Kiểu tấn công lần đầu xảy ra với AI

Tin tặc đang tấn công vào Microsoft 365 Copilot. Ảnh: Bloomberg.

Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong Microsoft 365 Copilot, trợ lý AI được tích hợp trong bộ ứng dụng văn phòng như Word, Excel, Outlook, PowerPoint và Teams. Phát hiện này do công ty an ninh mạng Aim Security công bố, làm dấy lên lo ngại về tình trạng tấn công vào các tác nhân AI.

Lỗ hổng trên được công ty Aim Security đặt tên là EchoLeak, cho phép kẻ tấn công truy cập dữ liệu quan trọng mà không cần bất kỳ hành động nào từ phía người dùng. Đây là dạng tấn công “zero-click” đầu tiên được biết đến nhằm vào một tác nhân AI, hệ thống sử dụng mô hình ngôn ngữ lớn (LLM) để tự động thực hiện nhiệm vụ.

Tác nhân AI vào tầm ngắm

Trong trường hợp của Microsoft Copilot, kẻ tấn công chỉ cần gửi một email chứa đường dẫn ẩn đến người dùng. Vì Copilot tự động quét email trong nền, nó sẽ đọc và thực hiện các lệnh này mà không cần sự tương tác từ người nhận. Hệ quả là AI có thể bị điều khiển để truy cập và trích xuất các tài liệu, bảng tính, tin nhắn nội bộ và chuyển dữ liệu ngược lại cho tin tặc.

“Chúng tôi đánh giá cao Aim Security vì đã xác định và báo cáo vấn đề này một cách có trách nhiệm để giải quyết trước khi khách hàng bị ảnh hưởng. Các bản cập nhật sản phẩm đã được triển khai và không yêu cầu hành động từ phía người dùng”, phát ngôn viên của Microsoft xác nhận với Fortune.

Aim Security cảnh báo tin tặc đang tìm cách khai thác Microsoft 365 Copilot. Ảnh: Bloomberg.

Tuy nhiên, theo Aim Security, vấn đề này nằm sâu hơn ở thiết kế nền tảng của các tác nhân AI. Adir Gruss, đồng sáng lập kiêm Giám đốc công nghệ của Aim Security, nhận định lỗ hổng EchoLeak là dấu hiệu cho thấy các hệ thống AI hiện tại đang lặp lại sai lầm bảo mật từ quá khứ.

“Chúng tôi đã tìm thấy chuỗi lỗ hổng cho phép tin tặc thực hiện tấn công tương đương với zero-click trên điện thoại, nhưng lần này là tấn công vào hệ thống AI”, Gruss chia sẻ. Ông cho biết đội ngũ mất khoảng 3 tháng để phân tích và kỹ thuật đảo ngược của Microsoft Copilot, từ đó xác định cách AI có thể bị điều khiển.

Dù Microsoft đã phản ứng và triển khai bản vá, Gruss cho rằng quá trình khắc phục mất tới 5 tháng là "rất lâu so với mức độ nghiêm trọng của vấn đề". Ông lý giải việc này một phần do khái niệm lỗ hổng quá mới cũng như cần thời gian để các nhóm kỹ thuật Microsoft nhận diện và hành động.

Lịch sử lại tái hiện?

Theo Gruss, EchoLeak không chỉ ảnh hưởng tới Copilot mà còn có thể áp dụng với các nền tảng tương tự như Agentforce (Salesforce) hay giao thức MCP của Anthropic.

“Nếu tôi lãnh đạo một công ty đang triển khai tác nhân AI, tôi sẽ rất sợ hãi. Đây là loại lỗi thiết kế từng gây ra hàng chục năm tổn thương trong ngành công nghệ và giờ nó lại tái xuất với AI”, Gruss nhận định.

Microsoft đã triển khai biện pháp để khắc phục lỗ hổng trên Copilot. Ảnh: Bloomberg.

Nguyên nhân gốc rễ của vấn đề trên đến từ việc các tác nhân AI hiện tại không phân biệt rõ dữ liệu đáng tin cậy và không đáng tin cậy. Ông Gruss tin rằng giải pháp lâu dài là tái thiết kế toàn bộ cách xây dựng tác nhân AI, với khả năng phân biệt rạch ròi giữa dữ liệu hợp lệ và thông tin gây nguy hiểm.

Hiện tại, Aim Security đang cung cấp các biện pháp giảm thiểu tạm thời cho một số khách hàng sử dụng tác nhân AI. Tuy nhiên, đây chỉ là cách khắc phục tạm thời và việc thiết kế lại hệ thống mới có thể bảo đảm an toàn thông tin cho người dùng.

"Mọi công ty trong Fortune 500 mà tôi biết đều lo sợ khi triển khai tác nhân AI vào vận hành thực tế. Họ có thể đang thử nghiệm nhưng những lỗ hổng như thế này khiến họ mất ngủ và làm chậm quá trình đổi mới”, Giám đốc công nghệ của Aim Security cho biết.

Minh Hoàng

Theo Fortune