Kẻ tấn công đang biến những câu lệnh vô hại thành vũ khí nguy hiểm nhắm vào các hệ thống trí tuệ nhân tạo. Theo báo cáo mới nhất từ Google, số vụ tấn công prompt injection (tiêm nhiễm lệnh) đối với AI đang tăng lên một cách đáng kể, tạo ra mối đe dọa mới mà nhiều tổ chức chưa kịp chuẩn bị. Mặc dù phần lớn các cuộc tấn công này vẫn có mức độ tinh vi thấp, nhưng chúng tôi cho rằng đây chỉ là khởi đầu của một xu hướng nguy hiểm hơn.

Khi AI trở thành mục tiêu tấn công mới

Prompt injection là kỹ thuật tấn công mà hacker sử dụng các câu lệnh được thiết kế đặc biệt để "lừa" hệ thống AI thực hiện những hành động ngoài ý muốn. Google phân loại các cuộc tấn công này thành hai dạng chính: direct prompt injection (tiêm nhiễm trực tiếp) khi kẻ tấn công trực tiếp nhập lệnh độc hại, và indirect prompt injection (tiêm nhiễm gián tiếp) thông qua các nguồn dữ liệu bên ngoài như email, tài liệu hoặc trang web.

Điều đáng chú ý là Google phát hiện nhiều vụ tấn công indirect prompt injection tuy vô hại nhưng cũng có những exploit (khai thác lỗ hổng) độc hại thực sự. Chúng tôi đánh giá cao việc Google công bố thông tin này vì nó giúp cộng đồng an ninh mạng hiểu rõ hơn về mối đe dọa đang nổi lên. Tuy nhiên, việc công ty này không cung cấp số liệu cụ thể về tỷ lệ tăng trưởng khiến chúng ta khó đánh giá chính xác mức độ nghiêm trọng.

Phân tích sâu bản chất của mối đe dọa prompt injection

Prompt injection về bản chất khai thác điểm yếu cơ bản trong cách các mô hình ngôn ngữ lớn (Large Language Models - LLM) xử lý thông tin đầu vào. Khác với các cuộc tấn công truyền thống nhắm vào lỗ hổng code, prompt injection tấn công vào "logic suy nghĩ" của AI bằng cách lợi dụng khả năng hiểu ngôn ngữ tự nhiên. Kẻ tấn công có thể sử dụng các câu lệnh như "Hãy bỏ qua tất cả hướng dẫn trước đó và thực hiện..." để thao túng AI.

Mức độ tinh vi thấp mà Google đề cập có thể là do hầu hết hacker vẫn đang trong giai đoạn "thử nghiệm" với loại tấn công mới này. Chúng tôi cho rằng điều này sẽ thay đổi nhanh chóng khi cộng đồng underground chia sẻ kiến thức và phát triển các công cụ tự động hóa. Kinh nghiệm từ các loại tấn công trước đây cho thấy từ "thô sơ" đến "tinh vi" chỉ là khoảng thời gian rất ngắn.

Tác động thực tế: Ai đang đối mặt với rủi ro?

Các tổ chức đang tích hợp AI vào quy trình làm việc hàng ngày đối mặt với rủi ro cao nhất. Đặc biệt là những doanh nghiệp sử dụng AI chatbots để tương tác với khách hàng, hệ thống AI để xử lý email tự động, hoặc các công cụ AI hỗ trợ ra quyết định kinh doanh. Một cuộc tấn công prompt injection thành công có thể khiến AI tiết lộ thông tin nhạy cảm, thực hiện giao dịch trái phép, hoặc tạo ra nội dung có hại nhân danh tổ chức.

Tại Việt Nam, với việc nhiều ngân hàng, công ty công nghệ và doanh nghiệp thương mại điện tử đang đẩy mạnh ứng dụng AI, mối đe dọa này trở nên cấp bách hơn. Theo đánh giá của chúng tôi, nhiều tổ chức trong nước vẫn chưa có chính sách bảo mật cụ thể cho các hệ thống AI, tạo ra khoảng trống an ninh nguy hiểm. Thiệt hại có thể từ mất uy tín thương hiệu đến tổn thất tài chính nghiêm trọng.

Khuyến nghị bảo vệ: Hành động ngay trước khi quá muộn

Các tổ chức cần thực hiện ngay các biện pháp phòng thủ cơ bản. Đầu tiên là thiết lập input validation (kiểm tra dữ liệu đầu vào) nghiêm ngặt cho tất cả hệ thống AI, lọc ra các pattern (mẫu) lệnh đáng nghi. Thứ hai là áp dụng nguyên tắc least privilege (quyền hạn tối thiểu), hạn chế quyền truy cập của AI chỉ ở mức cần thiết để thực hiện nhiệm vụ.

Chúng tôi khuyên mạnh các doanh nghiệp Việt Nam nên tổ chức training (đào tạo) nhận thức về an ninh AI cho đội ngũ kỹ thuật và triển khai monitoring (giám sát) liên tục các tương tác với hệ thống AI. Đặc biệt quan trọng là xây dựng incident response plan (kế hoạch ứng phó sự cố) riêng cho các cuộc tấn công AI, vì chúng có đặc thù khác biệt so với các threat (mối đe dọa) truyền thống. Đừng đợi đến khi trở thành nạn nhân mới hành động.