Những năm gần đây, các doanh nghiệp ngày càng sử dụng trí tuệ nhân tạo (AI) để tự động hóa dịch vụ khách hàng. Chatbot giờ không chỉ trả lời câu hỏi, mà còn có thể tư vấn, phân tích cảm xúc hay tra cứu dữ liệu chỉ trong vài giây. Tuy nhiên, phía sau sự tiện lợi ấy là một nguy cơ an ninh mạng mới và chính chatbot hoàn toàn có thể trở thành mục tiêu tấn công.
Nghiên cứu của một bảo mật đã mô phỏng một vụ tấn công vào chatbot FinBot, thuộc công ty tài chính giả định FinOptiCorp.
Ban đầu, kẻ tấn công chỉ trò chuyện bình thường với bot. Nhưng qua nhiều lần thử, chúng phát hiện chatbot có phản ứng lạ khi gặp lỗi, vô tình tiết lộ rằng hệ thống chạy bằng Python và lấy dữ liệu từ bên ngoài để “hiểu” cảm xúc người dùng.
Dựa vào đó, tin tặc tạo ra một bài đánh giá “tích cực” trên một diễn đàn mà chatbot thường xuyên truy cập. Trong bài viết này có ẩn mệnh lệnh đặc biệt, khiến FinBot tiết lộ toàn bộ phần hướng dẫn nội bộ (system prompt).
Sau khi biết được “bí mật vận hành”, tin tặc tiếp tục ra lệnh cho chatbot truy cập dữ liệu thật của khách hàng. Hệ thống vô tình trả về thông tin cá nhân, số tài khoản và số dư, tất cả đều được gửi ra ngoài qua chính khung trò chuyện của bot.
Không dừng lại ở đó, kẻ tấn công tiếp tục kiểm tra API nội bộ của FinOptiCorp và phát hiện chatbot có thể thực thi lệnh hệ thống. Một đoạn lệnh thử đã xác nhận điều này, mở đường cho việc xâm nhập sâu hơn vào hạ tầng máy chủ.
Từ đó, tin tặc có thể di chuyển sang các phần khác của hệ thống, tìm thấy file cấu hình chứa mật khẩu, khóa API và cả mô hình AI riêng của công ty... Trong thực tế, nếu xảy ra thật, doanh nghiệp có thể mất dữ liệu, bị đánh cắp mô hình huấn luyện và chịu thiệt hại nặng nề về uy tín.
Vụ việc mô phỏng này cho thấy chatbot AI có thể trở thành cửa ngõ cho tin tặc xâm nhập vào toàn bộ hệ thống. Nhiều doanh nghiệp hiện nay chỉ tập trung làm chatbot hoạt động tốt, mà bỏ qua việc kiểm tra an ninh trong quá trình phát triển.
Các chuyên gia an ninh mạng khuyến cáo các doanh nghiệp nên:
Nghiên cứu của một bảo mật đã mô phỏng một vụ tấn công vào chatbot FinBot, thuộc công ty tài chính giả định FinOptiCorp.
Ban đầu, kẻ tấn công chỉ trò chuyện bình thường với bot. Nhưng qua nhiều lần thử, chúng phát hiện chatbot có phản ứng lạ khi gặp lỗi, vô tình tiết lộ rằng hệ thống chạy bằng Python và lấy dữ liệu từ bên ngoài để “hiểu” cảm xúc người dùng.
Dựa vào đó, tin tặc tạo ra một bài đánh giá “tích cực” trên một diễn đàn mà chatbot thường xuyên truy cập. Trong bài viết này có ẩn mệnh lệnh đặc biệt, khiến FinBot tiết lộ toàn bộ phần hướng dẫn nội bộ (system prompt).
Sau khi biết được “bí mật vận hành”, tin tặc tiếp tục ra lệnh cho chatbot truy cập dữ liệu thật của khách hàng. Hệ thống vô tình trả về thông tin cá nhân, số tài khoản và số dư, tất cả đều được gửi ra ngoài qua chính khung trò chuyện của bot.
Từ đó, tin tặc có thể di chuyển sang các phần khác của hệ thống, tìm thấy file cấu hình chứa mật khẩu, khóa API và cả mô hình AI riêng của công ty... Trong thực tế, nếu xảy ra thật, doanh nghiệp có thể mất dữ liệu, bị đánh cắp mô hình huấn luyện và chịu thiệt hại nặng nề về uy tín.
Vụ việc mô phỏng này cho thấy chatbot AI có thể trở thành cửa ngõ cho tin tặc xâm nhập vào toàn bộ hệ thống. Nhiều doanh nghiệp hiện nay chỉ tập trung làm chatbot hoạt động tốt, mà bỏ qua việc kiểm tra an ninh trong quá trình phát triển.
Các chuyên gia an ninh mạng khuyến cáo các doanh nghiệp nên:
- Kiểm tra bảo mật sớm khi phát triển chatbot (AI Scanner, “shift-left testing”).
- Giám sát liên tục để phát hiện quyền truy cập bất thường hoặc cấu hình sai.
- Chặn và lọc nội dung đầu vào - đầu ra, ngăn chatbot bị tiêm lệnh ẩn.
- Bảo vệ máy chủ và hạ tầng container tránh tấn công lan rộng.
- Áp dụng nguyên tắc Zero Trust, không mặc định tin tưởng bất kỳ thành phần nào trong hệ thống.
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
