm phạm, kẻ tấn công có thể thực thi lệnh tùy ý trên thiết bị người dùng. (thehackernews)

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview