Khi thế giới ngày càng làm quen với các trợ lý AI, chúng ta dần nhận ra những điều thú vị mà chúng có thể làm, dù tốt hay xấu. Một ví dụ điển hình cho chiều hướng tiêu cực là một cuộc tấn công lý thuyết có thể buộc ChatGPT thực hiện tấn công từ chối dịch vụ (DDoS) vào một trang web được chọn, mặc dù đây chưa phải là mối đe dọa “thực sự” ở thời điểm hiện tại.
Khả năng ChatGPT thực hiện tấn công DDoS với lượng siêu liên kết không giới hạn
Theo báo cáo từ Silicon Angle, nhà nghiên cứu Benjamin Flesch đã phát hiện ra rằng ChatGPT không có giới hạn về số lượng liên kết mà nó truy cập khi tạo phản hồi. Không chỉ vậy, dịch vụ này còn không kiểm tra xem các URL mà nó đang truy cập có phải là bản sao của các trang web đã được kiểm tra trước đó hay không. Kết quả là một cuộc tấn công mang tính lý thuyết, trong đó một kẻ xấu có thể khiến ChatGPT kết nối với cùng một trang web hàng ngàn lần trong mỗi truy vấn.
Biểu tượng chatbot AI trên màn hình điện thoại thông minh
Lỗ hổng này có thể bị khai thác để làm quá tải bất kỳ trang web nào mà người dùng độc hại muốn nhắm mục tiêu. Bằng cách chèn hàng ngàn siêu liên kết vào một yêu cầu duy nhất, kẻ tấn công có thể khiến máy chủ OpenAI tạo ra một lượng lớn yêu cầu HTTP đến trang web của nạn nhân. Các kết nối đồng thời này có thể gây căng thẳng hoặc thậm chí làm tê liệt cơ sở hạ tầng của trang web mục tiêu, thực hiện một cuộc tấn công DDoS hiệu quả.
Benjamin Flesch tin rằng lỗ hổng này xuất hiện do “thực hành lập trình kém” và nếu OpenAI bổ sung một số hạn chế về cách ChatGPT thu thập dữ liệu trên internet, nó sẽ không có khả năng thực hiện một cuộc tấn công DDoS “ngẫu nhiên” vào các máy chủ. Elad Schulman, người sáng lập và giám đốc điều hành của công ty bảo mật AI tạo sinh Lasso Security Inc., đồng ý với kết luận của Benjamin Flesch, đồng thời bổ sung một khả năng khai thác khác cho các cuộc tấn công này. Elad tin rằng nếu một hacker quản lý để xâm nhập vào tài khoản OpenAI của ai đó, họ có thể “dễ dàng tiêu hết ngân sách hàng tháng của một chatbot dựa trên mô hình ngôn ngữ lớn chỉ trong một ngày,” gây thiệt hại tài chính đáng kể nếu không có các biện pháp bảo vệ chống lại các thực hành như vậy.
Nhu cầu cấp thiết về các biện pháp bảo vệ AI khỏi bị lạm dụng
Hy vọng rằng, khi AI phát triển, các công ty sẽ bổ sung các hạn chế để ngăn chặn kẻ xấu lạm dụng dịch vụ của họ. Ví dụ, đã có rất nhiều cách mà tin tặc sử dụng AI tạo sinh trong các cuộc tấn công của mình, và đã có sự gia tăng đáng kể các vụ lừa đảo qua cuộc gọi video AI khi công nghệ này ngày càng được cải thiện về chất lượng.
Kết luận:
Nguy cơ tiềm ẩn từ lỗ hổng DDoS trong ChatGPT là một lời nhắc nhở về tầm quan trọng của an ninh mạng trong kỷ nguyên AI. Các nhà phát triển AI cần ưu tiên bảo mật ngay từ giai đoạn thiết kế để bảo vệ người dùng và toàn bộ hệ sinh thái công nghệ. Với sự phát triển nhanh chóng của AI, việc liên tục cập nhật và tăng cường các biện pháp phòng vệ là vô cùng cần thiết để ngăn chặn những hành vi lạm dụng.
Bạn nghĩ sao về những nguy cơ bảo mật này của AI? Hãy chia sẻ ý kiến của bạn trong phần bình luận bên dưới!
