'Cánh cổng địa ngục ' đằng sau một tấm ảnh

Những nguy cơ hiện hữu

Nhóm nghiên cứu từ Đại học Oxford gần đây đã đăng tải một câu chuyện giả định nhưng rất đáng lo ngại: Một trang mạng đăng dòng quảng bá hấp dẫn: "Hình nền ngôi sao miễn phí!" và người dùng lướt qua các tấm ảnh. Ở đó có Selena Gomez, Rihanna, Timotheé Chalamet - sự chú ý dừng lại ở bức ảnh của Taylor Swift. Mái tóc của cô bay trong gió, trông thật sự hấp dẫn và tỏa sáng.

Không ngần ngại, một ai đó tải ảnh về và đặt nó làm hình nền máy tính. Họ cũng vừa tải về một AI agent mới và thử yêu cầu nó sắp xếp lại hộp thư đến. Nhưng thay vì làm theo kỳ vọng, nó mở trình duyệt, tải một tệp về. Vài giây sau, màn hình tối đen…

"Cánh cổng địa ngục" có thể mở ra nếu công nghệ tân tiến bị lợi dụng cho những mục đích xấu và ngày càng tinh vi.

Lý giải cho câu chuyện này là cảnh báo có thể nghe vẫn khó tin. Một hình ảnh - từ hình nền máy tính, quảng cáo, tệp PDF, cho tới các bài đăng trên mạng xã hội - có thể được nhúng các thông điệp vô hình với mắt người nhưng đủ sức điều khiển tác nhân AI và "mở cửa" cho tin tặc xâm nhập máy tính. Theo các nghiên cứu từ Đại học Oxford và Trail of Bits (công ty nghiên cứu và tư vấn an ninh mạng chuyên cung cấp các dịch vụ bảo mật cao cấp cho các khách hàng trong các lĩnh vực như quốc phòng, công nghệ, tài chính và blockchain, được thành lập năm 2012) công bố gần đây, nguy cơ các tác nhân AI dễ bị tấn công bằng "mã ẩn" được giấu kín trong hình ảnh kỹ thuật số thực sự tạo ra một kịch bản an ninh mạng đáng lo ngại.

Pixel, phần tử hình ảnh hay điểm ảnh, đơn vị cơ bản nhỏ nhất cấu thành nên một hình ảnh kỹ thuật số hoặc màn hình hiển thị. Mỗi pixel là một điểm nhỏ có màu sắc và độ sáng cụ thể, tạo thành hình ảnh hoàn chỉnh mà mắt người nhìn thấy khi kết hợp với hàng triệu pixel khác. Mắt thường không thể nhận ra được những chỉnh sửa nhỏ về các điểm ảnh, pixel, vốn là phần tử cơ bản cấu tạo nên hình ảnh kỹ thuật số. Tuy nhiên, các pixel này được định dạng lại hoặc tinh chỉnh theo các mẫu mà mô hình AI nhận diện và diễn giải thành lệnh điều khiển hệ thống.

Giải thích cụ thể hơn, trong giả định của các nghiên cứu về mối đe dọa mới này, hình nền động hoặc hình nền tương tác được tạo ra không phải chỉ đơn thuần bằng ảnh tĩnh thông thường mà là hình ảnh có "lập trình" hoặc "mã" ngầm để điều chỉnh từng pixel. Do đó, với mắt người nhìn, hình ảnh có thể trông vẫn bình thường hoặc có thể có hiệu ứng động, nhưng bên trong, các pixel được cấu hình tinh vi để mô hình ngôn ngữ lớn có thể hiểu hoặc trích xuất dữ liệu. Do đó, các agent xây dựng dựa trên mô hình mã nguồn mở (open-source model) dễ bị tấn công nhất.

Con người khó nhận ra những điều chỉnh tinh vi này vì nhận thức thị giác vốn được định hình bởi "nếp" giả định sẵn có. Khi tiếp nhận một hình ảnh chưa hoàn chỉnh, bộ não vẫn có xu hướng lấp đầy khoảng trống theo kinh nghiệm, ví dụ chỉ cần vài đặc điểm như tai cụp, mũi ướt, mõm dài là đủ để kết luận đó là một con chó. Ngược lại, máy tính xử lý hình ảnh hoàn toàn khác. Nó phân rã bức ảnh thành vô số pixel, mỗi pixel được mã hóa thành một con số, rồi tìm kiếm các mẫu hình học từ cạnh, kết cấu đến đường viền. Chỉ cần vài pixel thay đổi - dù mắt thường không thể nhận thấy - các mẫu số học lập tức bị biến dạng và có thể dẫn đến việc nhận dạng sai, chẳng hạn từ "chó" thành "mèo".

Google là công cụ hữu ích giúp tra cứu và giải đáp (gần như mọi thứ), nhưng tất cả chỉ là tương tác một chiều. Bạn hỏi, Google trả lời. Hãy thử nghĩ về sự khác biệt với việc yêu cầu trợ lý cá nhân lên kế hoạch cho chuyến du lịch sắp tới của bạn. Nó sẽ hỏi lại bạn để hiểu thêm yêu cầu, tìm kiếm thông tin về điểm đến, khách sạn, chuyến bay, đưa ra các lựa chọn, đề xuất, thậm chí là cách để liên lạc và tương tác với các đại lý rồi báo cáo lại cho bạn. Đây chỉ là ví dụ đơn giản giữa việc sử dụng mô hình AI đơn lẻ so với việc sử dụng các tác nhân AI.

Cách vận hành của AI Agent.

Con người cần làm chủ cuộc đua công nghệ

AI agent giải thích đơn giản là một chương trình máy tính được thiết kế để hoạt động tự chủ, với khả năng nhận thức môi trường, đưa ra quyết định dựa trên nhận thức đó và thực hiện hành động để đạt được một mục tiêu cụ thể.

Thay vì chỉ xử lý nguồn thông tin, dữ liệu đầu vào và đưa ra phản hồi đầu ra duy nhất như các tương tác mô hình ngôn ngữ lớn (LLM) truyền thống, AI Agent có khả năng chia nhỏ mục tiêu thành các phần nhỏ hơn để thực hiện tuần tự hoặc song song; sử dụng các công cụ bên ngoài để thu thập thông tin hoặc thực hiện hành động; ghi nhớ thông tin từ các bước trước đó, gồm cả trạng thái, kết quả và tự điều chỉnh dựa trên phản hồi từ môi trường hoặc kết quả của các hành động.

Xét về mức độ, AI Agent có khả năng tự chủ trong phạm vi hạn chế, thực hiện các tác vụ theo kịch bản hoặc quy trình vạch sẵn, thường tập trung vào việc hoàn thành một hoặc vài nhiệm vụ cụ thể.

Trong khi đó, Agentic AI có khả năng tự chủ cao hơn, hành động theo mục tiêu, học và thích nghi trong thời gian thực, và thường là tổ hợp nhiều AI agent để xử lý các luồng công việc phức tạp không cần tới sự can thiệp liên tục của con người. Agentic AI có thể lên kế hoạch đa bước, điều chỉnh chiến lược dựa theo phản hồi và ngữ cảnh, nhanh chóng học hỏi từ các trải nghiệm.

Nhiều người dự đoán cuộc cách mạng AI trong thời gian tới, có thể là chỉ 1-2 năm nữa, sẽ là làn sóng các tác nhân AI phát triển cực kỳ bùng nổ, như các trợ lý cá nhân thực hiện các tác vụ máy tính thường nhật. Tuy nhiên, trao quyền truy cập rộng hơn, tự chủ hơn cho AI cũng đồng nghĩa với rủi ro nâng lên mức độ cao hơn. AI agent hoạt động như "bộ não" nhận thức của máy tính, có khả năng phân chia công việc, ghi nhớ trạng thái, tìm kiếm dữ liệu trực tuyến và ra quyết định đa bước.

Do đó, một "lệnh ẩn" nhỏ trong hình ảnh có thể kích hoạt chuỗi hành động phức tạp, từ truy cập dữ liệu, tương tác với các ứng dụng bên ngoài, đến phá hủy hoặc đánh cắp dữ liệu. Agentic AI với tính tự chủ cao hơn lại càng dễ bị lợi dụng, bởi các tác nhân trong hệ thống phối hợp có thể bị thao túng đồng loạt, gây ra hậu quả nghiêm trọng hơn.

Khi AI ngày càng được tích hợp sâu vào các công cụ công việc, trợ lý ảo cá nhân, hệ thống điều khiển và phân tích dữ liệu, nguy cơ tấn công qua kênh hình ảnh hay các dữ liệu đa phương thức sẽ gia tăng. Điều này có thể gây thiệt hại lớn về tài chính, danh tiếng, thậm chí gây mất an toàn cá nhân và doanh nghiệp.

Vì lẽ đó, việc bảo vệ các hệ thống AI không chỉ là nhiệm vụ kỹ thuật mà còn yêu cầu sự phối hợp toàn diện giữa nhà phát triển AI, các chuyên gia an ninh mạng, nhà quản lý và cả người dùng cuối. Cẩn trọng trong phát triển và sử dụng AI, hạn chế rủi ro bằng chiến lược chống tấn công toàn diện chính là chìa khóa để đảm bảo AI phát triển bền vững và an toàn cho xã hội.

Với các nhà quản trị và phát triển công nghệ, điều cần làm cần xây dựng chiến lược bảo vệ AI toàn diện dựa trên nhiều lớp giải pháp như thiết kế đảm bảo tuân thủ nguyên tắc bảo mật và quyền riêng tư ngay từ giai đoạn đầu, áp dụng các cơ chế mã hóa, xác thực đa yếu tố và phân quyền nghiêm ngặt để kiểm soát truy cập; phát triển những công cụ giám sát và cảnh báo thời gian thực giúp phát hiện và cảnh báo sớm các dấu hiệu bất thường.

Phối hợp đa ngành giữ vai trò then chốt trong phát triển và vận hành các công cụ AI, đặc biệt là giữa các chuyên gia bảo mật và nhà quản lý nhằm đảm bảo quy trình kiểm thử nghiêm ngặt và chia sẻ thông tin rủi ro kịp thời. Cùng với đó, việc đầu tư mạnh mẽ vào nghiên cứu các công nghệ phòng thủ AI hiện đại, từ các hệ thống phát hiện và phản hồi mối đe dọa đến các cơ chế phòng chống các cuộc tấn công có chủ đích và đa phương thức là rất cần thiết.

Phát triển và vận hành AI minh bạch, có trách nhiệm thông qua các kỹ thuật giải thích hành vi AI, giúp người dùng và nhà phát triển hiểu rõ quá trình ra quyết định của AI, từ đó tăng cường sự tin tưởng và kiểm soát là đảm bảo trao quyền cho công nghệ với sự giám sát cuối cùng vẫn thuộc về con người - nhân tố cuối cùng được hưởng lợi ích từ cuộc cách mạng công nghệ và cũng là nhân tố đối mặt với nhiều rủi ro nhất nếu làn sóng này vượt tầm kiểm soát.

Thái Hân