Nghiên cứu mới đây đã phát hiện một mối đe dọa mạng tinh vi, khai thác cách các công cụ AI xử lý văn bản pháp lý. Phương pháp này thành công lừa các mô hình ngôn ngữ lớn (LLM) phổ biến thực thi mã nguy hiểm hoặc đưa ra các khuyến nghị sai lệch, gây ra rủi ro nghiêm trọng cho các hệ thống sử dụng AI.

LegalPwn: Phương Pháp Tấn Công Mạng Khai Thác Văn Bản Pháp Lý

Khái Niệm và Cơ Chế Hoạt Động

Hãng bảo mật Pangea đã công bố một phương pháp tấn công tinh vi mang tên “LegalPwn”. Kỹ thuật này ẩn chứa các chỉ thị độc hại bên trong các văn bản pháp lý tưởng chừng vô hại. Chúng bao gồm các điều khoản miễn trừ trách nhiệm (disclaimers), điều khoản dịch vụ (terms of service) hoặc thông báo bản quyền.

LegalPwn đại diện cho một bước tiến đáng kể trong các cuộc tấn công **prompt injection**. Nó nhắm vào sự tin cậy vốn có của các hệ thống AI đối với ngôn ngữ pháp lý chính thức. Các văn bản pháp lý thường được coi là nguồn thông tin đáng tin cậy, điều này khiến AI xử lý chúng với mức độ giám sát thấp hơn so với các loại đầu vào khác.

Điểm Khác Biệt So Với Tấn Công Prompt Injection Truyền Thống

Không giống như các kỹ thuật prompt injection truyền thống sử dụng các lệnh độc hại rõ ràng, LegalPwn ngụy trang các chỉ thị nguy hiểm. Chúng được tích hợp một cách khéo léo vào các văn bản pháp lý có vẻ ngoài chân thực. Kẻ tấn công sẽ tạo ra các điều khoản miễn trừ hoặc chính sách chứa các chỉ dẫn ẩn. Những chỉ dẫn này hướng dẫn mô hình AI bỏ qua các giao thức bảo mật hoặc phân loại mã nguy hiểm là an toàn.

Mục tiêu cuối cùng là khiến AI thực thi các lệnh độc hại. Sự tinh vi của LegalPwn nằm ở khả năng lợi dụng sự “tin tưởng” của AI vào định dạng và nội dung của văn bản pháp lý, biến chúng thành phương tiện truyền tải các lệnh tấn công.

Phạm Vi Tác Động và Các Nền Tảng AI Bị Ảnh Hưởng

Kiểm Tra Trên Các Mô Hình AI Phổ Biến

Nhóm nghiên cứu đã thử nghiệm phương pháp tấn công này trên nhiều nền tảng AI hàng đầu. Kết quả cho thấy mức độ đáng báo động về khả năng bị tổn thương. Các mô hình phổ biến như ChatGPT 4.1, ChatGPT 4o, Google’s Gemini 2.5 Flash và Pro, xAI’s Grok 3 và 4, Meta’s LLaMA 3.3 70B, và Microsoft’s Phi 4 đều đã trở thành nạn nhân của cuộc tấn công trong các điều kiện nhất định. Điều này cho thấy phạm vi ảnh hưởng rộng lớn của kỹ thuật LegalPwn đối với các mô hình AI đang được sử dụng rộng rãi.

Chi tiết về nghiên cứu có thể tham khảo tại báo cáo của Pangea: LegalPwn Research Report.

Thử Nghiệm Trong Môi Trường Thực Tế

Các nhà nghiên cứu của Pangea đã triển khai thành công các cuộc tấn công LegalPwn trong môi trường thực tế, không chỉ giới hạn trong phòng thí nghiệm. Các trường hợp đáng chú ý bao gồm công cụ gemini-cli của Google và GitHub Copilot. Điều này khẳng định tính khả thi và nguy hiểm của kỹ thuật này trong các ứng dụng AI thực tiễn.

Trong một minh chứng cụ thể, cuộc tấn công LegalPwn đã thành công vượt qua cơ chế phân tích bảo mật dựa trên AI. Kết quả là, các hệ thống bị lừa phân loại mã reverse shell độc hại thành một chương trình máy tính vô hại. Điều này cho thấy khả năng của LegalPwn trong việc né tránh các hệ thống phát hiện mối đe dọa mạng hiện có.

Đáng lo ngại hơn, trong một sự cố, gemini-cli không chỉ thất bại trong việc phát hiện mối đe dọa mà còn chủ động khuyến nghị người dùng thực thi mã độc. Hành động này có thể dẫn đến việc hệ thống của người dùng bị xâm nhập nghiêm trọng. Tương tự, GitHub Copilot cũng đã xác định nhầm mã mạng nguy hiểm là chức năng hợp pháp và vô hại.

Khả Năng Kháng Cự và Yếu Tố Bảo Mật

Các Mô Hình AI Có Khả Năng Phòng Thủ

Không phải tất cả các hệ thống AI đều dễ bị tổn thương như nhau trước mối đe dọa mạng này. Các mô hình Anthropic’s Claude (3.5 Sonnet và Sonnet 4) đã thể hiện khả năng chống chịu mạnh mẽ trong tất cả các kịch bản thử nghiệm. Chúng liên tục xác định được mã độc, bất kể mã đó được ngụy trang như thế nào. Mô hình Meta’s LLaMA Guard 4 cũng duy trì được khả năng phòng thủ vững chắc trước các cuộc tấn công.

Sự khác biệt này cho thấy tầm quan trọng của thiết kế kiến trúc và các biện pháp bảo mật tích hợp trong các mô hình AI. Các mô hình có khả năng nhận diện và xử lý thông tin nhạy cảm tốt hơn sẽ có khả năng chống chịu cao hơn.

Vai Trò Của System Prompt và Biện Pháp Đối Phó

Nghiên cứu đã chỉ ra rằng hiệu quả của các cuộc tấn công LegalPwn phụ thuộc rất nhiều vào system prompts – các chỉ thị cơ bản hướng dẫn hành vi của AI. Các mô hình có system prompts mạnh mẽ và tập trung vào bảo mật, đặc biệt là những prompt cảnh báo rõ ràng về khả năng bị thao túng, cho thấy khả năng kháng cự tốt hơn đáng kể.

Phát hiện này làm nổi bật một lỗ hổng zero-day nghiêm trọng trong cách các hệ thống AI xử lý và tin tưởng các loại văn bản khác nhau. Các văn bản pháp lý, chính sách quyền riêng tư và điều khoản dịch vụ xuất hiện khắp nơi trong môi trường kỹ thuật số. Chúng thường được các công cụ AI tự động xử lý mà không cần mức độ giám sát tương tự như đối với đầu vào của người dùng.

Tỷ lệ thành công của cuộc tấn công thay đổi tùy thuộc vào sự tinh vi của payload và sự hiện diện của các biện pháp phòng thủ. Tuy nhiên, ngay cả các prompt nâng cao cũng không loại bỏ hoàn toàn được lỗ hổng trong một số trường hợp. Điều này nhấn mạnh rằng cần có một cách tiếp cận đa tầng để bảo vệ các hệ thống AI.

Ý Nghĩa và Hướng Phát Triển Bảo Mật AI

Mối Nguy Hiểm Tiềm Tàng

Các chuyên gia cảnh báo rằng LegalPwn đại diện cho một biên giới mới trong các mối đe dọa an ninh AI. Kỹ thuật này đặc biệt nguy hiểm vì nó khai thác tính hợp pháp rõ ràng của ngôn ngữ pháp lý. Khi các hệ thống AI ngày càng được tích hợp sâu hơn vào các quy trình kinh doanh quan trọng và các công cụ bảo mật, tiềm năng gây ra thiệt hại đáng kể từ các cuộc tấn công như vậy sẽ tăng lên đáng kể.

Đây là một cảnh báo về những rủi ro bảo mật tiềm ẩn khi AI tương tác với các dữ liệu có vẻ ngoài vô hại nhưng lại chứa mã độc được ngụy trang tinh vi. Việc nhận diện và giảm thiểu mối đe dọa mạng này trở nên cấp thiết.

Nhu Cầu Cấp Bách Về Cơ Chế Phòng Thủ AI

Nghiên cứu nhấn mạnh nhu cầu cấp bách về việc cải thiện các rào cản bảo vệ AI (AI guardrails), tăng cường xác thực đầu vào (input validation), và phát triển các cơ chế phát hiện tinh vi hơn. Những cơ chế này phải có khả năng xác định ý đồ độc hại bất kể nó được ngụy trang như thế nào trong văn bản có vẻ ngoài hợp pháp.

Việc đầu tư vào nghiên cứu và phát triển các biện pháp đối phó là tối quan trọng để bảo vệ tương lai của các ứng dụng AI khỏi các kiểu tấn công mạng mới và đang phát triển. Cộng đồng an ninh mạng cần hợp tác để nâng cao khả năng phòng thủ chống lại các kỹ thuật tấn công AI tiên tiến như LegalPwn.