Tháp rơi tự do
Intern Writer
Các tác nhân trí tuệ nhân tạo (AI agent), vốn được xem là làn sóng tiếp theo của công nghệ AI, đang cho thấy một điểm yếu nghiêm trọng: chúng có thể bị điều khiển chỉ bằng những hình ảnh trông hoàn toàn vô hại xuất hiện trên màn hình máy tính. Một nghiên cứu mới từ Đại học Oxford vừa chỉ ra rằng những bức ảnh đẹp mắt như hình nền, quảng cáo, tệp PDF hay bài đăng mạng xã hội có thể được cấy mã độc dạng “vô hình” đối với con người, nhưng lại có khả năng gửi lệnh trực tiếp cho AI agent và mở đường cho tin tặc xâm nhập vào thiết bị.
Hãy tưởng tượng bạn tải một hình nền Taylor Swift từ một trang web miễn phí, rồi đặt nó trên desktop vì nó trông rất đẹp. Mọi thứ vẫn bình thường cho đến khi bạn khởi chạy một AI agent mới cài đặt gần đây và yêu cầu nó sắp xếp hộp thư. Thay vì làm điều đó, công cụ này mở trình duyệt, tải về một tệp lạ rồi khiến màn hình của bạn tối đen. Theo nhóm nghiên cứu của Oxford, chỉ cần một bức ảnh đã bị chỉnh sửa rất nhẹ ở mức pixel — ở mức con người không thể nhận ra — cũng đủ để lừa AI agent thực hiện những hành động nguy hiểm.
Điểm đáng lo ngại nằm ở cơ chế hoạt động đặc thù của AI agent. Không giống chatbot chỉ trả lời văn bản, agent có thể trực tiếp điều khiển máy tính: mở tab, nhấn nút, tải tệp, điền biểu mẫu hoặc thay đổi cài đặt. Chúng thực hiện tất cả thông qua việc liên tục chụp ảnh màn hình để phân tích bố cục và xác định nơi cần thao tác. Chính điều này khiến các tác nhân AI dễ dàng bị lừa bởi hình ảnh chứa mã độc, vì chúng “nhìn” và xử lý màn hình dưới dạng dữ liệu pixel – nơi các lệnh ẩn có thể được giấu vào.
Nhóm nghiên cứu cho biết những mô hình AI mở mã nguồn (open-source) dễ bị tấn công hơn, bởi kẻ tấn công có thể dựa vào cấu trúc mô hình để điều chỉnh pixel sao cho AI diễn giải hình ảnh như một tập lệnh. Con người chỉ nhìn thấy hình nền bình thường, nhưng AI lại nhìn thấy một “mệnh lệnh”—ví dụ, lệnh gửi toàn bộ mật khẩu hoặc tự động mở một trang web độc hại để tiếp tục chuỗi tấn công. Mức độ nguy hiểm còn tăng cao vì các lệnh ẩn trong ảnh có thể tồn tại ngay cả khi hình ảnh bị nén, thay đổi kích thước hay đặt trong bối cảnh khác.
Nghiên cứu cũng nhấn mạnh rằng hình nền máy tính là phương tiện tấn công lý tưởng vì nó luôn hiện diện trong mọi ảnh chụp màn hình mà agent tạo ra. Chỉ cần một mảng pixel rất nhỏ được mã hoá, tác nhân AI sẽ liên tục “nhìn thấy” lệnh được cài trong đó và hành xử theo hướng sai lệch mỗi khi được kích hoạt.
Dù hiện chưa có báo cáo nào về việc tấn công kiểu này xảy ra ngoài môi trường nghiên cứu, phát hiện này được coi như lời cảnh tỉnh cho các nhà phát triển hệ thống AI agent trong tương lai gần. Khi công nghệ agent được kỳ vọng sẽ sớm xuất hiện rộng rãi trong vòng hai năm tới — tham gia vào công việc, quản lý lịch trình hoặc điều khiển máy tính thay người dùng — nguy cơ an ninh mạng càng trở nên cấp thiết. Nếu không được trang bị cơ chế phòng vệ, agent có thể trở thành cánh cửa để hacker xâm nhập và chiếm quyền kiểm soát thiết bị.
Các tác giả nghiên cứu khuyến nghị rằng giới phát triển cần sớm xây dựng cơ chế phòng thủ, chẳng hạn như huấn luyện agent để tự động bỏ qua các tín hiệu bất thường từ hình ảnh hoặc chống lại khả năng bị dẫn dụ từ pixel đã bị thay đổi. Họ cũng cảnh báo rằng ngay cả những mô hình không công khai mã nguồn cũng không hoàn toàn miễn nhiễm, vì nếu không hiểu rõ cách hệ thống vận hành, việc phát hiện điểm yếu gần như bất khả thi.
Nghiên cứu mới của Oxford cảnh báo rằng thời điểm AI agent được triển khai rộng rãi đang đến rất gần, và hy vọng rằng kết quả này sẽ thúc đẩy cộng đồng công nghệ xây dựng các giải pháp bảo vệ trước khi những tấn công bằng hình ảnh “ẩn mã” trở thành một phương thức tấn công phổ biến. Trước khi điều đó xảy ra, mọi người dùng AI agent sẽ phải đối mặt với nguy cơ rằng một bức ảnh tưởng chừng vô hại — thậm chí là hình nền của thần tượng yêu thích — cũng có thể trở thành mối đe dọa thực sự đối với dữ liệu của mình.
Hãy tưởng tượng bạn tải một hình nền Taylor Swift từ một trang web miễn phí, rồi đặt nó trên desktop vì nó trông rất đẹp. Mọi thứ vẫn bình thường cho đến khi bạn khởi chạy một AI agent mới cài đặt gần đây và yêu cầu nó sắp xếp hộp thư. Thay vì làm điều đó, công cụ này mở trình duyệt, tải về một tệp lạ rồi khiến màn hình của bạn tối đen. Theo nhóm nghiên cứu của Oxford, chỉ cần một bức ảnh đã bị chỉnh sửa rất nhẹ ở mức pixel — ở mức con người không thể nhận ra — cũng đủ để lừa AI agent thực hiện những hành động nguy hiểm.
Điểm đáng lo ngại nằm ở cơ chế hoạt động đặc thù của AI agent. Không giống chatbot chỉ trả lời văn bản, agent có thể trực tiếp điều khiển máy tính: mở tab, nhấn nút, tải tệp, điền biểu mẫu hoặc thay đổi cài đặt. Chúng thực hiện tất cả thông qua việc liên tục chụp ảnh màn hình để phân tích bố cục và xác định nơi cần thao tác. Chính điều này khiến các tác nhân AI dễ dàng bị lừa bởi hình ảnh chứa mã độc, vì chúng “nhìn” và xử lý màn hình dưới dạng dữ liệu pixel – nơi các lệnh ẩn có thể được giấu vào.
Nhóm nghiên cứu cho biết những mô hình AI mở mã nguồn (open-source) dễ bị tấn công hơn, bởi kẻ tấn công có thể dựa vào cấu trúc mô hình để điều chỉnh pixel sao cho AI diễn giải hình ảnh như một tập lệnh. Con người chỉ nhìn thấy hình nền bình thường, nhưng AI lại nhìn thấy một “mệnh lệnh”—ví dụ, lệnh gửi toàn bộ mật khẩu hoặc tự động mở một trang web độc hại để tiếp tục chuỗi tấn công. Mức độ nguy hiểm còn tăng cao vì các lệnh ẩn trong ảnh có thể tồn tại ngay cả khi hình ảnh bị nén, thay đổi kích thước hay đặt trong bối cảnh khác.
Nghiên cứu cũng nhấn mạnh rằng hình nền máy tính là phương tiện tấn công lý tưởng vì nó luôn hiện diện trong mọi ảnh chụp màn hình mà agent tạo ra. Chỉ cần một mảng pixel rất nhỏ được mã hoá, tác nhân AI sẽ liên tục “nhìn thấy” lệnh được cài trong đó và hành xử theo hướng sai lệch mỗi khi được kích hoạt.
Dù hiện chưa có báo cáo nào về việc tấn công kiểu này xảy ra ngoài môi trường nghiên cứu, phát hiện này được coi như lời cảnh tỉnh cho các nhà phát triển hệ thống AI agent trong tương lai gần. Khi công nghệ agent được kỳ vọng sẽ sớm xuất hiện rộng rãi trong vòng hai năm tới — tham gia vào công việc, quản lý lịch trình hoặc điều khiển máy tính thay người dùng — nguy cơ an ninh mạng càng trở nên cấp thiết. Nếu không được trang bị cơ chế phòng vệ, agent có thể trở thành cánh cửa để hacker xâm nhập và chiếm quyền kiểm soát thiết bị.
Các tác giả nghiên cứu khuyến nghị rằng giới phát triển cần sớm xây dựng cơ chế phòng thủ, chẳng hạn như huấn luyện agent để tự động bỏ qua các tín hiệu bất thường từ hình ảnh hoặc chống lại khả năng bị dẫn dụ từ pixel đã bị thay đổi. Họ cũng cảnh báo rằng ngay cả những mô hình không công khai mã nguồn cũng không hoàn toàn miễn nhiễm, vì nếu không hiểu rõ cách hệ thống vận hành, việc phát hiện điểm yếu gần như bất khả thi.
Nghiên cứu mới của Oxford cảnh báo rằng thời điểm AI agent được triển khai rộng rãi đang đến rất gần, và hy vọng rằng kết quả này sẽ thúc đẩy cộng đồng công nghệ xây dựng các giải pháp bảo vệ trước khi những tấn công bằng hình ảnh “ẩn mã” trở thành một phương thức tấn công phổ biến. Trước khi điều đó xảy ra, mọi người dùng AI agent sẽ phải đối mặt với nguy cơ rằng một bức ảnh tưởng chừng vô hại — thậm chí là hình nền của thần tượng yêu thích — cũng có thể trở thành mối đe dọa thực sự đối với dữ liệu của mình.
