Lỗ hổng AI chết người này giấu trong dòng “Bản quyền ©”?

[Code Nguyen]

Bạn có từng nghĩ, những dòng “cảnh báo bản quyền” vô thưởng vô phạt lại có thể là cửa ngõ cho hacker xâm nhập hệ thống qua AI?

Khi dòng chữ “Bản quyền ©” trở thành mồi nhử cho tội phạm mạng​

Một kiểu tấn công mới mang tên LegalPwn vừa được nhóm nghiên cứu tại công ty bảo mật AI Pangea phát hiện. Nó không tấn công bằng mã độc thông thường, mà bằng cách ngụy trang như một đoạn văn bản pháp lý. Đúng vậy, chỉ bằng vài dòng giả dạng điều khoản sử dụng hoặc cảnh báo bản quyền, nó có thể đánh lừa những mô hình AI ngôn ngữ tiên tiến nhất như Gemini, Copilot hay thậm chí là ChatGPT 4o.

Cốt lõi của trò đánh lừa này nằm ở việc lợi dụng bản chất "nghiêm túc" của AI. Hầu hết mô hình ngôn ngữ lớn (LLM) đều được huấn luyện để tuân thủ luật pháp và các cảnh báo liên quan đến bản quyền, điều khoản bảo mật, chính sách sử dụng. Thay vì nghi ngờ, chúng tin tưởng gần như tuyệt đối vào những thứ “có vẻ chính thống”.

Kẻ tấn công chỉ cần đặt một đoạn hướng dẫn độc hại bên trong phần ghi chú pháp lý ở đầu đoạn mã. Khi được yêu cầu phân tích đoạn mã, mô hình AI sẽ đọc phần mở đầu này và làm theo chỉ thị ẩn bên trong - có thể là phớt lờ phân tích mã thật, hoặc tệ hơn: gợi ý người dùng chạy một dòng lệnh mở cổng cho hacker truy cập từ xa.

Từ Copilot đến Gemini, AI bị dắt mũi chỉ bằng vài dòng… đạo mạo​

Thử nghiệm của Pangea cho thấy các công cụ phổ biến như GitHub Copilot và gemini-cli đã "ngây thơ" thực hiện đúng chỉ dẫn ẩn trong LegalPwn, hoàn toàn bỏ qua các chức năng kiểm tra bảo mật.

Một đoạn mã nguy hiểm (reverse shell) được gắn kèm “chú thích hợp pháp” bảo AI nên đọc file README đi kèm và tuyên bố dự án này chỉ là… một máy tính bỏ túi. Kết quả: AI làm đúng y chang. Nó không phát hiện mối nguy, thậm chí còn khuyên người dùng chạy lệnh có thể mở cửa hệ thống cho hacker.

Ví dụ về lệnh chèn lệnh LegalPwn (nguồn: Pangea)

Ví dụ về lệnh chèn lệnh LegalPwn dẫn đến cuộc tấn công shell ngược vào gemini-cli (nguồn: Pangea)
​

Ngay cả khi các nhà nghiên cứu đưa thêm "system prompt", một kiểu chỉ dẫn nền yêu cầu AI ưu tiên bảo mật – thì nhiều mô hình vẫn bị đánh lạc hướng. Trớ trêu thay, khi yêu cầu AI tập trung làm công việc phân tích mã, nó lại tập trung tới mức bỏ qua bẫy nằm trong phần "pháp lý".

Ví dụ về LegalPwn lừa GitHub Copilot làm theo hướng dẫn ẩn (nguồn: Pangea)
​

Chỉ một số ít mô hình như Claude của Anthropic, Phi của Microsoft và Llama Guard của Meta là không bị đánh lừa trong tất cả các thử nghiệm.

Phòng thủ không chỉ là chặn từ khóa​

Pangea khuyến nghị các bước phòng ngừa cụ thể để chống lại kiểu tấn công "văn bản ẩn ý" này:

• Phân tích ngữ nghĩa đầu vào, không chỉ lọc từ khóa đơn thuần.
• Huấn luyện mô hình bằng các tình huống tấn công giả lập, giống như LegalPwn.
• Áp dụng "người kiểm duyệt" con người trong những tình huống rủi ro cao.
• Sử dụng hệ thống prompt nền có độ ưu tiên bảo mật cao.
• Triển khai các lớp "rào chắn" AI bảo vệ riêng, như Pangea AI Guard – công cụ duy nhất trong thử nghiệm có thể phát hiện và ngăn chặn mọi biến thể của LegalPwn.

LegalPwn là lời cảnh tỉnh rằng: các mô hình AI không chỉ dễ bị tấn công bởi lệnh trực tiếp, mà còn dễ bị thao túng bởi “ngôn ngữ của luật pháp”. Khi những dòng tưởng như nghiêm túc lại trở thành "cửa hậu", thì cuộc chiến bảo mật với AI cũng cần trở nên… hiểu ngôn ngữ hơn, không chỉ hiểu mã.

Nếu một dòng "Bản quyền © 2025" có thể đánh lừa AI, bạn nghĩ điều gì sẽ xảy ra nếu tội phạm mạng bắt đầu viết... "thơ luật pháp"? (Substack)

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview