Nghiêm trọng: Tấn công Prompt Injection và bản vá ChatGPT Atlas

OpenAI đã triển khai một bản cập nhật an ninh quan trọng cho ChatGPT Atlas, tác nhân AI dựa trên trình duyệt của họ. Bản cập nhật này giới thiệu các biện pháp phòng thủ nâng cao chống lại các tấn công prompt injection.

Đây là một bước tiến đáng kể trong việc bảo vệ người dùng khỏi các mối đe dọa mạng mới nổi, nhắm vào các hệ thống AI tác nhân.

Hiểu về Tấn công Prompt Injection

Các tấn công prompt injection khai thác tác nhân AI bằng cách nhúng các chỉ thị độc hại vào nội dung web mà tác nhân xử lý.

Kẻ tấn công tạo ra các chỉ thị này để ghi đè lệnh của người dùng, từ đó định hướng hành vi của tác nhân theo các hành động có hại.

Đối với các tác nhân trình duyệt như Atlas, điều này tạo ra một nguy cơ bảo mật mới, vượt ra ngoài các lỗ hổng web truyền thống.

Ví dụ Thực tế về Khai thác

Một ví dụ cụ thể là kẻ tấn công có thể gài một email độc hại chứa các chỉ thị ẩn.

Những chỉ thị này có thể hướng tác nhân chuyển tiếp các tài liệu nhạy cảm, như tài liệu thuế, đến một địa chỉ do kẻ tấn công kiểm soát.

Khi người dùng yêu cầu tác nhân xem xét email, tác nhân có thể vô tình thực hiện các lệnh đã được chèn vào. Điều này xảy ra thay vì thực hiện yêu cầu hợp pháp của người dùng.

Phạm vi Tác động của Prompt Injection

Vấn đề này có phạm vi rộng vì tác nhân Atlas tiếp xúc với nội dung trên một bề mặt gần như không giới hạn. Điều này bao gồm email, tệp đính kèm, tài liệu, diễn đàn và các trang web.

Vì các tác nhân có khả năng thực hiện những hành động mà người dùng có thể làm trong trình duyệt, các cuộc tấn công prompt injection thành công có thể dẫn đến hậu quả nghiêm trọng.

Các hậu quả này bao gồm rò rỉ dữ liệu, các giao dịch trái phép hoặc xóa các tệp quan trọng.

Chiến lược Phòng thủ Chống lại Prompt Injection của OpenAI

OpenAI đã phát triển một hệ thống red-team tự động sử dụng reinforcement learning.

Mục tiêu của hệ thống này là khám phá các tấn công prompt injection mới lạ trước khi chúng xuất hiện trên thực tế.

Kẻ tấn công tự động dựa trên LLM này có khả năng xác định các cuộc tấn công phức tạp, kéo dài.

Những cuộc tấn công này có thể diễn ra qua hàng chục hoặc hàng trăm bước, vượt xa các lỗi đơn giản thường được phát hiện bởi red teaming truyền thống.

Chu trình Phản ứng và Cải tiến

Khi hệ thống phát hiện các loại tấn công mới, nó sẽ kích hoạt một chu trình phản ứng tức thì.

OpenAI đào tạo các mô hình tác nhân đã cập nhật của mình để chống lại các cuộc tấn công mới, qua đó xây dựng bảo mật trực tiếp vào các mô hình.

Công ty cũng sử dụng dấu vết tấn công để cải thiện các biện pháp phòng thủ xung quanh, bao gồm hệ thống giám sát và các hướng dẫn an toàn.

Bản Cập Nhật An Ninh và Khuyến Nghị Người Dùng

Bản vá bảo mật gần đây đã được triển khai cho tất cả người dùng Atlas. Bản cập nhật này tích hợp các cải tiến từ quá trình nghiên cứu và phát triển nội bộ.

Nó giúp củng cố tác nhân trình duyệt chống lại các chiến lược tấn công prompt injection mới lạ được phát hiện thông qua quá trình red teaming tự động.

OpenAI khuyến nghị người dùng nên hạn chế quyền truy cập đã đăng nhập khi có thể. Đồng thời, cần xem xét kỹ các yêu cầu xác nhận của tác nhân trước khi tiếp tục.

Đặc biệt, người dùng nên cung cấp cho tác nhân các hướng dẫn rõ ràng, có phạm vi cụ thể thay vì các gợi ý chung chung.

Mặc dù prompt injection vẫn là một thách thức bảo mật lớn, cách tiếp cận chủ động của OpenAI thể hiện cam kết của họ. Cam kết này nhằm giúp Atlas trở nên kiên cường hơn trước các mối đe dọa mạng mới. Để tìm hiểu thêm, người dùng có thể tham khảo tại: OpenAI: Hardening Atlas Against Prompt Injection.