Phiên bản ChatGPT PC lộ lỗ hổng chức năng "bộ nhớ". Tin tặc có thể sử dụng các tệp độc hại để chuyển tiếp bản ghi cuộc trò chuyện bằng AI.
Vn-Z.vn Ngày 27 tháng 09 năm 2024, OpenAI đã công bố tính năng “Nhớ” (Memory) cho ChatGPT vào tháng 2 năm 2024 và đến đầu tháng 9, tính năng này đã chính thức được mở cho tất cả người dùng. Mục đích chính của tính năng này là khả năng “cài đặt trước” để giúp AI đưa ra câu trả lời phù hợp hơn với nhu cầu của người dùng.
Tuy nhiên, theo chuyên gia nghiên cứu Johann Rehberger vừa tiết lộ một báo cáo cho biết tính năng này tồn tại lỗ hổng bảo mật trên phiên bản ChatGPT dành cho máy tính, lỗ hổng này cho phép tin tặc khai thác để lấy được lịch sử cuộc trò chuyện của người dùng.
Theo Johann Rehberger, lỗ hổng này là “SpAIware.” Ông cho biết tin tặc có thể dùng phương pháp tấn công lừa đảo, khiến nạn nhân tải lên các tệp hoặc đường dẫn cụ thể trong phiên bản ChatGPT trên PC để AI phân tích. Sau khi phân tích thành công, AI sẽ “ghi nhớ và chia sẻ nội dung trò chuyện tiếp theo của người dùng cho tin tặc.” Hiện tại, OpenAI đã phát hành phiên bản mới của ứng dụng để vá lỗ hổng này.
Lỗ hổng bảo mật được phát hiện trong quá trình triển khai tính năng “nhớ” của ChatGPT. Trong vòng ba tháng sau khi tính năng này được ra mắt, nhà nghiên cứu Rehberger phát hiện ra rằng có thể tạo và lưu trữ ký ức vĩnh viễn trong AI thông qua một kỹ thuật tấn công gọi là “prompt injection gián tiếp.” Đây là một cách lợi dụng AI bằng cách khiến nó thực hiện các lệnh từ những nguồn không đáng tin cậy như email, bài viết blog, hoặc tài liệu.
Rehberger đã trình diễn cách ông có thể lừa ChatGPT tin rằng người dùng mục tiêu là một người 102 tuổi, sống trong thế giới ảo Matrix và tin rằng Trái đất phẳng. AI sau đó sẽ lưu trữ những thông tin sai lệch này và sử dụng chúng để định hướng mọi cuộc trò chuyện trong tương lai. Những ký ức sai lệch này có thể được cài vào AI thông qua việc lưu trữ tệp tin trên Google Drive hoặc Microsoft OneDrive, tải ảnh lên, hoặc duyệt các trang web như Bing—tất cả đều có thể do kẻ tấn công độc hại tạo ra.
Rehberger phát hiện và báo cáo một lỗ hổng bảo mật nghiêm trọng trong ChatGPT. Vào tháng 5, Rehberger đã báo cáo riêng lỗ hổng này cho OpenAI và trong tháng đó, công ty đã đóng báo cáo mà không hành động thêm. Một tháng sau, ông đệ trình một tuyên bố tiết lộ mới, lần này kèm theo một bằng chứng khái niệm (PoC).
Bằng chứng khái niệm này cho thấy cách lỗ hổng có thể bị khai thác để khiến ứng dụng ChatGPT trên macOS gửi toàn bộ dữ liệu nhập từ người dùng và xuất từ ChatGPT đến một máy chủ do kẻ tấn công điều khiển. Điều này được thực hiện đơn giản chỉ bằng cách hướng ChatGPT truy cập một liên kết chứa hình ảnh độc hại. Sau khi kích hoạt, mọi thông tin trao đổi giữa ChatGPT và người dùng sẽ bị gửi trực tiếp đến trang web của kẻ tấn công mà người dùng không hề hay biết.
Rehberger phát hiện ra rằng thông qua việc “tiêm lệnh” (prompt injection), kẻ tấn công có thể thêm thông tin giả vào bộ nhớ dài hạn của ChatGPT. Điều này có nghĩa là, khi bắt đầu một cuộc trò chuyện mới, dữ liệu vẫn tiếp tục bị rò rỉ.
Tuy nhiên, cuộc tấn công này không thể thực hiện qua giao diện web của ChatGPT nhờ một API mà OpenAI đã phát hành năm ngoái. Mặc dù OpenAI đã đưa ra bản sửa lỗi để ngăn chặn việc lạm dụng bộ nhớ như một phương tiện rò rỉ dữ liệu, nhà nghiên cứu cho biết nội dung không đáng tin cậy vẫn có thể thực hiện các cuộc “tiêm lệnh” để lưu trữ thông tin dài hạn.
Người dùng muốn tránh hình thức tấn công này cần chú ý theo dõi các phiên trò chuyện để phát hiện dấu hiệu thêm bộ nhớ mới, đồng thời thường xuyên xem xét các ký ức đã lưu để tìm những thông tin có thể bị tiêm từ các nguồn không đáng tin cậy. OpenAI cũng cung cấp hướng dẫn về cách quản lý công cụ bộ nhớ. Tuy nhiên, đại diện OpenAI không trả lời câu hỏi về các biện pháp ngăn chặn những cuộc tấn công trồng ký ức giả khác.
Tuy nhiên, theo chuyên gia nghiên cứu Johann Rehberger vừa tiết lộ một báo cáo cho biết tính năng này tồn tại lỗ hổng bảo mật trên phiên bản ChatGPT dành cho máy tính, lỗ hổng này cho phép tin tặc khai thác để lấy được lịch sử cuộc trò chuyện của người dùng.
Theo Johann Rehberger, lỗ hổng này là “SpAIware.” Ông cho biết tin tặc có thể dùng phương pháp tấn công lừa đảo, khiến nạn nhân tải lên các tệp hoặc đường dẫn cụ thể trong phiên bản ChatGPT trên PC để AI phân tích. Sau khi phân tích thành công, AI sẽ “ghi nhớ và chia sẻ nội dung trò chuyện tiếp theo của người dùng cho tin tặc.” Hiện tại, OpenAI đã phát hành phiên bản mới của ứng dụng để vá lỗ hổng này.
Lỗ hổng bảo mật được phát hiện trong quá trình triển khai tính năng “nhớ” của ChatGPT. Trong vòng ba tháng sau khi tính năng này được ra mắt, nhà nghiên cứu Rehberger phát hiện ra rằng có thể tạo và lưu trữ ký ức vĩnh viễn trong AI thông qua một kỹ thuật tấn công gọi là “prompt injection gián tiếp.” Đây là một cách lợi dụng AI bằng cách khiến nó thực hiện các lệnh từ những nguồn không đáng tin cậy như email, bài viết blog, hoặc tài liệu.
Rehberger đã trình diễn cách ông có thể lừa ChatGPT tin rằng người dùng mục tiêu là một người 102 tuổi, sống trong thế giới ảo Matrix và tin rằng Trái đất phẳng. AI sau đó sẽ lưu trữ những thông tin sai lệch này và sử dụng chúng để định hướng mọi cuộc trò chuyện trong tương lai. Những ký ức sai lệch này có thể được cài vào AI thông qua việc lưu trữ tệp tin trên Google Drive hoặc Microsoft OneDrive, tải ảnh lên, hoặc duyệt các trang web như Bing—tất cả đều có thể do kẻ tấn công độc hại tạo ra.
Rehberger phát hiện và báo cáo một lỗ hổng bảo mật nghiêm trọng trong ChatGPT. Vào tháng 5, Rehberger đã báo cáo riêng lỗ hổng này cho OpenAI và trong tháng đó, công ty đã đóng báo cáo mà không hành động thêm. Một tháng sau, ông đệ trình một tuyên bố tiết lộ mới, lần này kèm theo một bằng chứng khái niệm (PoC).
Bằng chứng khái niệm này cho thấy cách lỗ hổng có thể bị khai thác để khiến ứng dụng ChatGPT trên macOS gửi toàn bộ dữ liệu nhập từ người dùng và xuất từ ChatGPT đến một máy chủ do kẻ tấn công điều khiển. Điều này được thực hiện đơn giản chỉ bằng cách hướng ChatGPT truy cập một liên kết chứa hình ảnh độc hại. Sau khi kích hoạt, mọi thông tin trao đổi giữa ChatGPT và người dùng sẽ bị gửi trực tiếp đến trang web của kẻ tấn công mà người dùng không hề hay biết.
Tuy nhiên, cuộc tấn công này không thể thực hiện qua giao diện web của ChatGPT nhờ một API mà OpenAI đã phát hành năm ngoái. Mặc dù OpenAI đã đưa ra bản sửa lỗi để ngăn chặn việc lạm dụng bộ nhớ như một phương tiện rò rỉ dữ liệu, nhà nghiên cứu cho biết nội dung không đáng tin cậy vẫn có thể thực hiện các cuộc “tiêm lệnh” để lưu trữ thông tin dài hạn.
Người dùng muốn tránh hình thức tấn công này cần chú ý theo dõi các phiên trò chuyện để phát hiện dấu hiệu thêm bộ nhớ mới, đồng thời thường xuyên xem xét các ký ức đã lưu để tìm những thông tin có thể bị tiêm từ các nguồn không đáng tin cậy. OpenAI cũng cung cấp hướng dẫn về cách quản lý công cụ bộ nhớ. Tuy nhiên, đại diện OpenAI không trả lời câu hỏi về các biện pháp ngăn chặn những cuộc tấn công trồng ký ức giả khác.