Các nhà nghiên cứu bảo mật tại Trail of Bits đã phát hiện một kỹ thuật tấn công độc đáo, trong đó các mã lệnh độc hại được giấu kín trong hình ảnh và chỉ lộ ra khi hình ảnh đó được xử lý bởi các mô hình ngôn ngữ lớn (LLM).
Lệnh ẩn hiện ra khi hình ảnh bị thu nhỏ
Phương pháp tấn công này khai thác cách mà các nền tảng AI thay đổi kích thước hình ảnh để tối ưu hóa hiệu suất. Dù không thể nhìn thấy bằng mắt thường trong ảnh gốc, những lệnh độc hại này lại trở nên rõ ràng với thuật toán khi hình ảnh được thu nhỏ.
Kỹ thuật này được phát triển dựa trên một nghiên cứu từ năm 2020 của Đại học Kỹ thuật Braunschweig (Đức), từng chỉ ra rằng việc thay đổi kích thước ảnh có thể là một lỗ hổng trong các hệ thống học máy.
Trail of Bits đã chứng minh rằng những hình ảnh được thiết kế tinh vi có thể thao túng nhiều nền tảng AI, bao gồm Gemini CLI, Vertex AI Studio, Google Assistant trên Android và giao diện web của Gemini.
Trong một thử nghiệm, kẻ tấn công đã thành công trích xuất dữ liệu từ Google Calendar và gửi tới một địa chỉ email bên ngoài mà không cần sự cho phép của người dùng. Cuộc tấn công này lợi dụng các kỹ thuật nội suy phổ biến như nearest neighbour, bilinear hoặc bicubic resampling, nơi việc thay đổi kích thước vô tình làm lộ các lệnh ẩn.
Cụ thể, trong quá trình thử nghiệm, kỹ thuật bicubic resampling đã khiến các vùng tối trong hình ảnh dịch chuyển, làm lộ một dòng chữ màu đen ẩn bên trong. LLM coi đây là một lệnh hợp lệ và thực hiện, trong khi người dùng không hề nhận thấy bất kỳ dấu hiệu bất thường nào.
Trong lĩnh vực xử lý hình ảnh, “nội suy” (interpolation) là quá trình tạo ra các giá trị điểm ảnh mới từ các điểm ảnh đã có. Các thuật toán này rất quan trọng khi thay đổi kích thước ảnh (phóng to hoặc thu nhỏ). Các thuật ngữ trong bài đã chỉ ra là các kỹ thuật nội suy phổ biến:
Nearest neighbour (nội suy lân cận gần nhất): Đây là phương pháp đơn giản nhất. Để tính giá trị của một điểm ảnh mới, thuật toán chỉ lấy giá trị của điểm ảnh gần nhất trong ảnh gốc. Cách này nhanh nhưng có thể làm hình ảnh bị răng cưa và kém mượt mà.
Bilinear (nội suy song tuyến): Kỹ thuật này sử dụng giá trị của bốn điểm ảnh gần nhất để tính toán giá trị của điểm ảnh mới. Nó tạo ra kết quả mượt mà hơn so với nearest neighbour nhưng có thể làm mờ các chi tiết sắc nét.
Bicubic resampling (nội suy song lập): Đây là phương pháp phức tạp hơn, sử dụng 16 điểm ảnh xung quanh để tính toán. Bicubic resampling thường cho ra hình ảnh sắc nét và chi tiết hơn nhiều, đặc biệt là khi phóng to ảnh.
Các nhà nghiên cứu đã lợi dụng chính những thuật toán này để làm lộ các chỉ thị ẩn. Khi hình ảnh được thu nhỏ, các thuật toán nội suy phức tạp như bicubic resampling đã vô tình làm lộ ra những dòng chữ hoặc mã lệnh được thiết kế đặc biệt, khiến AI “nhìn thấy” được những gì mà mắt người không thể.
Công cụ minh họa cho thấy mối đe dọa tiềm tàng
Để minh họa cho rủi ro này, Trail of Bits đã phát triển một công cụ mã nguồn mở có tên Anamorpher, cho phép tạo ra những hình ảnh chứa lệnh ẩn theo nhiều kỹ thuật thay đổi kích thước khác nhau.
Nhóm nghiên cứu nhấn mạnh rằng dù phương pháp này có tính chuyên biệt, nó hoàn toàn có thể tái hiện được, và nếu thiếu các biện pháp bảo mật, các hệ thống sẽ dễ bị tấn công.
Lỗ hổng này làm dấy lên mối lo ngại rộng lớn hơn về các hệ thống AI đa phương thức, vốn ngày càng được sử dụng để xử lý công việc hằng ngày. Một người dùng bất cẩn có thể tải lên một hình ảnh tưởng như vô hại, nhưng lại vô tình kích hoạt truy cập trái phép vào thông tin cá nhân. Các nhà nghiên cứu cảnh báo rằng kiểu tấn công này thậm chí có thể dẫn đến đánh cắp danh tính nếu dữ liệu nhạy cảm bị rò rỉ.
Khi các công cụ AI thường được tích hợp với lịch, hệ thống liên lạc và nền tảng công việc, nguy cơ này không chỉ giới hạn ở cá nhân mà còn đe dọa cả các tổ chức phụ thuộc nhiều vào chúng.
Kêu gọi thiết kế bảo mật mạnh mẽ hơn cho hệ thống AI
Các nhà nghiên cứu khuyến nghị cả nhà phát triển lẫn người dùng nên chủ động giảm thiểu rủi ro bằng cách hạn chế kích thước hình ảnh đầu vào; xem trước hình ảnh sau khi thu nhỏ; yêu cầu xác nhận rõ ràng trước khi thực hiện các hành động nhạy cảm.
Những biện pháp an ninh truyền thống như tường lửa hay phần mềm quét mã độc không được thiết kế để phát hiện kiểu thao túng này. Trail of Bits cho rằng chỉ có chiến lược an ninh nhiều lớp và các nguyên tắc thiết kế vững chắc mới có thể bảo vệ hiệu quả trước những mối đe dọa mới.
Nhóm nghiên cứu nhấn mạnh: “Biện pháp phòng thủ mạnh mẽ nhất là áp dụng các mẫu thiết kế an toàn và những hệ thống phòng ngừa có khả năng giảm thiểu tác động của tấn công tiêm lệnh, không chỉ trong bối cảnh đa phương thức mà còn rộng hơn”.
https%3A%2F%2F1thegioi.vn%2Fchuyen-gia-canh-bao-toi-pham-mang-loi-dung-ai-de-tan-cong-236928.html
