Các mô hình ngôn ngữ AI như ChatGPT, DeepSeek và Copilot đang cách mạng hóa hoạt động kinh doanh với tốc độ nhanh chóng. Tuy nhiên, việc áp dụng nhanh chóng này đi kèm với một thách thức lớn: nhân viên thường sử dụng các công cụ AI không được phê duyệt trên thiết bị cá nhân, tạo ra nguy cơ rò rỉ dữ liệu nhạy cảm của công ty vào các không gian không được kiểm soát.

Mối Đe Dọa Từ Shadow AI và Nguy Cơ An Ninh Mạng

Hành vi rủi ro này, được biết đến với tên gọi Shadow AI, đặt ra các mối đe dọa thực sự đối với an ninh mạng của tổ chức. Đây là việc sử dụng các hệ thống AI bên ngoài kiểm soát của bộ phận IT, tiềm ẩn nhiều hiểm họa nghiêm trọng.

Dữ liệu mật của công ty, mã nguồn độc quyền và chi tiết khách hàng nhạy cảm có thể vô tình được sử dụng để đào tạo các mô hình AI không xác định, dẫn đến tình trạng rò rỉ dữ liệu nghiêm trọng.

Điều này không chỉ vi phạm các quy định về bảo mật mà còn ảnh hưởng trực tiếp đến lợi thế cạnh tranh và uy tín của doanh nghiệp. Việc quản lý lỏng lẻo các công cụ AI tiềm ẩn nguy cơ cao về lộ lọt thông tin.

Kỹ Thuật Prompt Injection: Từ Tấn Công Đến Bảo Vệ Dữ Liệu

Prompt injection là một kỹ thuật tấn công đã được biết đến rộng rãi trong lĩnh vực an toàn thông tin. Kỹ thuật này lừa các mô hình ngôn ngữ lớn (LLM) tạo ra các kết quả ngoài ý muốn thông qua các chỉ dẫn được tạo tác cẩn thận và khéo léo.

Ví dụ điển hình là kẻ tấn công có thể chèn các lệnh ẩn vào dữ liệu đầu vào. Sau đó, các lệnh này sẽ được thực thi bởi LLM, cho phép kẻ tấn công kiểm soát hoặc trích xuất thông tin không mong muốn. Tuy nhiên, liệu phương pháp tấn công này có thể được biến thành một công cụ tích cực để tăng cường bảo mật thông tin và ngăn chặn rò rỉ dữ liệu hiệu quả?

Thử Nghiệm của Eye Security: Ứng Dụng Prompt Injection Chống Rò Rỉ Dữ Liệu

Thay vì phá vỡ bảo mật, các kỹ thuật prompt injection đạo đức có thể được sử dụng để giáo dục và cảnh báo người dùng. Nhóm an ninh mạng tại Eye Security đã thực hiện một thử nghiệm sáng tạo để chứng minh khả năng này.

Họ đã nhúng các thông điệp cảnh báo ẩn vào các bản xuất PDF của công ty từ Confluence. Các cảnh báo này được thiết kế để không hiển thị đối với con người khi đọc trực tiếp nhưng lại xuất hiện ngay lập tức khi tài liệu được tóm tắt trong một LLM.

Mục đích chính là nhắc nhở người dùng về nguy cơ làm rò rỉ dữ liệu nhạy cảm và làm nổi bật các chính sách bảo mật nội bộ của công ty. Kết quả ban đầu rất khả quan, nhân viên đã bất ngờ nhìn thấy các tuyên bố từ chối trách nhiệm, nâng cao nhận thức của họ về các quy tắc an ninh AI nội bộ.

Để tìm hiểu sâu hơn về thử nghiệm này và các biện pháp chống rò rỉ dữ liệu, hãy tham khảo nghiên cứu chi tiết của Eye Security tại: Prompt Injection to Battle Shadow AI.

Mở Rộng Phạm Vi Ứng Dụng và Công Cụ Prototype

Thành công ban đầu đã thúc đẩy Eye Security tiếp tục mở rộng thử nghiệm. Họ khám phá các cách khác nhau để phân phối các kỹ thuật prompt injection “phòng thủ” này qua nhiều kênh.

Cụ thể, họ đã thử nhúng cảnh báo vào các loại tài liệu khác nhau, email và các dịch vụ đám mây phổ biến. Các công cụ như Microsoft Purview và Google Workspace đã được sử dụng trong quá trình này để tăng cường khả năng bảo mật thông tin trên nhiều nền tảng.

Một bước tiến quan trọng là việc phát triển một công cụ prototype mã nguồn mở trên GitHub. Công cụ này tự động hóa quy trình nhúng prompt, cho phép các nhóm bảo mật tạo hàng loạt tài liệu với các lời nhắc nhúng.

Sau đó, họ có thể kiểm tra hiệu quả của các cảnh báo trên các LLM khác nhau, nhằm mục đích hạn chế tối đa nguy cơ rò rỉ dữ liệu trong môi trường doanh nghiệp.

Kết Quả và Những Hạn Chế Của Phương Pháp Phòng Vệ

Kết quả thử nghiệm cho thấy hầu hết các LLM và công cụ AI đều nhận diện được các lời nhắc cảnh báo trực tiếp và đơn giản. Chúng hiển thị các tuyên bố từ chối trách nhiệm theo yêu cầu, góp phần tích cực vào bảo mật thông tin chung.

Tuy nhiên, các thủ thuật như ẩn văn bản bằng màu trắng trên nền trắng hoặc sử dụng phông chữ siêu nhỏ đôi khi có hiệu quả. Song, kết quả không nhất quán, đặc biệt nếu công cụ AI sử dụng công nghệ OCR và bỏ qua các lời nhắc ẩn.

Việc nhúng hình ảnh hoặc liên kết như một phần của cảnh báo đôi khi có hiệu quả. Tuy nhiên, phương pháp này thường vượt qua các ranh giới bảo mật của nhà cung cấp, gây ra các vấn đề tương thích và tiềm ẩn nguy cơ rò rỉ dữ liệu không mong muốn.

Mặc dù cách tiếp cận “Prompt Injection vì mục đích Tốt” rất hứa hẹn, nó vẫn có những giới hạn rõ ràng. Một số LLM đã gắn cờ các lời nhắc phòng thủ là đáng ngờ và bỏ qua hoàn toàn việc chèn, làm giảm hiệu quả của biện pháp này.

Các LLM khác cho thấy kết quả không nhất quán giữa giao diện người dùng (front-end) và các API phụ trợ (back-end). Điều này đặt ra thách thức trong việc đảm bảo tính đáng tin cậy và khả năng triển khai rộng rãi của biện pháp bảo mật thông tin này.

Tương Lai Của An Ninh Mạng Với Prompt Injection Phòng Vệ

Vẫn còn nhiều câu hỏi quan trọng cần được giải đáp về cách cấu trúc các lời nhắc để chúng hoạt động đáng tin cậy trên các LLM khác nhau. Đồng thời, cần xem xét kỹ lưỡng cách các nhà cung cấp sẽ phản ứng khi các biện pháp phòng chống prompt injection của họ ngày càng phát triển.

Việc tránh lạm dụng chính kỹ thuật này cũng là một vấn đề cần được giải quyết để duy trì tính toàn vẹn của an ninh mạng. Cuộc chiến chống lại Shadow AI và nguy cơ rò rỉ dữ liệu nhạy cảm mới chỉ bắt đầu.

Khi công nghệ AI tiếp tục phát triển, các công cụ như prototype của Eye Security mang đến một cách sáng tạo để kiểm tra và theo dõi. Chúng giúp đánh giá cách các LLM xử lý các cảnh báo bảo mật quan trọng, cung cấp một vũ khí mới hiệu quả cho các nhà phòng thủ an ninh mạng trong kỷ nguyên AI.