Duy Linh
Writer
Các nhà nghiên cứu bảo mật vừa xác định một kỹ thuật bẻ khóa tinh vi mang tên Chuỗi ngữ nghĩa (Semantic Chaining), cho phép vượt qua các bộ lọc an toàn của những mô hình AI đa phương thức hàng đầu như Grok 4 và Gemini Nano Banana Pro.
Các nhà nghiên cứu phát hiện ra cuộc tấn công chuỗi ngữ nghĩa
Lỗ hổng này khai thác cách các mô hình xử lý suy luận nhiều bước, từ đó tạo ra nội dung bị cấm, bao gồm cả văn bản và văn bản được nhúng trong hình ảnh, mà không kích hoạt các cơ chế bảo vệ vốn có.
Kết quả khai thác (Nguồn: NeuralTrust)
Ở giai đoạn thứ ba, kẻ tấn công thực hiện bước xoay trục quan trọng bằng cách thay thế các yếu tố bắt đầu mang tính nhạy cảm. Cuối cùng, kết quả được trích xuất dưới dạng hình ảnh, cho phép hoàn toàn né tránh các bộ lọc an toàn dựa trên văn bản.
Hiệu quả của kỹ thuật này xuất phát từ kiến trúc an toàn phân mảnh trong các mô hình. Các lớp bảo vệ thường chỉ quét từng lời nhắc riêng lẻ để phát hiện vi phạm chính sách, nhưng thiếu khả năng hiểu mối liên hệ ngữ cảnh giữa nhiều bước liên tiếp. Bằng cách phân tán ý đồ độc hại thành các yêu cầu có vẻ vô hại, cuộc tấn công khai thác “điểm mù” trong cơ chế phòng vệ của AI.
Kết quả khai thác (Nguồn: NeuralTrust)
Nghiên cứu thực tế cho thấy ba hình thức vượt rào phổ biến gồm: thay thế lịch sử (đặt yêu cầu trong bối cảnh hồi tưởng), kế hoạch giáo dục (lợi dụng khung sư phạm) và tường thuật nghệ thuật (khai thác tính diễn giải sáng tạo). Khám phá của NeuralTrust chỉ ra rằng ngay cả các mô hình đã được huấn luyện căn chỉnh an toàn nâng cao vẫn dễ tổn thương trước các kỹ thuật nhắc nhở tinh vi.
Các mô hình AI có xu hướng tin tưởng quá mức vào tính hợp pháp của ngữ cảnh, khiến cơ chế an toàn nới lỏng khi yêu cầu được trình bày dưới dạng giáo dục, lịch sử hoặc nghệ thuật, dù mục đích cốt lõi không thay đổi.
Vì vậy, các tổ chức triển khai Grok 4 và Gemini Nano Banana Pro cần bổ sung thêm các lớp quản trị ngoài bộ lọc phía mô hình. Nghiên cứu bảo mật nhấn mạnh rằng việc quét phản hồi ở cấp độ bề mặt không đủ để đối phó với các cuộc tấn công che giấu ý định trong hệ thống AI đa phương thức. Khi AI ngày càng hoạt động độc lập hơn, giám sát ý định tiềm ẩn theo thời gian thực, thay vì chỉ lọc từ khóa, trở thành yêu cầu thiết yếu đối với an ninh doanh nghiệp.
Các nhà nghiên cứu phát hiện ra cuộc tấn công chuỗi ngữ nghĩa
Lỗ hổng này khai thác cách các mô hình xử lý suy luận nhiều bước, từ đó tạo ra nội dung bị cấm, bao gồm cả văn bản và văn bản được nhúng trong hình ảnh, mà không kích hoạt các cơ chế bảo vệ vốn có.
Cách thức tấn công hoạt động
Chuỗi ngữ nghĩa vận hành theo một quy trình gồm bốn giai đoạn rõ ràng. Trước hết, kẻ tấn công thiết lập một “cơ sở an toàn” bằng cách yêu cầu mô hình tưởng tượng ra một bối cảnh chung chung, không gây tranh cãi. Tiếp theo, họ đưa vào một thay đổi nhỏ nhằm giúp mô hình quen với các thao tác chỉnh sửa nội dung.
Kết quả khai thác (Nguồn: NeuralTrust)
Ở giai đoạn thứ ba, kẻ tấn công thực hiện bước xoay trục quan trọng bằng cách thay thế các yếu tố bắt đầu mang tính nhạy cảm. Cuối cùng, kết quả được trích xuất dưới dạng hình ảnh, cho phép hoàn toàn né tránh các bộ lọc an toàn dựa trên văn bản.
Hiệu quả của kỹ thuật này xuất phát từ kiến trúc an toàn phân mảnh trong các mô hình. Các lớp bảo vệ thường chỉ quét từng lời nhắc riêng lẻ để phát hiện vi phạm chính sách, nhưng thiếu khả năng hiểu mối liên hệ ngữ cảnh giữa nhiều bước liên tiếp. Bằng cách phân tán ý đồ độc hại thành các yêu cầu có vẻ vô hại, cuộc tấn công khai thác “điểm mù” trong cơ chế phòng vệ của AI.
Rủi ro bảo mật và thách thức với doanh nghiệp
Biến thể nguy hiểm nhất của Chuỗi ngữ nghĩa là khả năng chuyển đổi trực tiếp các lệnh bị cấm thành hình ảnh được tạo ra. Dù Grok 4 và Gemini từ chối các yêu cầu văn bản liên quan đến chủ đề hạn chế, kẻ tấn công vẫn có thể buộc mô hình vẽ lại chính xác nội dung đó trong hình ảnh, đến từng pixel. Các hệ thống an toàn chỉ quét “từ ngữ nhạy cảm” trong hội thoại không thể phát hiện nội dung bị cấm được viết bên trong hình ảnh.
Kết quả khai thác (Nguồn: NeuralTrust)
Nghiên cứu thực tế cho thấy ba hình thức vượt rào phổ biến gồm: thay thế lịch sử (đặt yêu cầu trong bối cảnh hồi tưởng), kế hoạch giáo dục (lợi dụng khung sư phạm) và tường thuật nghệ thuật (khai thác tính diễn giải sáng tạo). Khám phá của NeuralTrust chỉ ra rằng ngay cả các mô hình đã được huấn luyện căn chỉnh an toàn nâng cao vẫn dễ tổn thương trước các kỹ thuật nhắc nhở tinh vi.
Các mô hình AI có xu hướng tin tưởng quá mức vào tính hợp pháp của ngữ cảnh, khiến cơ chế an toàn nới lỏng khi yêu cầu được trình bày dưới dạng giáo dục, lịch sử hoặc nghệ thuật, dù mục đích cốt lõi không thay đổi.
Vì vậy, các tổ chức triển khai Grok 4 và Gemini Nano Banana Pro cần bổ sung thêm các lớp quản trị ngoài bộ lọc phía mô hình. Nghiên cứu bảo mật nhấn mạnh rằng việc quét phản hồi ở cấp độ bề mặt không đủ để đối phó với các cuộc tấn công che giấu ý định trong hệ thống AI đa phương thức. Khi AI ngày càng hoạt động độc lập hơn, giám sát ý định tiềm ẩn theo thời gian thực, thay vì chỉ lọc từ khóa, trở thành yêu cầu thiết yếu đối với an ninh doanh nghiệp.
Đọc chi tiết tại đây: gbhackers
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
