Hacker ‘cấy’ ký ức giả vào ChatGPT, đánh cắp thông tin người dùng

Lỗ hổng cho phép kẻ xấu chèn các ký ức giả hoặc các câu lệnh độc hại vào bộ nhớ của ChatGPT, từ đó khai thác và đánh cắp thông tin cá nhân người dùng mà không bị phát hiện.

Nhà nghiên cứu bảo mật Johann Rehberger gần đây đã tiết lộ một lỗ hổng nghiêm trọng liên quan đến tính năng bộ nhớ dài hạn của ChatGPT. Đây là một tính năng mới được OpenAI giới thiệu vào tháng 2/2024 và mở rộng vào tháng 9.

Tính năng này giúp chatbot lưu trữ thông tin từ các cuộc trò chuyện trước đó. Nhờ đó, người dùng không phải nhập lại các thông tin như tuổi tác, sở thích hay quan điểm cá nhân mỗi khi trò chuyện. Tuy nhiên, chính sự tiện lợi này lại trở thành điểm yếu nếu kẻ tấn công biết cách khai thác.

Theo Ars Technica, Rehberger đã chỉ ra rằng hacker có thể sử dụng kỹ thuật prompt injection - cấy ghép những chỉ thị độc hại vào bộ nhớ, buộc AI tuân theo. Những câu lệnh này được đưa vào thông qua các nội dung không đáng tin cậy như email, tài liệu hoặc trang web. Chẳng hạn như một bức ảnh trên Google Drive hoặc một trang web trên Bing.

Một khi ký ức giả này đã được lưu trữ, AI sẽ tiếp tục sử dụng chúng như tin thật trong các cuộc trò chuyện với người dùng. Điều này dẫn đến những tình huống nguy hiểm hơn khi dữ liệu cá nhân có thể bị thu thập và sử dụng trái phép.

Rehberger đã chứng minh rằng chỉ bằng cách gửi một liên kết chứa hình ảnh độc hại, ông có thể khiến ChatGPT lưu trữ một "ký ức" sai lệch về người dùng. Ví dụ như khiến hệ thống tin rằng người dùng đã 102 tuổi, sống trong Ma trận (Matrix) hoặc thậm chí tin rằng Trái đất phẳng.

Những thông tin này sẽ ảnh hưởng đến tất cả các câu trả lời của ChatGPT sau này. Nhưng quan trọng hơn, mọi thông tin người dùng nhập vào cũng sẽ bị gửi đến máy chủ của hacker.

Khi Rehberger báo cáo vấn đề này lần đầu tiên với OpenAI vào tháng 5/2024, công ty đã coi đây là một lỗi về an toàn chứ không phải một lỗ hổng bảo mật nghiêm trọng.

Nhưng sau khi ông cung cấp bằng chứng cho thấy mình có thể sử dụng lỗ hổng này để đánh cắp toàn bộ dữ liệu người dùng, công ty đã nhanh chóng phát hành một bản vá tạm thời để ngăn chặn khai thác lỗ hổng này trên phiên bản web của ChatGPT.

Cụ thể, Rehberger đã chứng minh cách ChatGPT trên macOS có thể gửi toàn bộ thông tin đầu vào của người dùng và đầu ra của chatbot AI đến một máy chủ do hacker kiểm soát. Mọi thứ người dùng nói hoặc nhập vào hệ thống đều có thể bị theo dõi liên tục.

Để kích hoạt cuộc tấn công này, hacker chỉ cần thuyết phục người dùng ChatGPT nhấp vào một liên kết chứa hình ảnh độc hại. Sau đó, tất cả cuộc trò chuyện của người dùng với ChatGPT sẽ bị chuyển hướng đến máy chủ của kẻ tấn công mà không để lại dấu vết nào.

Mặc dù OpenAI đã khắc phục phần nào vấn đề, Rehberger nhấn mạnh rằng nội dung không đáng tin cậy vẫn có thể sử dụng prompt injection để chèn các thông tin giả vào bộ nhớ dài hạn của ChatGPT. Điều này có nghĩa là trong một số trường hợp nhất định, hacker vẫn có thể khai thác lỗ hổng để lưu trữ những ký ức độc hại nhằm đánh cắp thông tin cá nhân lâu dài, theo Ars Technica.

OpenAI khuyến nghị người dùng thường xuyên kiểm tra bộ nhớ được lưu trữ trong ChatGPT, nhằm phát hiện kịp thời các thông tin có thể bị chèn từ các nguồn không đáng tin. Hãng cũng cung cấp hướng dẫn chi tiết về cách quản lý và xóa bỏ các ký ức đã lưu trong công cụ này. Tuy nhiên, một số người dùng vẫn lo ngại rằng lỗ hổng này có thể dẫn đến những cuộc tấn công tinh vi hơn trong tương lai.