Các nhà nghiên cứu bảo mật tại Tenable đã phát hiện một loạt lỗ hổng zero-day nghiêm trọng trong ChatGPT của OpenAI. Những lỗ hổng này có khả năng cho phép các tác nhân độc hại đánh cắp dữ liệu riêng tư của người dùng và khởi động các cuộc tấn công mà không cần bất kỳ tương tác nào từ phía nạn nhân. Các lỗ hổng ảnh hưởng đến hàng trăm triệu người dùng tương tác với các mô hình ngôn ngữ lớn (LLM) mỗi ngày, đặt ra những lo ngại đáng kể về an toàn AI.

Đội ngũ nghiên cứu đã xác định bảy lỗ hổng và kỹ thuật tấn công riêng biệt khai thác các điểm yếu trong quá trình xử lý dữ liệu bên ngoài của ChatGPT. Các lỗ hổng này có mặt trong mô hình GPT-5 mới nhất và cũng ảnh hưởng đến ChatGPT 4.

Các Lỗ Hổng Nghiêm Trọng trong ChatGPT: Nguy Cơ Zero-Click và Khai Thác Bộ Nhớ

Kỹ Thuật Tấn Công Zero-Click và Khai Thác Bộ Nhớ

Phát hiện đáng báo động nhất là một vector tấn công zero-click. Vector này có thể xâm phạm người dùng chỉ bằng cách yêu cầu ChatGPT một câu hỏi vô hại, kích hoạt một tìm kiếm web. Các lỗ hổng này khai thác tính năng bộ nhớ của ChatGPT, được bật theo mặc định và lưu trữ thông tin người dùng có khả năng nhạy cảm giữa các cuộc hội thoại.

Tiêm Prompt Độc Hại qua Các Kênh Khác Nhau

Các nhà nghiên cứu của Tenable đã khám phá các phương pháp để tiêm prompt độc hại qua nhiều kênh khác nhau. Các kênh này bao gồm phần bình luận trên các trang web đáng tin cậy, các trang web được lập chỉ mục và các tham số URL trực tiếp. Điều này cho phép kẻ tấn công kiểm soát hành vi của ChatGPT mà người dùng không hề hay biết.

Lỗi Hiển Thị Markdown và Tính Năng An Toàn bị Vượt qua

Một lỗi hiển thị markdown cũng được phát hiện, cho phép kẻ tấn công ẩn nội dung độc hại khỏi người dùng trong khi ChatGPT vẫn xử lý các chỉ dẫn ẩn này. Kỹ thuật này làm cho các cuộc tấn công gần như không thể bị phát hiện bởi các nạn nhân tin tưởng vào phản hồi của ChatGPT và không nhận thức được rằng dữ liệu của họ đang bị đánh cắp.

Cơ Chế Tấn Công Mạng và Kỹ Thuật Tiêm Độc Hại

Tiêm Đàm Thoại (Conversation Injection)

Một kỹ thuật đặc biệt tinh vi được gọi là “Conversation Injection” cho phép kẻ tấn công thao túng ChatGPT. Kẻ tấn công thực hiện điều này bằng cách chèn các chỉ dẫn vào phản hồi của SearchGPT, từ đó thúc đẩy ChatGPT tự tiêm mã độc.

Vượt Qua Cơ Chế An Toàn bằng Bing Tracking Links

Có lẽ đáng lo ngại nhất là lỗ hổng vượt qua cơ chế an toàn. Lỗ hổng này tận dụng các liên kết theo dõi của Bing để bỏ qua endpoint url_safe của OpenAI. Tính năng bảo mật này được thiết kế để ngăn chặn các URL độc hại tiếp cận người dùng. Tuy nhiên, các nhà nghiên cứu đã phát hiện rằng trạng thái được phép của Bing.com cho phép kẻ tấn công trích xuất dữ liệu người dùng từng ký tự một. Điều này được thực hiện bằng cách sử dụng các liên kết theo dõi tĩnh chuyển hướng đến các tên miền do kẻ tấn công kiểm soát.

Để biết thêm chi tiết về nghiên cứu này, bạn có thể tham khảo bài viết từ Tenable tại Tenable Blog: HackedGPT.

Tiêm Bộ Nhớ (Memory Injection) để Duy Trì Tấn Công

Ngoài các mối đe dọa tức thời, các nhà nghiên cứu của Tenable đã chứng minh rằng kẻ tấn công có thể đạt được tính bền vững bằng cách thao túng hệ thống bộ nhớ của ChatGPT. Thông qua kỹ thuật Memory Injection, các tác nhân độc hại có thể cập nhật bộ nhớ của người dùng để bao gồm các chỉ dẫn đánh cắp dữ liệu. Những chỉ dẫn này sẽ thực thi với mỗi phản hồi ChatGPT tiếp theo. Điều này tạo ra một mối đe dọa dai dẳng, tiếp tục làm rò rỉ dữ liệu riêng tư qua các cuộc hội thoại, phiên làm việc và thậm chí nhiều ngày sau khi bị xâm nhập ban đầu.

Hậu Quả và Kịch Bản Rò Rỉ Dữ Liệu Nhạy Cảm

Phishing và Đánh Cắp Dữ Liệu qua Tóm Tắt Bài Viết

Trong một kịch bản minh họa, kẻ tấn công rải các prompt độc hại trong phần bình luận trên các blog và trang tin tức phổ biến. Khi người dùng yêu cầu ChatGPT tóm tắt các bài viết này, họ vô tình kích hoạt việc tiêm prompt. Điều này dẫn đến các cuộc tấn công phishing hoặc đánh cắp dữ liệu. Đây là một ví dụ rõ ràng về cách tấn công mạng có thể diễn ra một cách tinh vi.

Tấn Công Mục Tiêu thông qua Tìm Kiếm AI

Vector tấn công nghiêm trọng nhất yêu cầu zero user interaction ngoài việc đặt câu hỏi. Kẻ tấn công tạo các trang web về các chủ đề cụ thể, tiêm prompt chỉ xuất hiện khi SearchGPT duyệt chúng. Sau đó, họ chờ đợi các trang này được lập chỉ mục bởi trình thu thập dữ liệu của OpenAI. Khi người dùng tìm kiếm thông tin liên quan đến các chủ đề này, ChatGPT tự động lấy nguồn từ các trang web độc hại và bị xâm phạm. Lỗ hổng chưa từng có này có thể kích hoạt các cuộc tấn công có mục tiêu dựa trên các sự kiện hiện tại, xu hướng chính trị hoặc sở thích đặc thù, ảnh hưởng đến bất kỳ ai dựa vào chức năng tìm kiếm được hỗ trợ bởi AI, gây ra nguy cơ rò rỉ dữ liệu lớn.