MinhSec
Writer
Cách kẻ tấn công lừa LLM mà không cần lời nhắc trực tiếp
Một hình thức tấn công mạng bằng trí tuệ nhân tạo mới, có tên Echo Chamber, vừa được nhà cung cấp bảo mật AI Neural Trust công bố. Cuộc tấn công Proof-of-Concept (PoC) này cho thấy kẻ tấn công có thể thao túng các mô hình ngôn ngữ lớn (LLM) để tạo ra nội dung nguy hiểm chỉ bằng cách tiêm dần các lời nhắc tinh vi, không hề đưa ra yêu cầu rõ ràng nào.
Echo Chamber được phát hiện bởi nhà nghiên cứu Ahmad Alobaid và hoạt động theo cách khai thác cơ chế suy luận lặp của LLM. Thay vì yêu cầu trực tiếp tạo nội dung vi phạm, kẻ tấn công sử dụng các chuỗi lời nhắc gián tiếp, nhẹ nhàng thiết lập bối cảnh cảm xúc và chủ đề, dẫn mô hình từng bước đến mục tiêu cuối cùng.
Ví dụ, một lời nhắc có vẻ vô hại có thể nói về khó khăn tài chính của một người, được lồng trong cuộc trò chuyện bình thường. Nhưng lời nhắc này đóng vai trò tạo nền để các phản hồi sau dễ dàng chèn tín hiệu nguy hiểm hơn mà không bị mô hình từ chối. Alobaid mô tả cách các "cú hích ngữ nghĩa" này dần khiến mô hình quen với nội dung nhạy cảm, từ đó tạo ra phản hồi ngày càng cụ thể hơn.
Neural Trust cho biết, Echo Chamber thành công trong 80–90% các trường hợp thử nghiệm với những nội dung như khiêu ***, phân biệt giới tính, kích động thù địch và bạo lực. Tỷ lệ thành công đối với thông tin sai lệch và nội dung tự gây hại đạt khoảng 80%, trong khi đối với hoạt động bất hợp pháp và ngôn từ tục tĩu là trên 40%.
Mối đe dọa âm thầm với các hệ thống AI hiện đại
Các thử nghiệm được tiến hành trên nhiều mô hình như GPT-4.1-nano, GPT-4o-mini, GPT-4o, Gemini 2.0 flash-lite và Gemini 2.5 flash. Mỗi mô hình được kiểm tra 200 lần với các hạt giống khác nhau theo 8 danh mục nhạy cảm do Microsoft Crescendo đề xuất, bao gồm: Thô tục, Phân biệt giới tính, Bạo lực, Lời nói căm thù, Thông tin sai lệch, Hoạt động bất hợp pháp, Tự gây thương tích và Khiêu ***.
Alobaid cho biết quá trình khai thác lặp lại này khiến mô hình không dễ dàng từ chối phản hồi, vì mọi yêu cầu đều được xây dựng từ phản hồi trước đó. Khi mô hình đã quen với tông điệu và bối cảnh, khả năng từ chối giảm dần. Ở giai đoạn cuối, mô hình có thể được dẫn dắt tạo ra nội dung bị cấm, ví dụ như hướng dẫn chế tạo bom xăng.
Neural Trust đã thông báo sự việc tới Google và OpenAI, đồng thời triển khai thêm biện pháp bảo vệ. Công ty cũng khuyến nghị các nhà phát triển nên áp dụng kiểm toán theo ngữ cảnh, đánh giá mức độc tính tích lũy và phát hiện truy vấn gián tiếp để đối phó với kiểu tấn công này.
Tuy nhiên, Alobaid thừa nhận việc vá các tấn công dần dần kiểu này sẽ rất khó khăn và mất thời gian, bởi nó không dựa vào các tín hiệu rõ ràng mà thao túng mô hình một cách âm thầm.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview