Bạn có tưởng tượng được việc một câu hỏi được đặt khéo léo có thể khiến ChatGPT hay các AI khác hoàn toàn quên đi những quy tắc an toàn mà lập trình viên đã cài đặt? Joey Melo, chuyên gia red team AI với hơn 10 năm kinh nghiệm, vừa chia sẻ những phương thức hack AI tinh vi đến mức đáng sợ trong cuộc trò chuyện độc quyền với SecurityWeek. Anh không chỉ tiết lộ cách thức vượt qua guardrails (hàng rào bảo vệ) của AI mà còn mô tả chi tiết quy trình data poisoning - kỹ thuật đầu độc dữ liệu huấn luyện có thể biến bất kỳ mô hình AI nào thành vũ khí nguy hiểm.

Nghệ thuật 'thôi miên' trí tuệ nhân tạo

Jailbreaking trong thế giới AI không phải là việc bẻ khóa iPhone như nhiều người vẫn nghĩ. Đây là kỹ thuật sử dụng các prompt (lời nhắc) được thiết kế đặc biệt để khiến AI bỏ qua những hạn chế an toàn mà nhà phát triển đã thiết lập. Joey Melo giải thích rằng guardrails giống như những bức tường vô hình ngăn AI không tạo ra nội dung có hại, nhưng 'những bức tường này có thể bị phá bỏ bằng ngôn ngữ'.

Chúng tôi cho rằng điều đáng lo ngại nhất là tính đơn giản của các cuộc tấn công này. Melo mô tả các kỹ thuật như role-playing attack, trong đó hacker yêu cầu AI đóng vai một nhân vật không bị ràng buộc bởi quy tắc đạo đức, hay context manipulation - thao túng ngữ cảnh để AI hiểu lầm yêu cầu thực sự. Với kinh nghiệm làm việc tại nhiều công ty công nghệ lớn, anh cảnh báo rằng ngay cả những mô hình AI tiên tiến nhất hiện tại vẫn có thể bị 'lừa' bằng những câu hỏi được cấu trúc khéo léo.

Data poisoning: Khi thức ăn của AI bị 'đầu độc'

Data poisoning (đầu độc dữ liệu) được Melo ví như việc trộn chất độc vào thức ăn của AI trong quá trình huấn luyện. Kỹ thuật này không tấn công trực tiếp vào mô hình đã triển khai mà can thiệp ngay từ giai đoạn học tập. Hacker chèn dữ liệu độc hại vào dataset huấn luyện, khiến AI học những pattern sai lệch hoặc có hại mà không ai phát hiện.

Theo phân tích của chúng tôi, data poisoning đặc biệt nguy hiểm vì tính ẩn giấu cao. Một mô hình AI bị đầu độc có thể hoạt động bình thường trong 99% trường hợp, nhưng khi gặp trigger (kích hoạt) cụ thể sẽ tạo ra kết quả hoàn toàn sai lệch. Melo cites ví dụ về backdoor attack, trong đó AI có thể bị lập trình để phản hồi một cách có hại khi nhận được một từ khóa hoặc cụm từ ẩn giấu. Điều này tạo ra một 'cửa hậu' mà chỉ kẻ tấn công biết cách kích hoạt.

Tác động lan tỏa và rủi ro thực tế

Những kỹ thuật mà Joey Melo mô tả không chỉ là lý thuyết suông mà đã được chứng minh qua hàng trăm cuộc tấn công thực tế. Theo thống kê từ IBM Security, có tới 73% doanh nghiệp sử dụng AI báo cáo đã từng gặp phải ít nhất một lần cố gắng tấn công vào hệ thống AI của họ trong năm 2023. Tại Việt Nam, với việc các ngân hàng và fintech ngày càng ứng dụng AI trong fraud detection (phát hiện gian lận) và customer service, rủi ro này trở nên cấp bách hơn bao giờ hết.

Chúng tôi đánh giá rằng sector tài chính Việt Nam đang đối mặt với nguy cơ cao nhất. Nếu một mô hình AI phân tích giao dịch ngân hàng bị jailbreak hoặc data poisoning, hậu quả có thể là hàng triệu giao dịch gian lận không được phát hiện. Thậm chí worse case scenario, kẻ tấn công có thể khiến AI đánh dấu các giao dịch hợp pháp là đáng nghi, gây tê liệt hoạt động thanh toán của cả ngân hàng.

Lá chắn phòng thủ cho kỷ nguyên AI bị hack

Joey Melo không chỉ chỉ ra vấn đề mà còn đề xuất roadmap phòng thủ chi tiết. Anh khuyến nghị triển khai adversarial testing - kiểm thử đối kháng thường xuyên để phát hiện các lỗ hổng trong guardrails. Cụ thể, các doanh nghiệp Việt Nam cần thiết lập red team AI chuyên nghiệp, liên tục thử nghiệm các kỹ thuật jailbreaking mới nhất trên mô hình của mình trước khi cybercriminal khai thác.

Về data poisoning, Melo nhấn mạnh tầm quan trọng của data validation pipeline - quy trình kiểm định dữ liệu nhiều lớp. Chúng tôi khuyến nghị các công ty nên áp dụng differential privacy (bảo mật vi phân) trong quá trình huấn luyện và triển khai AI model versioning để có thể rollback nhanh chóng khi phát hiện anomaly. Đặc biệt, việc monitoring continuous cho AI behavior trong production environment là bắt buộc, không phải tùy chọn trong thời đại này.