Dũng Đỗ
Topaz
Cuộc đua trí tuệ nhân tạo (AI) toàn cầu đang bước vào một giai đoạn đen tối mới, nơi các mô hình ngôn ngữ lớn (LLM) trị giá hàng tỷ USD trở thành mục tiêu của những vụ trộm cắp sở hữu trí tuệ tinh vi chưa từng có. Trong một báo cáo bảo mật chấn động công bố hôm 13/2, Nhóm Phân tích Mối đe dọa của Google (Google Threat Intelligence Group - GTIG) đã phát đi cảnh báo nghiêm trọng về tình trạng các LLM hàng đầu đang bị tấn công dồn dập. Đáng chú ý nhất là chiến dịch quy mô lớn vừa bị phát hiện, trong đó tin tặc đã sử dụng tới hơn 100.000 câu lệnh (prompt) nhằm giải mã và sao chép cơ chế suy luận cốt lõi của siêu AI Gemini.
Kỹ thuật "Chưng cất Kiến thức": Khi học trò ăn cắp bí kíp của thầy
Phương thức tấn công được các chuyên gia GTIG chỉ mặt đặt tên là Trích xuất Mô hình (Model Extraction Attacks - MEA), với kỹ thuật chủ đạo mang tên "Chưng cất kiến thức" (Knowledge Distillation). Đây không phải là một cuộc tấn công mạng thông thường nhằm vào lỗ hổng phần mềm hay đánh sập hệ thống, mà là một sự khai thác xảo quyệt dựa trên chính tính năng hoạt động của AI.
Về bản chất, chưng cất kiến thức là một kỹ thuật học máy (machine learning) hợp pháp, thường được ví von như mối quan hệ giữa "giáo viên" (mô hình AI lớn, hoàn thiện) và "học sinh" (mô hình AI nhỏ hơn, đang được huấn luyện). Trong kịch bản tấn công này, tin tặc đóng vai trò là người điều khiển mô hình "học sinh". Chúng liên tục gửi hàng nghìn, thậm chí hàng trăm nghìn câu hỏi đầu vào (prompt) cho mô hình "giáo viên" là Gemini. Từ những câu trả lời chi tiết và chất lượng cao mà Gemini xuất ra, kẻ tấn công sẽ thu thập dữ liệu, phân tích quy trình suy luận logic và sử dụng chính kết quả đó để tinh chỉnh (fine-tune) cho mô hình của riêng mình.
Chiến dịch 100.000 prompt và tham vọng tái tạo Gemini
Trong vụ việc cụ thể vừa bị phanh phui, kẻ tấn công đã triển khai một chiến dịch bài bản với hơn 100.000 câu lệnh khác nhau. Phạm vi câu hỏi cực rộng, bao phủ nhiều lĩnh vực và loại hình nhiệm vụ, cho thấy rõ nỗ lực không chỉ dừng lại ở việc lấy thông tin đơn lẻ mà là tái tạo lại toàn bộ khả năng suy luận phức tạp của Gemini. Các chuyên gia bảo mật nhận định rằng mục tiêu cuối cùng của nhóm tin tặc này là xây dựng một mô hình AI cạnh tranh có khả năng xử lý ngôn ngữ tự nhiên mạnh mẽ, đặc biệt là hướng đến một ngôn ngữ không phải tiếng Anh.
Mặc dù Google không công bố danh tính cụ thể của thủ phạm, nhưng báo cáo ám chỉ rằng đứng sau chiến dịch này có thể là các công ty tư nhân đối thủ hoặc các nhóm nghiên cứu đang tìm cách đi tắt đón đầu để giành lợi thế cạnh tranh trên thị trường AI khốc liệt. Việc trích xuất mô hình cho phép kẻ tấn công đẩy nhanh quá trình phát triển sản phẩm của mình với chi phí thấp hơn đáng kể so với việc phải tự xây dựng bộ dữ liệu và huấn luyện từ đầu – một quá trình vốn tiêu tốn hàng tỷ USD và tài nguyên tính toán khổng lồ.
Rủi ro sở hữu trí tuệ và bài học từ OpenAI - DeepSeek
Theo Google, loại hình tấn công này về cơ bản không gây rủi ro trực tiếp cho người dùng cuối như các vụ lộ lọt dữ liệu cá nhân. Tuy nhiên, nó là một mối đe dọa sinh tồn đối với các nhà phát triển mô hình và nhà cung cấp dịch vụ AI. Cơ chế hoạt động bên trong (weights, architecture) của các mô hình hàng đầu như Gemini, GPT-4 hay Claude là bí mật kinh doanh độc quyền cực kỳ giá trị. Hành vi chưng cất kiến thức trái phép chính là hành động đánh cắp sở hữu trí tuệ và vi phạm nghiêm trọng các điều khoản sử dụng của nền tảng.
Sự việc này gợi nhớ đến cáo buộc của OpenAI hồi năm ngoái nhắm vào DeepSeek, một công ty AI của Trung Quốc, cho rằng đối thủ đã thực hiện các cuộc tấn công chưng cất tương tự để cải thiện mô hình của mình một cách thần tốc. John Hultquist, chuyên gia cấp cao từ nhóm GTIG, cảnh báo trên đài NBC rằng hoạt động chưng cất kiến thức dự kiến sẽ còn diễn ra mạnh mẽ và tinh vi hơn trong thời gian tới, khi mà giá trị của các mô hình AI ngày càng tăng cao.
Các công ty công nghệ lớn đã và đang phải chi hàng tỷ USD cho cơ sở hạ tầng GPU và điện năng để huấn luyện các mô hình nền tảng. Vì vậy, việc bảo vệ "chất xám" của AI trước các cuộc tấn công trích xuất đang trở thành ưu tiên hàng đầu, song song với việc đảm bảo an toàn thông tin truyền thống. Cuộc chiến bảo vệ tài sản trí tuệ số trong kỷ nguyên AI chỉ mới bắt đầu.
Kỹ thuật "Chưng cất Kiến thức": Khi học trò ăn cắp bí kíp của thầy
Phương thức tấn công được các chuyên gia GTIG chỉ mặt đặt tên là Trích xuất Mô hình (Model Extraction Attacks - MEA), với kỹ thuật chủ đạo mang tên "Chưng cất kiến thức" (Knowledge Distillation). Đây không phải là một cuộc tấn công mạng thông thường nhằm vào lỗ hổng phần mềm hay đánh sập hệ thống, mà là một sự khai thác xảo quyệt dựa trên chính tính năng hoạt động của AI.
Về bản chất, chưng cất kiến thức là một kỹ thuật học máy (machine learning) hợp pháp, thường được ví von như mối quan hệ giữa "giáo viên" (mô hình AI lớn, hoàn thiện) và "học sinh" (mô hình AI nhỏ hơn, đang được huấn luyện). Trong kịch bản tấn công này, tin tặc đóng vai trò là người điều khiển mô hình "học sinh". Chúng liên tục gửi hàng nghìn, thậm chí hàng trăm nghìn câu hỏi đầu vào (prompt) cho mô hình "giáo viên" là Gemini. Từ những câu trả lời chi tiết và chất lượng cao mà Gemini xuất ra, kẻ tấn công sẽ thu thập dữ liệu, phân tích quy trình suy luận logic và sử dụng chính kết quả đó để tinh chỉnh (fine-tune) cho mô hình của riêng mình.
Chiến dịch 100.000 prompt và tham vọng tái tạo Gemini
Trong vụ việc cụ thể vừa bị phanh phui, kẻ tấn công đã triển khai một chiến dịch bài bản với hơn 100.000 câu lệnh khác nhau. Phạm vi câu hỏi cực rộng, bao phủ nhiều lĩnh vực và loại hình nhiệm vụ, cho thấy rõ nỗ lực không chỉ dừng lại ở việc lấy thông tin đơn lẻ mà là tái tạo lại toàn bộ khả năng suy luận phức tạp của Gemini. Các chuyên gia bảo mật nhận định rằng mục tiêu cuối cùng của nhóm tin tặc này là xây dựng một mô hình AI cạnh tranh có khả năng xử lý ngôn ngữ tự nhiên mạnh mẽ, đặc biệt là hướng đến một ngôn ngữ không phải tiếng Anh.
Mặc dù Google không công bố danh tính cụ thể của thủ phạm, nhưng báo cáo ám chỉ rằng đứng sau chiến dịch này có thể là các công ty tư nhân đối thủ hoặc các nhóm nghiên cứu đang tìm cách đi tắt đón đầu để giành lợi thế cạnh tranh trên thị trường AI khốc liệt. Việc trích xuất mô hình cho phép kẻ tấn công đẩy nhanh quá trình phát triển sản phẩm của mình với chi phí thấp hơn đáng kể so với việc phải tự xây dựng bộ dữ liệu và huấn luyện từ đầu – một quá trình vốn tiêu tốn hàng tỷ USD và tài nguyên tính toán khổng lồ.
Rủi ro sở hữu trí tuệ và bài học từ OpenAI - DeepSeek
Theo Google, loại hình tấn công này về cơ bản không gây rủi ro trực tiếp cho người dùng cuối như các vụ lộ lọt dữ liệu cá nhân. Tuy nhiên, nó là một mối đe dọa sinh tồn đối với các nhà phát triển mô hình và nhà cung cấp dịch vụ AI. Cơ chế hoạt động bên trong (weights, architecture) của các mô hình hàng đầu như Gemini, GPT-4 hay Claude là bí mật kinh doanh độc quyền cực kỳ giá trị. Hành vi chưng cất kiến thức trái phép chính là hành động đánh cắp sở hữu trí tuệ và vi phạm nghiêm trọng các điều khoản sử dụng của nền tảng.
Sự việc này gợi nhớ đến cáo buộc của OpenAI hồi năm ngoái nhắm vào DeepSeek, một công ty AI của Trung Quốc, cho rằng đối thủ đã thực hiện các cuộc tấn công chưng cất tương tự để cải thiện mô hình của mình một cách thần tốc. John Hultquist, chuyên gia cấp cao từ nhóm GTIG, cảnh báo trên đài NBC rằng hoạt động chưng cất kiến thức dự kiến sẽ còn diễn ra mạnh mẽ và tinh vi hơn trong thời gian tới, khi mà giá trị của các mô hình AI ngày càng tăng cao.
Các công ty công nghệ lớn đã và đang phải chi hàng tỷ USD cho cơ sở hạ tầng GPU và điện năng để huấn luyện các mô hình nền tảng. Vì vậy, việc bảo vệ "chất xám" của AI trước các cuộc tấn công trích xuất đang trở thành ưu tiên hàng đầu, song song với việc đảm bảo an toàn thông tin truyền thống. Cuộc chiến bảo vệ tài sản trí tuệ số trong kỷ nguyên AI chỉ mới bắt đầu.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview