Sự tích hợp sâu rộng của các mô hình ngôn ngữ lớn (LLM) vào hoạt động kinh doanh hàng ngày, từ chatbot dịch vụ khách hàng đến các tác nhân tự chủ quản lý lịch, thực thi mã và xử lý giao dịch tài chính, đã tạo ra một điểm mù bảo mật nghiêm trọng. Các nhà nghiên cứu đã xác định rằng các cuộc tấn công nhắm vào những hệ thống này không chỉ đơn thuần là các thao tác chèn prompt (prompt injection) như thường được tin, mà là các chiến dịch tinh vi, đa giai đoạn, phản ánh các hoạt động mã độc truyền thống. Lớp mối đe dọa mạng mới nổi này đã được đặt tên là “promptware” — một danh mục mã độc mới được thiết kế đặc biệt để khai thác các lỗ hổng trong các ứng dụng dựa trên LLM.

Sự khác biệt này có ý nghĩa quan trọng. Trong khi ngành bảo mật đã tập trung một cách hẹp hòi vào prompt injection như một thuật ngữ chung, thì thực tế phức tạp hơn nhiều. Các cuộc tấn công hiện nay tuân theo các mô hình tuần tự, có hệ thống: truy cập ban đầu thông qua các prompt độc hại, leo thang đặc quyền bằng cách bỏ qua các ràng buộc an toàn, thiết lập duy trì quyền truy cập (persistence) trong bộ nhớ hệ thống, di chuyển ngang qua các dịch vụ được kết nối, và cuối cùng thực hiện các mục tiêu của chúng. Điều này phản ánh cách các chiến dịch mã độc truyền thống diễn ra, cho thấy rằng kiến thức an ninh mạng thông thường có thể cung cấp thông tin cho các chiến lược bảo mật LLM.

Hiểu Về Promptware: Một Mô Hình Tấn Công Đa Giai Đoạn

Ben Nassi, Bruce Schneier và Oleg Brodt từ Đại học Tel Aviv, Trường Harvard Kennedy và Đại học Ben-Gurion, đã đề xuất một mô hình chuỗi tấn công (kill chain) toàn diện gồm năm bước để phân tích những mối đe dọa mạng này. Khung của họ chứng minh rằng các cuộc tấn công LLM đương đại ngày càng là các hoạt động nhiều bước với các điểm can thiệp riêng biệt, chứ không chỉ đơn thuần là các nỗ lực chèn ở cấp độ bề mặt. Sự phát triển này định hình lại cách chúng ta tiếp cận bảo mật LLM, đòi hỏi một tư duy phòng thủ toàn diện hơn.

Giai Đoạn 1: Initial Access (Truy Cập Ban Đầu)

Chuỗi tấn công promptware bắt đầu bằng Initial Access, nơi những kẻ tấn công chèn các lệnh độc hại thông qua prompt injection. Việc này có thể được thực hiện trực tiếp từ người dùng hoặc gián tiếp thông qua các tài liệu bị nhiễm độc được hệ thống truy xuất. Đây là bước đầu tiên để thiết lập sự hiện diện bên trong ứng dụng LLM.

Giai Đoạn 2: Privilege Escalation (Leo Thang Đặc Quyền)

Giai đoạn thứ hai, Privilege Escalation, liên quan đến các kỹ thuật jailbreaking nhằm bỏ qua việc huấn luyện an toàn được thiết kế để từ chối các yêu cầu có hại. Các LLM hiện đại trải qua quá trình huấn luyện căn chỉnh (alignment training) để ngăn chặn các hoạt động nhất định. Tuy nhiên, những kẻ tấn công tinh vi đã phát triển các phương pháp làm xáo trộn (obfuscation), kỹ thuật nhập vai (role-playing), và thậm chí cả các hậu tố đối nghịch phổ quát (universal adversarial suffixes) hoạt động trên nhiều mô hình cùng lúc. Việc này cho phép promptware vượt qua các lớp bảo vệ ban đầu.

Giai Đoạn 3: Persistence (Duy Trì Quyền Truy Cập)

Một khi quyền truy cập ban đầu được thiết lập và các ràng buộc an toàn bị bỏ qua, những kẻ tấn công tập trung vào persistence. Đây là lúc promptware trở nên đặc biệt nguy hiểm. Trong khi mã độc truyền thống đạt được sự duy trì thông qua các sửa đổi registry hoặc các tác vụ theo lịch trình, promptware khai thác các kho dữ liệu mà các ứng dụng LLM phụ thuộc vào.

Persistent Phụ Thuộc Truy Xuất (Retrieval-Dependent Persistence)

Hình thức này nhúng các payload vào các kho lưu trữ dữ liệu như hệ thống email hoặc cơ sở tri thức. Payload sẽ được kích hoạt lại khi hệ thống truy xuất nội dung tương tự. Điều này khiến cho mã độc có thể tồn tại ẩn mình và tái kích hoạt khi có điều kiện phù hợp.

Persistent Độc Lập Truy Xuất (Retrieval-Independent Persistence)

Thậm chí còn mạnh mẽ hơn là retrieval-independent persistence, nhắm trực tiếp vào bộ nhớ của tác nhân (agent’s memory), đảm bảo các lệnh độc hại được thực thi trên mỗi tương tác, bất kể đầu vào của người dùng. Đây là một kỹ thuật nguy hiểm, cho phép promptware duy trì kiểm soát liên tục.

Sâu Morris II là một ví dụ điển hình về mối đe dọa mạng này. Cuộc tấn công tự nhân bản này lan truyền qua các trợ lý email được hỗ trợ bởi LLM bằng cách buộc hệ thống đưa các bản sao của payload độc hại vào các tin nhắn gửi đi. Những người nhận có trợ lý xử lý nội dung bị nhiễm độc đã bị xâm nhập, tạo ra tiềm năng lây nhiễm theo cấp số nhân. Bạn có thể tìm hiểu thêm về mô hình kill chain này tại: The LLM Attack Kill Chain.

Giai Đoạn 4: Command-and-Control (C&C)

Các kênh Command-and-Control (C&C) bổ sung thêm một lớp tinh vi, cho phép những kẻ tấn công cập nhật payload một cách linh hoạt và sửa đổi hành vi của tác nhân theo thời gian thực. Điều này được thực hiện bằng cách nhúng các lệnh tìm nạp từ các nguồn do kẻ tấn công kiểm soát. Khả năng điều khiển từ xa này giúp promptware thích ứng và thực hiện các mục tiêu phức tạp hơn.

Giai Đoạn 5: Execution (Thực Thi Mục Tiêu)

Sự tiến hóa từ lỗ hổng lý thuyết đến khai thác thực tế đã tăng tốc nhanh chóng. Các cuộc tấn công ban đầu chỉ đơn thuần xuất ra thông tin không mong muốn. Promptware ngày nay có thể điều phối các hoạt động rò rỉ dữ liệu (data exfiltration), kích hoạt các chiến dịch lừa đảo (phishing) thông qua các hệ thống email bị xâm nhập, thao túng các thiết bị nhà thông minh và thực hiện các giao dịch tài chính trái phép. Những sự cố gần đây chứng minh toàn bộ chuỗi tấn công đang hoạt động, biến các lo ngại bảo mật riêng lẻ thành rủi ro tổ chức mang tính hệ thống đòi hỏi sự chú ý ngay lập tức và các khung phòng thủ được sửa đổi.

Tầm Quan Trọng Của Chiến Lược Phòng Thủ Mới Cho Bảo Mật LLM

Các ứng dụng LLM đã trở thành mục tiêu chính cho những kẻ tấn công, và việc bảo vệ chúng yêu cầu một cách tiếp cận mới mẻ. Việc coi promptware như một dạng mã độc truyền thống giúp các nhà nghiên cứu và chuyên gia bảo mật áp dụng các nguyên tắc phòng thủ đã được kiểm chứng. Điều này bao gồm việc liên tục giám sát, phát hiện bất thường, và phát triển các cơ chế phản ứng nhanh chóng để chống lại các cuộc tấn công đa giai đoạn này. Nâng cao bảo mật LLM không chỉ là vá lỗi mà còn là việc xây dựng một hệ thống phòng thủ kiên cố trước những kẻ tấn công ngày càng tinh vi.