Khi thế giới ngày càng làm quen với các trợ lý AI, chúng ta đang khám phá nhiều khả năng thú vị mà chúng mang lại, cả tích cực lẫn tiêu cực. Một ví dụ điển hình cho khía cạnh tiêu cực là một cuộc tấn công mang tính lý thuyết có thể ép buộc ChatGPT thực hiện tấn công từ chối dịch vụ (DDoS) vào một trang web được chọn, mặc dù đây chưa phải là mối đe dọa “thực sự” ở thời điểm hiện tại.
ChatGPT có khả năng tạo vô số kết nối Hyperlink trong một yêu cầu duy nhất
Biểu tượng chatbot AI trên màn hình điện thoại thông minh, minh họa nguy cơ bảo mật từ ChatGPT.
Theo báo cáo của Silicon Angle, nhà nghiên cứu Benjamin Flesch đã phát hiện ra rằng ChatGPT không giới hạn số lượng liên kết mà nó truy cập khi tạo phản hồi. Không chỉ vậy, dịch vụ này cũng không kiểm tra xem các URL mà nó đang truy cập có phải là bản sao của các trang web đã được kiểm tra trước đó hay không. Kết quả là một cuộc tấn công lý thuyết, trong đó kẻ xấu có thể khiến ChatGPT kết nối đến cùng một trang web hàng ngàn lần chỉ với một truy vấn duy nhất.
Lỗ hổng này có thể bị khai thác để làm quá tải bất kỳ trang web nào mà người dùng độc hại muốn nhắm mục tiêu. Bằng cách chèn hàng ngàn siêu liên kết vào một yêu cầu duy nhất, kẻ tấn công có thể khiến máy chủ của OpenAI tạo ra một lượng lớn yêu cầu HTTP tới trang web của nạn nhân. Các kết nối đồng thời này có thể làm căng thẳng hoặc thậm chí vô hiệu hóa hạ tầng của trang web mục tiêu, thực hiện một cuộc tấn công DDoS hiệu quả.
Nhận định của chuyên gia và các rủi ro khác
Benjamin Flesch tin rằng lỗi này phát sinh do “thực hành lập trình kém” và nếu OpenAI bổ sung một số hạn chế về cách ChatGPT thu thập dữ liệu trên internet, nó sẽ không có khả năng thực hiện cuộc tấn công DDoS “ngẫu nhiên” vào các máy chủ.
Elad Schulman, người sáng lập và giám đốc điều hành của công ty bảo mật AI tạo sinh Lasso Security Inc., đồng tình với kết luận của Benjamin Flesch, đồng thời bổ sung một khả năng khai thác khác cho các cuộc tấn công này. Elad tin rằng nếu một hacker quản lý việc xâm nhập tài khoản OpenAI của ai đó, họ có thể “dễ dàng tiêu hết ngân sách hàng tháng của một chatbot dựa trên mô hình ngôn ngữ lớn chỉ trong một ngày”, gây thiệt hại tài chính nếu không có rào chắn bảo vệ chống lại các hành vi đó.
Hy vọng rằng, khi AI phát triển, các công ty sẽ bổ sung các hạn chế để ngăn chặn những kẻ xấu lạm dụng dịch vụ của họ. Đã có rất nhiều cách mà tin tặc sử dụng AI tạo sinh trong các cuộc tấn công của chúng, và đã có sự gia tăng đáng kể các cuộc gọi lừa đảo video AI khi công nghệ này được cải thiện về chất lượng.
Kết luận
Lỗ hổng tiềm tàng trong ChatGPT cho phép tạo ra các cuộc tấn công DDoS mang tính lý thuyết đã gióng lên hồi chuông cảnh báo về trách nhiệm bảo mật của các nhà phát triển AI. Mặc dù chưa phải là mối đe dọa thực sự, việc này nhấn mạnh tầm quan trọng của việc triển khai các biện pháp bảo vệ chặt chẽ để ngăn chặn việc lạm dụng công nghệ AI. Cộng đồng công nghệ cần tiếp tục theo dõi và thảo luận về các giải pháp bảo mật nhằm xây dựng một hệ sinh thái AI an toàn và đáng tin cậy hơn.
