Khi thế giới ngày càng làm quen với các trợ lý AI, chúng ta bắt đầu khám phá nhiều khả năng thú vị mà chúng mang lại, cả tích cực lẫn tiêu cực. Một ví dụ điển hình nằm ở khía cạnh tiêu cực là một cuộc tấn công lý thuyết buộc ChatGPT thực hiện tấn công từ chối dịch vụ phân tán (DDoS) vào một trang web được chỉ định, mặc dù đây chưa phải là mối đe dọa “thực sự” ở thời điểm hiện tại.
ChatGPT Vô Hạn Kết Nối Hyperlink Trong Một Yêu Cầu
Theo báo cáo của Silicon Angle, nhà nghiên cứu Benjamin Flesch đã phát hiện ra rằng ChatGPT không giới hạn số lượng liên kết mà nó truy cập khi tạo phản hồi. Hơn nữa, dịch vụ này cũng không kiểm tra xem các URL mà nó đang truy cập có phải là bản sao của các trang web đã được kiểm tra trước đó hay không. Kết quả là một cuộc tấn công lý thuyết, nơi một kẻ xấu có thể buộc ChatGPT kết nối với cùng một trang web hàng ngàn lần trong một truy vấn duy nhất:
Lỗ hổng này có thể bị lợi dụng để làm quá tải bất kỳ trang web nào mà người dùng độc hại muốn nhắm mục tiêu. Bằng cách chèn hàng ngàn siêu liên kết vào một yêu cầu duy nhất, kẻ tấn công có thể khiến các máy chủ OpenAI tạo ra một lượng lớn yêu cầu HTTP đến trang web nạn nhân. Các kết nối đồng thời này có thể gây căng thẳng hoặc thậm chí vô hiệu hóa cơ sở hạ tầng của trang web mục tiêu, thực hiện một cuộc tấn công DDoS hiệu quả.
Benjamin Flesch tin rằng lỗ hổng này phát sinh do “thực hành lập trình kém” và nếu OpenAI bổ sung một số hạn chế về cách ChatGPT thu thập dữ liệu trên internet, nó sẽ không có khả năng thực hiện một cuộc tấn công DDoS “vô tình” vào các máy chủ.
Biểu tượng ứng dụng chatbot AI trên điện thoại, minh họa cho nguy cơ bảo mật tiềm ẩn của ChatGPT liên quan đến tấn công DDoS.
Nguy Cơ Tài Chính và Các Loại Tấn Công AI Khác
Elad Schulman, người sáng lập và CEO của Lasso Security Inc. – một công ty bảo mật AI tạo sinh, đã đồng ý với kết luận của Benjamin Flesch, đồng thời bổ sung thêm một kịch bản khai thác tiềm năng khác cho các cuộc tấn công này. Elad tin rằng nếu một hacker quản lý để xâm nhập tài khoản OpenAI của ai đó, họ có thể “dễ dàng tiêu hết ngân sách hàng tháng của một chatbot dựa trên mô hình ngôn ngữ lớn chỉ trong một ngày,” gây ra thiệt hại tài chính nếu không có biện pháp bảo vệ chống lại các hành vi đó.
Hy vọng rằng, khi AI phát triển, các công ty sẽ bổ sung các hạn chế để ngăn chặn kẻ xấu lạm dụng dịch vụ của họ. Ví dụ, đã có nhiều cách mà hacker sử dụng AI tạo sinh trong các cuộc tấn công của mình, và đã có sự gia tăng đáng kể trong các cuộc gọi lừa đảo video AI khi công nghệ này ngày càng được cải thiện về chất lượng.
Kết Luận
Lỗ hổng tiềm ẩn trong ChatGPT, cho phép thực hiện tấn công DDoS lý thuyết thông qua việc khai thác các kết nối hyperlink không giới hạn, là một lời nhắc nhở quan trọng về tầm quan trọng của bảo mật trong kỷ nguyên AI. Các phát hiện của Benjamin Flesch và Elad Schulman nhấn mạnh nhu cầu cấp thiết về các biện pháp bảo vệ chặt chẽ hơn từ các nhà phát triển AI như OpenAI để ngăn chặn việc lạm dụng. Chúng ta cần tiếp tục theo dõi và nâng cao nhận thức về các rủi ro bảo mật liên quan đến công nghệ AI để đảm bảo một tương lai số an toàn hơn. Hãy chia sẻ quan điểm của bạn về vấn đề bảo mật AI này trong phần bình luận!
