Chỉ một file được sửa đổi có thể biến mô hình trí tuệ nhân tạo từ công cụ hữu ích thành vũ khí nguy hiểm. Các nhà nghiên cứu bảo mật vừa phát hiện ra rằng thư viện tokenizer trong các mô hình AI của Hugging Face - nền tảng chia sẻ mô hình AI lớn nhất thế giới - có thể bị thao túng để chiếm quyền điều khiển đầu ra và đánh cắp dữ liệu người dùng. Phát hiện này đặt ra câu hỏi nghiêm trọng về mức độ an toàn của hàng triệu mô hình AI đang được sử dụng rộng rãi. Chúng tôi cho rằng đây là hồi chuông cảnh báo về việc cần kiểm soát chặt chẽ hơn đối với các mô hình AI mã nguồn mở.

Khi file 'vô hại' trở thành cửa ngách cho tin tặc

Tokenizer là thành phần quan trọng trong mọi mô hình AI, có nhiệm vụ chuyển đổi văn bản thành dạng số mà máy tính có thể hiểu được. Tuy nhiên, các chuyên gia bảo mật đã chứng minh rằng chỉ cần thay đổi nhỏ trong file tokenizer, tin tặc có thể hoàn toàn kiểm soát cách mô hình AI xử lý và phản hồi thông tin. Điều này giống như việc một kẻ xấu có thể thay đổi cách một người phiên dịch hiểu và chuyển đạt thông điệp.

Cách thức tấn công này đặc biệt nguy hiểm vì tokenizer thường được coi là thành phần 'vô hại' và ít được kiểm tra kỹ lưỡng. Các nhà phát triển thường tập trung vào kiểm tra mã nguồn chính của mô hình, nhưng bỏ qua những file hỗ trợ như tokenizer. Chúng tôi đánh giá đây là một lỗ hổng nghiêm trọng trong quy trình bảo mật hiện tại của cộng đồng AI mã nguồn mở.

Kỹ thuật 'biến hình' tinh vi khiến chuyên gia cũng khó phát hiện

Kỹ thuật tấn công này hoạt động bằng cách chèn mã độc vào file tokenizer.json hoặc các file cấu hình liên quan. Khi mô hình AI được tải về và chạy, mã độc sẽ được kích hoạt mà không để lại dấu vết rõ ràng. Tin tặc có thể lập trình để mô hình đưa ra những câu trả lời sai lệch, thu thập thông tin nhạy cảm từ prompt của người dùng, hoặc thậm chí tạo ra backdoor (cửa sau) để truy cập hệ thống.

Điều đáng lo ngại nhất là việc phát hiện cuộc tấn công này cực kỳ khó khăn. File tokenizer được sửa đổi vẫn hoạt động bình thường trong hầu hết trường hợp, chỉ kích hoạt hành vi độc hại khi gặp những trigger (bộ kích hoạt) cụ thể. Các công cụ quét malware (phần mềm độc hại) truyền thống cũng khó có thể phát hiện vì mã độc được ngụy trang dưới dạng cấu hình AI hợp lệ.

Hàng triệu người dùng AI đối mặt nguy cơ bị tấn công

Hugging Face hiện đang lưu trữ hơn 350.000 mô hình AI công khai, được hàng triệu nhà phát triển và doanh nghiệp trên toàn thế giới sử dụng. Nếu kỹ thuật tấn công này được khai thác rộng rãi, hậu quả có thể lan tới mọi ứng dụng AI từ chatbot dịch vụ khách hàng đến hệ thống phân tích dữ liệu doanh nghiệp. Các công ty tại Việt Nam, đặc biệt là những đơn vị đang tích cực triển khai AI trong hoạt động kinh doanh, cần đặc biệt cảnh giác.

Theo thống kê của Bộ Thông tin và Truyền thông, số lượng doanh nghiệp Việt Nam ứng dụng AI đã tăng 45% trong năm 2024. Điều này có nghĩa là nguy cơ bị tấn công qua kênh mô hình AI độc hại cũng gia tăng theo. Chúng tôi cho rằng đây là lúc các doanh nghiệp cần xem xét lại quy trình kiểm tra bảo mật khi sử dụng mô hình AI từ bên thứ ba.

Hướng dẫn bảo vệ khẩn cấp cho người dùng Việt Nam

Để bảo vệ khỏi loại tấn công này, các doanh nghiệp và nhà phát triển Việt Nam cần thực hiện ngay các bước sau. Đầu tiên, chỉ tải mô hình AI từ những tài khoản uy tín và đã được xác minh trên Hugging Face. Thứ hai, sử dụng môi trường sandbox (môi trường cách ly) để test mô hình trước khi triển khai vào production (môi trường thực tế). Thứ ba, thường xuyên giám sát log hoạt động của mô hình AI để phát hiện hành vi bất thường.

Đặc biệt quan trọng, các doanh nghiệp nên thiết lập quy trình code review (xem xét mã nguồn) bao gồm cả việc kiểm tra file tokenizer và các file cấu hình. Ngoài ra, cần hạn chế quyền truy cập mạng của mô hình AI để ngăn chặn việc exfiltrate (truyền tải trộm) dữ liệu ra bên ngoài. Chúng tôi khuyến nghị các doanh nghiệp nên tham khảo ý kiến từ chuyên gia bảo mật trước khi triển khai bất kỳ mô hình AI mới nào vào hệ thống quan trọng.