OpenAI đã triển khai tác nhân ChatGPT cho các thuê bao Plus, Pro và Team vào thứ Năm, cung cấp cho người dùng một cách mới mạnh mẽ để tự động hóa các tác vụ trực tuyến. Nhưng việc ra mắt này đi kèm với một cảnh báo: tác nhân có thể khiến người dùng bị tấn công chèn lệnh.
"Khi bạn đăng nhập tác nhân ChatGPT vào các trang web hoặc kích hoạt các kết nối, nó sẽ có thể truy cập dữ liệu nhạy cảm từ những nguồn đó, chẳng hạn như email, tệp tin hoặc thông tin tài khoản," OpenAI đã viết trong một bài đăng blog.
Tính năng này cũng sẽ có thể thực hiện các hành động, như chia sẻ tệp tin hoặc sửa đổi cài đặt tài khoản.
"Điều này có thể đặt dữ liệu và quyền riêng tư của bạn vào tình trạng rủi ro do sự tồn tại của các cuộc tấn công 'chèn lệnh' trực tuyến," OpenAI thừa nhận.
Chèn lệnh là một loại tấn công trong đó các tác nhân độc hại nhúng các hướng dẫn ẩn trong nội dung mà một tác nhân AI có thể đọc, chẳng hạn như bài đăng blog, văn bản trang web hoặc tin nhắn email.
Nếu thành công, lệnh được chèn có thể lừa tác nhân thực hiện các hành động ngoài ý muốn, chẳng hạn như truy cập dữ liệu cá nhân hoặc gửi thông tin nhạy cảm đến máy chủ của kẻ tấn công.
OpenAI đã thông báo tác nhân AI vào ngày 17 tháng 7, ban đầu dự định triển khai đầy đủ vào thứ Hai tiếp theo.
Mốc thời gian đó đã trượt sang ngày 24 tháng 7, khi công ty ra mắt tính năng cùng với bản cập nhật ứng dụng.
Tác nhân ChatGPT có thể đăng nhập vào các trang web, đọc email, đặt chỗ và tương tác với các dịch vụ như Gmail, Google Drive và GitHub.
Mặc dù được thiết kế để tăng năng suất, nhưng tác nhân này cũng tạo ra những rủi ro bảo mật mới liên quan đến cách các hệ thống AI diễn giải và thực thi các hướng dẫn.
Theo Steven Walbroehl, giám đốc công nghệ và đồng sáng lập của công ty an ninh mạng blockchain và AI Halborn, chèn lệnh về cơ bản là một dạng chèn lệnh, nhưng có một điểm khác biệt.
"Đó là một chèn lệnh, nhưng chèn lệnh, thay vì là mã, nó giống như kỹ thuật xã hội hơn," Walbroehl nói với Decrypt. "Bạn đang cố gắng lừa hoặc thao túng tác nhân để làm những việc nằm ngoài các tham số của nó."
Không giống như các lệnh chèn truyền thống, dựa trên cú pháp chính xác, chèn lệnh khai thác sự mơ hồ của ngôn ngữ tự nhiên.
"Với chèn lệnh, bạn đang làm việc với đầu vào có cấu trúc, dự đoán được. Chèn lệnh đảo ngược điều đó: Bạn sử dụng ngôn ngữ tự nhiên để lọt qua các rào chắn của AI," Walbroehl nói.
Ông cảnh báo rằng các tác nhân độc hại có thể giả mạo các tác nhân đáng tin cậy và khuyên người dùng xác minh các nguồn của họ và sử dụng các biện pháp bảo vệ như mã hóa điểm cuối, ghi đè thủ công và trình quản lý mật khẩu.
Tuy nhiên, thậm chí xác thực nhiều yếu tố cũng có thể không đủ nếu tác nhân có thể truy cập email hoặc SMS.
"Nếu nó có thể nhìn thấy dữ liệu, hoặc ghi lại các phím gõ, thì không quan trọng mật khẩu của bạn an toàn đến đâu," Walbroehl nói. "Thậm chí xác thực nhiều yếu tố cũng có thể thất bại nếu tác nhân lấy các mã sao lưu hoặc tin nhắn SMS. Biện pháp bảo vệ duy nhất có thể là sinh trắc học - thứ mà bạn là, không phải thứ mà bạn có."
OpenAI khuyến nghị sử dụng tính năng "Tiếp quản" khi nhập thông tin đăng nhập nhạy cảm. Điều đó sẽ tạm dừng tác nhân và chuyển quyền điều khiển trở lại cho người dùng.
Để chống lại chèn lệnh và các mối đe dọa liên quan đến AI trong tương lai, Walbroehl đã khuyến nghị một cách tiếp cận nhiều lớp, sử dụng các tác nhân chuyên biệt để tăng cường bảo mật.
"Bạn có thể có một tác nhân luôn hoạt động như một con chó canh gác," ông nói. "Nó có thể giám sát các heuristic hoặc mẫu hành vi cho thấy một cuộc tấn công tiềm ẩn trước khi nó xảy ra."
