Các nhà nghiên cứu bảo mật vừa phát hiện một lỗ hổng OpenAI Guardrails cơ bản trong framework Guardrails mới ra mắt của OpenAI, có thể bị khai thác bằng các kỹ thuật prompt injection cơ bản. Lỗ hổng này cho phép kẻ tấn công vượt qua các cơ chế an toàn của hệ thống. Nó có thể tạo ra nội dung độc hại mà không kích hoạt bất kỳ cảnh báo bảo mật nào, gây lo ngại nghiêm trọng về hiệu quả của các phương pháp tự điều chỉnh AI.

Guardrails: Mục tiêu An toàn AI và Vấn đề Cốt lõi

OpenAI đã giới thiệu framework Guardrails vào ngày 6 tháng 10. Đây là một giải pháp an toàn toàn diện được thiết kế để phát hiện và ngăn chặn các hành vi mô hình AI có khả năng gây hại. Framework này bao gồm các bộ phát hiện chuyên biệt cho các nỗ lực jailbreak và prompt injection. Cả hai đều dựa vào các mô hình ngôn ngữ lớn (LLM) để đánh giá liệu đầu vào hoặc đầu ra có gây ra rủi ro bảo mật hay không. Mục đích là để bảo vệ người dùng khỏi các tương tác AI độc hại.

Tuy nhiên, các nhà nghiên cứu bảo mật đã xác định một điểm yếu chí tử trong phương pháp này. Vấn đề cơ bản nằm ở việc sử dụng cùng một loại mô hình cho cả việc tạo nội dung và đánh giá bảo mật. Điều này tạo ra một vòng lặp yếu điểm đáng báo động.

Compound Vulnerability: Khi Cơ chế Bảo mật Trở thành Vector Tấn công

Vì cả mô hình AI chính và “thẩm phán” bảo mật đều dễ bị tấn công prompt injection, một prompt độc hại duy nhất có thể xâm phạm cả hai hệ thống cùng lúc. Điều này tạo ra một sự cố dây chuyền (cascade failure), nơi cơ chế bảo mật lại trở thành một phần của vector tấn công, thay vì phòng thủ. Các nhà nghiên cứu đã chứng minh lỗ hổng OpenAI Guardrails này bằng cách phát triển một kỹ thuật bỏ qua đơn giản. Kỹ thuật này thao túng cơ chế tính điểm tự tin của “thẩm phán” dựa trên LLM.

Kẻ tấn công không cần phải thuyết phục hệ thống bảo mật rằng một prompt độc hại là vô hại. Thay vào đó, cuộc tấn công thao túng “thẩm phán” để báo cáo ngưỡng tự tin giả mạo. Điều này làm giảm hiệu quả tiêu chuẩn để gắn cờ nội dung nguy hiểm. Khám phá này nêu bật một CVE nghiêm trọng tiềm năng, ảnh hưởng đến tính toàn vẹn của các hệ thống an toàn AI.

Chi tiết Kỹ thuật Khai thác: Bỏ qua Phát hiện Jailbreak và Prompt Injection

Nhóm nghiên cứu đã thành công bỏ qua cả hệ thống phát hiện jailbreak và phát hiện prompt injection. Họ sử dụng các kỹ thuật đơn giản nhưng vô cùng hiệu quả để làm lộ rõ bản chất của lỗ hổng OpenAI Guardrails. Việc này cho thấy sự thiếu sót trong kiến trúc bảo mật.

Kỹ thuật Bỏ qua Phát hiện Jailbreak

Trong kỹ thuật bỏ qua phát hiện jailbreak, các nhà nghiên cứu đã nhúng prompt độc hại vào một template. Template này bao gồm các phản hồi “thẩm phán” giả mạo và các đánh giá tự tin sai lệch. Hệ thống đã bị đánh lừa tin rằng ngưỡng tự tin để gắn cờ nội dung thấp hơn điểm số thực tế của nội dung độc hại. Kỹ thuật này cho phép các hướng dẫn gây hại đi qua mà không bị phát hiện, phá vỡ lớp bảo vệ dự kiến của Guardrails.

Kỹ thuật Bỏ qua Phát hiện Prompt Injection gián tiếp

Đối với việc bỏ qua phát hiện prompt injection, các nhà nghiên cứu đã tạo ra một kịch bản liên quan đến khai thác prompt injection gián tiếp thông qua nội dung web. Họ nhúng các hướng dẫn độc hại vào một trang web mà lẽ ra sẽ kích hoạt cảnh báo bảo mật. Tuy nhiên, bằng cách bao gồm lý do “thẩm phán” bịa đặt trong nội dung, họ đã thuyết phục hệ thống bảo mật áp dụng các ngưỡng tự tin không chính xác.

Điều này cho phép cuộc tấn công tiếp tục thực hiện các lệnh gọi công cụ trái phép. Các lệnh này được thiết kế để trích xuất thông tin nhạy cảm từ hệ thống, gây ra rủi ro nghiêm trọng về rò rỉ dữ liệu. Các nhà nghiên cứu đã trình bày chi tiết về lỗ hổng này tại HiddenLayer Innovation Hub, nhấn mạnh bản chất dễ bị thao túng của các mô hình đánh giá.

Ý nghĩa Rộng lớn cho An ninh mạng AI và Các Biện pháp Đối phó

Các cuộc tấn công này đã thành công vì chúng khai thác giả định cơ bản rằng các “thẩm phán” dựa trên LLM sẽ đánh giá nội dung một cách khách quan. Thay vào đó, những “thẩm phán” này cũng dễ bị thao túng như các mô hình chính mà chúng có nhiệm vụ bảo vệ. Điều này tạo ra điều mà các nhà nghiên cứu mô tả là “lỗ hổng tổng hợp” (compound vulnerability), nơi các biện pháp bảo mật khuếch đại rủi ro thay vì giảm thiểu chúng.

Khám phá này có những ý nghĩa sâu rộng đối với các tổ chức đang triển khai hệ thống AI với các biện pháp an toàn rõ ràng. Lỗ hổng Guardrails cho thấy rằng các kiểm tra bảo mật dựa trên mô hình có thể tạo ra cảm giác tự tin sai lầm về an toàn hệ thống. Trên thực tế, chúng chỉ cung cấp sự bảo vệ tối thiểu chống lại những kẻ tấn công quyết tâm và có kinh nghiệm.

Người dùng doanh nghiệp có thể tin rằng triển khai AI của họ an toàn, trong khi thực tế chúng dễ bị tổn thương trước các chiến dịch prompt injection tinh vi. Nghiên cứu này nhấn mạnh sự cần thiết của các chiến lược phòng thủ theo lớp, vượt xa xác thực dựa trên LLM.

Để đảm bảo an ninh mạng AI hiệu quả, cần có các hệ thống xác thực độc lập, kiểm thử đối kháng liên tục (continuous adversarial testing) và khả năng giám sát bên ngoài. Những hệ thống này phải hoạt động độc lập và không thể bị xâm phạm thông qua cùng các vector với các mô hình AI chính.

Các tổ chức nên coi các hệ thống guardrail hiện tại như các biện pháp bảo mật bổ sung, chứ không phải là biện pháp chính. Các chuyên gia bảo mật nhấn mạnh rằng lỗ hổng OpenAI Guardrails này đại diện cho một thách thức rộng lớn hơn trong kiến trúc an toàn AI. Khi các hệ thống AI trở nên tinh vi hơn và được triển khai rộng rãi, cám dỗ sử dụng AI để kiểm soát AI tạo ra các “lỗ hổng đệ quy” (recursive vulnerabilities) mà kẻ tấn công có thể khai thác một cách khéo léo.

An ninh mạng AI thực sự đòi hỏi các cơ chế xác thực đa dạng và độc lập. Các cơ chế này phải hoạt động bên ngoài ngữ cảnh có thể thao túng của các tương tác mô hình ngôn ngữ. Những phát hiện này nhấn mạnh tầm quan trọng của việc kiểm thử red team liên tục và phát triển các framework bảo mật. Các framework này cần giả định rằng các mô hình AI sẽ bị xâm phạm, thay vì hy vọng chúng có thể tự điều chỉnh một cách hiệu quả. Đây là một bài học quan trọng để tăng cường an ninh mạng cho các hệ thống AI trong tương lai và bảo vệ dữ liệu nhạy cảm.