Chatbot AI Dễ Bị Tấn Công Chèn Dữ Liệu Vào Bộ Nhớ

Các nhà nghiên cứu đã phát hiện ra một cách mới để thao túng AI chatbots, gây ra những lo ngại về sự an toàn của các mô hình AI có bộ nhớ.

Cuộc tấn công, được gọi là MINJA (Memory INJection Attack – tấn công tiêm chích vào bộ nhớ), có thể được tiến hành chỉ bằng cách tương tác với một hệ thống AI như một người dùng thông thường, mà không cần truy cập vào phía sau của nó, như đã được The Register đưa tin lần đầu tiên.

Được phát triển bởi các nhà nghiên cứu từ Đại học Michigan State, Đại học Georgia và Đại học Quản lý Singapore, MINJA hoạt động bằng cách độc hại bộ nhớ AI thông qua các lời nhắc gây hiểu lầm. Một khi chatbot lưu trữ những đầu vào lừa dối này, chúng có thể thay đổi các phản hồi tương lai cho người dùng khác.

“Ngày nay, các đại lý AI thường tích hợp một ngân hàng bộ nhớ lưu trữ các truy vấn và thực thi công việc dựa trên phản hồi của con người cho tương lai,” giáo sư trợ lý Zhen Xiang tại Đại học Georgia giải thích, như được The Register đưa tin.

“Ví dụ, sau mỗi phiên chát với ChatGPT, người dùng có thể tùy chọn đánh giá tích cực hoặc tiêu cực. Và điểm đánh giá này có thể giúp ChatGPT quyết định liệu thông tin phiên chát có nên được ghi nhớ vào bộ nhớ hoặc cơ sở dữ liệu của họ hay không”, anh ta thêm vào.

Các nhà nghiên cứu đã thử nghiệm cuộc tấn công trên các mô hình AI được cung cấp bởi GPT-4 và GPT-4o của OpenAI, bao gồm một trợ lý mua sắm trực tuyến, một chatbot chăm sóc sức khỏe và một đại diện trả lời câu hỏi.

The Register đưa tin rằng họ đã phát hiện MINJA có thể gây ra những gián đoạn nghiêm trọng. Trong một chatbot y tế, ví dụ, nó đã thay đổi hồ sơ bệnh nhân, liên kết dữ liệu của một bệnh nhân với bệnh nhân khác. Trong một cửa hàng trực tuyến, nó đã lừa AI để cho khách hàng xem những sản phẩm sai lệch.

“Ngược lại, công việc của chúng tôi cho thấy rằng cuộc tấn công có thể được thực hiện chỉ bằng cách tương tác với đại lý như một người dùng thông thường,” Xiang nói, The Register đưa tin. “Bất kỳ người dùng nào cũng có thể dễ dàng ảnh hưởng đến việc thực hiện nhiệm vụ cho bất kỳ người dùng khác. Do đó, chúng tôi nói rằng cuộc tấn công của chúng tôi là một mối đe dọa thực tiễn đối với các đại lý LLM,” ông thêm vào.

Cuộc tấn công này đặc biệt đáng lo ngại vì nó vượt qua các biện pháp an toàn AI hiện tại. Các nhà nghiên cứu đã báo cáo tỷ lệ thành công 95% trong việc tiêm thông tin gây hiểu lầm, tạo nên một lỗ hổng nghiêm trọng mà các nhà phát triển AI cần giải quyết.

Khi các mô hình AI với bộ nhớ trở nên phổ biến hơn, nghiên cứu làm nổi bật nhu cầu về các biện pháp bảo vệ mạnh mẽ hơn để ngăn chặn các diễn viên độc hại từ việc thao túng chatbot và gây hiểu lầm cho người dùng.