Các nhà nghiên cứu an ninh mạng đã phát hiện các lỗ hổng AI Chatbot Lenovo nghiêm trọng trong chatbot hỗ trợ khách hàng sử dụng trí tuệ nhân tạo (AI) của Lenovo. Những lỗ hổng này có thể cho phép kẻ tấn công thực thi các script độc hại trên hệ thống doanh nghiệp và đánh cắp dữ liệu phiên nhạy cảm. Phát hiện này nhấn mạnh những thiếu sót đáng kể về bảo mật trong việc triển khai AI cấp doanh nghiệp, đồng thời đặt ra lo ngại về việc triển khai nhanh chóng các hệ thống AI mà không có đủ kiểm soát bảo mật.

Phân tích kỹ thuật lỗ hổng AI Chatbot

Các nhà nghiên cứu tại Cybernews đã xác định nhiều lỗ hổng bảo mật ảnh hưởng đến việc triển khai “Lena” của Lenovo, một chatbot AI được cung cấp bởi công nghệ GPT-4 của OpenAI. Các lỗ hổng này tạo điều kiện cho các cuộc tấn công XSS (Cross-Site Scripting). Tấn công XSS cho phép kẻ tấn công chèn mã độc hại (thường là JavaScript) vào các trang web được người dùng khác xem. Từ đó, nó có thể chiếm đoạt phiên, đánh cắp dữ liệu hoặc thay đổi nội dung trang web mà không có sự cho phép.

Trong trường hợp cụ thể này, XSS có khả năng làm tổn hại đến các nền tảng hỗ trợ khách hàng và cung cấp quyền truy cập trái phép vào các hệ thống của công ty. Lỗ hổng này đặc biệt đáng lo ngại vì nó khai thác khả năng tương tác của chatbot, biến một công cụ hỗ trợ thành một vectơ tấn công tiềm năng.

Cơ chế khai thác và chuỗi tấn công

Chuỗi tấn công bắt đầu bằng một yêu cầu (prompt) gồm 400 ký tự được tạo sẵn, tưởng chừng vô hại nhưng chứa đựng mã độc. Prompt này lợi dụng tính chất “chiều lòng người dùng” (people-pleasing nature) của chatbot. Điều này có nghĩa là chatbot được thiết kế để cố gắng hiểu và đáp ứng các yêu cầu của người dùng, ngay cả khi các yêu cầu đó có cấu trúc bất thường hoặc chứa các ký tự đặc biệt. Từ đó, chatbot vô tình tạo ra các phản hồi HTML độc hại.

Khi được thực thi, cuộc tấn công có thể đánh cắp cookie phiên hoạt động từ cả khách hàng và các nhân viên hỗ trợ. Cookie phiên chứa thông tin xác thực, cho phép kẻ tấn công giả mạo người dùng hợp pháp. Việc này có thể cấp cho kẻ tấn công quyền truy cập trái phép vào cơ sở hạ tầng hỗ trợ khách hàng của Lenovo, bao gồm các công cụ nội bộ và dữ liệu khách hàng.

Việc khai thác này tận dụng nhiều điểm yếu bảo mật chính, bao gồm:

• Làm sạch đầu vào không đúng cách (Improper Input Sanitization): Hệ thống không lọc bỏ hoặc vô hiệu hóa đầy đủ các ký tự đặc biệt hoặc mã độc tiềm ẩn trong đầu vào của người dùng.
• Xác thực đầu ra không đầy đủ (Inadequate Output Validation): Hệ thống không kiểm tra xem nội dung được tạo bởi chatbot có an toàn trước khi hiển thị cho người dùng hay không.
• Xác minh nội dung không đủ: Các máy chủ web không đủ mạnh mẽ trong việc kiểm tra tính hợp lệ và an toàn của nội dung được tạo ra bởi chatbot trước khi lưu trữ hoặc phân phối.

Các nhà nghiên cứu đã chứng minh cách một yêu cầu được tạo sẵn có thể lừa chatbot tạo mã HTML chứa JavaScript độc hại. Mã này sẽ thực thi khi các nhân viên hỗ trợ xem cuộc hội thoại. Điều này biến chính giao diện hỗ trợ khách hàng thành một bãi mìn chứa mã độc.

Cuộc tấn công diễn ra qua nhiều giai đoạn rõ ràng:

• Chatbot chấp nhận các hướng dẫn độc hại được ngụy trang dưới dạng các yêu cầu sản phẩm hợp pháp.
• Tạo ra các phản hồi HTML chứa mã khai thác (payload).
• Lưu trữ nội dung độc hại này trong lịch sử cuộc trò chuyện.
• Kích hoạt thực thi payload khi các nhân viên hỗ trợ truy cập lại lịch sử chat đó.

Quá trình này cho thấy mức độ phức tạp của việc khai thác, nơi mà một yếu tố dường như vô hại lại trở thành một phần thiết yếu của chuỗi tấn công.

Ảnh hưởng và rủi ro từ lỗ hổng

Quá trình khai thác lỗ hổng AI Chatbot Lenovo này có thể dẫn đến nhiều hậu quả nghiêm trọng. Đầu tiên là chiếm đoạt phiên (session hijacking), cho phép kẻ tấn công sử dụng các phiên đã xác thực của người dùng hoặc nhân viên hỗ trợ để truy cập hệ thống. Khi một phiên bị chiếm đoạt, kẻ tấn công có thể thực hiện các hành động trong hệ thống với quyền hạn của người dùng hợp pháp, bao gồm truy cập thông tin, thay đổi cài đặt hoặc thực hiện các giao dịch trái phép.

Thứ hai là rò rỉ dữ liệu và đánh cắp thông tin nhạy cảm. Cuộc tấn công có thể dẫn đến việc đánh cắp cookie, thông tin cá nhân của khách hàng, dữ liệu lịch sử hỗ trợ, hoặc các dữ liệu nội bộ liên quan đến hệ thống hỗ trợ khách hàng. Ngoài ra, lỗ hổng còn tiềm ẩn nguy cơ di chuyển ngang (lateral movement) trong mạng nội bộ của công ty. Điều này có nghĩa là sau khi giành được quyền truy cập ban đầu, kẻ tấn công có thể mở rộng sự hiện diện của mình sang các hệ thống và tài nguyên khác trong mạng lưới doanh nghiệp.

Ngoài việc đánh cắp cookie, lỗ hổng này có thể cho phép các cuộc tấn công tinh vi hơn. Các khả năng bao gồm:

• Keylogging: Ghi lại các phím bấm của người dùng hoặc nhân viên hỗ trợ, từ đó thu thập thông tin đăng nhập hoặc dữ liệu nhạy cảm khác.
• Thao túng giao diện: Thay đổi giao diện người dùng hiển thị cho khách hàng hoặc nhân viên, có thể gây nhầm lẫn hoặc lừa đảo.
• Chuyển hướng lừa đảo (Phishing Redirects): Chuyển hướng người dùng đến các trang web lừa đảo được kiểm soát bởi kẻ tấn công.
• Trích xuất dữ liệu (Data Exfiltration): Rút trích một lượng lớn dữ liệu nhạy cảm ra khỏi hệ thống, gây ra các vụ vi phạm dữ liệu lớn.

Khuyến nghị và biện pháp phòng ngừa để tăng cường An toàn thông tin AI

Lenovo đã xác nhận lỗ hổng và triển khai các biện pháp bảo vệ cần thiết sau khi nhận được thông báo tiết lộ có trách nhiệm từ các nhà nghiên cứu. Điều này cho thấy tầm quan trọng của việc công bố lỗ hổng một cách có trách nhiệm (responsible disclosure) để đảm bảo các nhà cung cấp có thể vá lỗi kịp thời và giảm thiểu rủi ro cho người dùng.

Các chuyên gia bảo mật cảnh báo rằng lỗ hổng này minh họa rõ ràng cách các hệ thống AI không có hàng rào bảo vệ thích hợp có thể dễ dàng trở thành vectơ tấn công. Các mô hình ngôn ngữ lớn (LLM) vốn thiếu bản năng bảo mật tự nhiên và sẽ thực thi các hướng dẫn như được cung cấp, kể cả khi chúng độc hại. Do đó, cần có các quy trình kiểm soát chặt chẽ đối với mọi đầu ra của chatbot và các hệ thống AI tương tự.

Để tăng cường an toàn thông tin AI và bảo vệ khỏi các cuộc tấn công tương tự, các chuyên gia khuyến nghị xử lý tất cả đầu ra của chatbot như có khả năng độc hại. Việc triển khai các giao thức làm sạch đầu vào/đầu ra nghiêm ngặt là rất cần thiết. Sự cố này nhấn mạnh sự cần thiết của các khuôn khổ bảo mật AI toàn diện, bao gồm:

• Xác thực nội dung chặt chẽ: Đảm bảo rằng nội dung được tạo bởi AI là an toàn, không chứa mã độc hoặc các chuỗi ký tự bất thường có thể bị khai thác.
• Triển khai Chính sách bảo mật nội dung (CSP) mạnh mẽ: CSP là một lớp bảo mật bổ sung giúp ngăn chặn các cuộc tấn công XSS và các cuộc tấn công chèn dữ liệu khác bằng cách kiểm soát các nguồn mà trình duyệt có thể tải tài nguyên.
• Kiểm soát quyền truy cập tối thiểu (Minimal Privilege Access Controls): Áp dụng cho các hệ thống được hỗ trợ bởi AI, hạn chế quyền truy cập chỉ ở mức cần thiết để thực hiện chức năng, giảm thiểu phạm vi tác động nếu bị xâm nhập.
• Đánh giá bảo mật liên tục: Thực hiện các cuộc kiểm tra và đánh giá bảo mật định kỳ, đặc biệt là đối với các hệ thống AI mới được triển khai, để phát hiện sớm các lỗ hổng tiềm ẩn.

Khi các tổ chức nhanh chóng triển khai các công nghệ AI, khám phá này đóng vai trò là một lời nhắc nhở quan trọng. Các biện pháp bảo mật phải phát triển song song với đổi mới để ngăn chặn các vi phạm tiềm ẩn có thể gây ra thiệt hại lớn. Việc đầu tư vào kiểm tra bảo mật nghiêm ngặt và đánh giá liên tục các hệ thống AI là không thể thiếu trong môi trường đe dọa mạng ngày càng phức tạp.

Để tìm hiểu thêm về Cross-Site Scripting (XSS), bạn có thể tham khảo nguồn thông tin đáng tin cậy từ OWASP (Open Web Application Security Project).