Nghiên cứu gần đây đã phát hiện ba lỗ hổng Gemini AI nghiêm trọng trong bộ trợ lý AI Google Gemini, được đặt tên là “Gemini Trifecta”. Các lỗ hổng này có thể cho phép các tác nhân độc hại đánh cắp dữ liệu đã lưu và thông tin vị trí trực tiếp của người dùng.

Mặc dù Google đã kịp thời khắc phục, những lỗ hổng này đã minh chứng rõ ràng cách các hệ thống trí tuệ nhân tạo có thể trở thành vector tấn công, không chỉ đơn thuần là mục tiêu.

Tổng quan về các Lỗ hổng Gemini AI

Theo Tenable, các lỗ hổng được phát hiện nhắm mục tiêu vào các thành phần khác nhau của hệ sinh thái Gemini. Đây là một rủi ro bảo mật đáng chú ý đối với người dùng AI.

Thông tin chi tiết về nghiên cứu có thể được tìm thấy tại báo cáo của Tenable.

Gemini Cloud Assist

Lỗ hổng này ảnh hưởng đến Gemini Cloud Assist, công cụ AI dựa trên đám mây của Google. Công cụ này được thiết kế để hỗ trợ người dùng phân tích nhật ký và tài nguyên đám mây.

Kẻ tấn công có thể tiêm các lệnh độc hại thông qua tiêu đề HTTP User-Agent trong các mục nhật ký. Sau đó, các lệnh này sẽ được AI xử lý khi người dùng yêu cầu tóm tắt nhật ký, dẫn đến việc thực thi mã không mong muốn.

Gemini Search Personalization Model

Lỗ hổng thứ hai khai thác Mô hình Cá nhân hóa Tìm kiếm của Gemini. Mô hình này sử dụng lịch sử duyệt web để tùy chỉnh các phản hồi cho người dùng.

Kẻ tấn công có thể tiêm mã JavaScript độc hại vào trình duyệt của nạn nhân. Điều này cho phép chèn các truy vấn tìm kiếm được chế tạo đặc biệt, sau đó AI sẽ diễn giải chúng thành các hướng dẫn hợp pháp.

Gemini Browsing Tool

Lỗ hổng thứ ba và có lẽ đáng lo ngại nhất liên quan đến Gemini Browsing Tool. Lỗ hổng này cho phép kẻ tấn công trích xuất dữ liệu nhạy cảm của người dùng.

Điều này được thực hiện bằng cách thao túng AI để truy cập các trang web độc hại. Các trang web này có thông tin người dùng được nhúng trong các tham số URL, tạo điều kiện cho việc đánh cắp dữ liệu.

Cơ chế Tấn công và Khai thác

Các lỗ hổng này tuân theo một mô hình tấn công mạng hai giai đoạn rõ ràng: giai đoạn xâm nhập (infiltration) và giai đoạn trích xuất dữ liệu (exfiltration).

Giai đoạn Infiltration (Xâm nhập)

Trong giai đoạn xâm nhập, kẻ tấn công sẽ tiêm các lệnh độc hại bằng các phương pháp gián tiếp. Các phương pháp này bao gồm thông qua các mục nhật ký hoặc thao túng lịch sử tìm kiếm.

Các lệnh này được thiết kế để xuất hiện hợp pháp đối với hệ thống AI. Chúng tận dụng các chức năng bình thường của AI để đạt được mục tiêu ban đầu.

Giai đoạn Exfiltration (Trích xuất dữ liệu)

Mặc dù Google đã triển khai các biện pháp bảo vệ chống lại các phương pháp đánh cắp dữ liệu rõ ràng, như hiển thị các liên kết hoặc hình ảnh độc hại, công cụ duyệt web của Gemini lại cung cấp một con đường khác.

Kẻ tấn công có thể hướng dẫn Gemini “tóm tắt” các trang web bên ngoài. Điều này khiến AI thực hiện các yêu cầu HTTP chứa dữ liệu người dùng nhạy cảm đến các máy chủ do kẻ tấn công kiểm soát.

Các bản trình diễn proof-of-concept đã cho thấy khả năng đánh cắp nhiều loại thông tin cá nhân. Các thông tin này bao gồm sở thích người dùng đã lưu, dữ liệu vị trí và các chi tiết nhạy cảm khác được lưu trữ trong hệ sinh thái Gemini.

Các cuộc tấn công mạng này đặc biệt tinh vi. Chúng khai thác chức năng AI hợp pháp thay vì lợi dụng các lỗ hổng bảo mật rõ ràng. Điều này làm cho việc phát hiện trở nên khó khăn hơn.

Biện pháp Khắc phục của Google

Google đã thành công trong việc giải quyết cả ba lỗ hổng Gemini AI thông qua nhiều chiến lược giảm thiểu khác nhau.

• Đối với lỗ hổng Cloud Assist: Công ty đã sửa đổi cách các siêu liên kết được hiển thị trong các phản hồi tóm tắt nhật ký. Điều này giúp ngăn chặn việc tiêm mã độc qua tiêu đề User-Agent.
• Đối với lỗ hổng Cá nhân hóa Tìm kiếm: Lỗ hổng này đã được giải quyết bằng cách khôi phục mô hình bị ảnh hưởng và triển khai các lớp phòng thủ chống tiêm lệnh (prompt injection) nhiều tầng.
• Đối với lỗ hổng công cụ duyệt web: Biện pháp giảm thiểu bao gồm ngăn chặn việc trích xuất dữ liệu thông qua các lệnh tiêm gián tiếp. Điều này đảm bảo rằng các hướng dẫn độc hại không thể lạm dụng khả năng duyệt web hợp pháp của công cụ.

Bài học về An ninh mạng AI

Những phát hiện này nhấn mạnh những thách thức bảo mật đang phát triển trong các hệ thống được hỗ trợ bởi AI. Khi các tổ chức ngày càng áp dụng các trợ lý và công cụ AI, các nhóm an ninh mạng phải nhận ra rằng những hệ thống này tạo ra các bề mặt tấn công mới.

Điều này đòi hỏi các chiến lược bảo vệ chuyên biệt. Nghiên cứu cũng chỉ ra rằng các phương pháp an ninh mạng truyền thống có thể không đủ đối với các hệ thống AI. Các hệ thống này có thể bị thao túng thông qua kỹ thuật tiêm lệnh (prompt engineering) hơn là các kỹ thuật khai thác thông thường.

Các tổ chức triển khai công cụ AI cần có tầm nhìn toàn diện về hạ tầng AI của mình. Việc thực thi chính sách nghiêm ngặt là điều cần thiết để duy trì an toàn thông tin và bảo mật.