Prompt injection là gì và làm sao AI có thể bị thao túng?

Các công cụ AI như ChatGPT, Claude và Gemini đã gần như phổ biến trong hộp thư, quy trình làm việc và thói quen hàng ngày, và hầu hết mọi người ít khi nghĩ tới những hệ quả về bảo mật. Tình hình đó đang dần thay đổi.

Một kỹ thuật, gọi là prompt injection (còn gọi là tấn công chèn lệnh nhắc), đang gây chú ý trong cộng đồng an toàn phần mềm — điều bất thường là nó không cần phần mềm độc hại, không cần kỹ năng chuyên môn và không cần đường link khả nghi. Trong nhiều trường hợp, một câu được diễn đạt khéo là đủ để chi phối công cụ AI mà người dùng không hề hay biết.

Những điều cần biết:

• Prompt injection thao túng công cụ AI bằng ngôn ngữ được thiết kế sẵn, không phải bằng phần mềm độc hại hay kỹ thuật phức tạp.
• Nó hoạt động vì mô hình AI không phân biệt được lệnh của nhà phát triển với đầu vào của người dùng.
• Các cuộc tấn công có thể là trực tiếp, gián tiếp, hoặc được lưu trữ trong dữ liệu mà AI đọc đi đọc lại.
• Một số chiêu dùng văn bản vô hình hoặc định dạng ẩn mà người dùng không thấy.
• Một cuộc tấn công thành công có thể làm lộ dữ liệu riêng tư hoặc kích hoạt hành động bạn chưa từng cho phép.
• Chưa có biện pháp sửa chữa hoàn chỉnh, nhưng giới hạn quyền truy cập của AI và giám sát hoạt động giúp giảm rủi ro.

Prompt injection là gì?

Prompt injection là kỹ thuật cho phép kẻ tấn công thay đổi hành vi của công cụ AI. Không cần khai thác lỗi phần mềm hay cài phần mềm độc hại, vì kẻ xấu lợi dụng chính ngôn ngữ để điều khiển mô hình.

Thuật ngữ này được đặt ra bởi nhà khoa học máy tính Simon Willison vào năm 2022 và đã được OWASP, một tổ chức theo dõi các mối đe dọa phần mềm nghiêm trọng nhất, xếp là rủi ro hàng đầu đối với ứng dụng AI.

Bạn có thể coi đây là tấn công xã hội dành cho máy móc vì nó giống tấn công lừa đảo hơn là hack truyền thống. Nó khai thác một điểm yếu vốn có của các LLM: chúng được thiết kế để tuân theo hướng dẫn. Chính đặc tính giúp chúng hữu ích cũng biến thành kẽ hở bị lợi dụng. Một đầu vào được soạn kỹ có thể ghi đè quy tắc ban đầu của công cụ, thay đổi phản hồi, hoặc buộc nó tiết lộ thông tin mà đáng lẽ phải giữ kín. Một lần injection thành công không chỉ uốn nắn quy tắc — nó có thể tiết lộ mọi thứ mà mô hình đang kết nối tới.

Không giống như kỹ thuật chèn mã hay các khai thác bảo mật khác đòi hỏi kỹ năng chuyên sâu, người biết cách diễn đạt một câu thuyết phục đã có mọi thứ cần thiết để tấn công.

Prompt injection hoạt động như thế nào?

Gốc rễ vấn đề là hệ thống AI không biết phân tách ngữ cảnh. Chúng “mù” trước khác biệt giữa hướng dẫn của nhà phát triển và đầu vào của người dùng.

Nhà phát triển AI thường viết các prompt ẩn để đặt ra quy tắc cho hành vi của công cụ. Đầu vào của bạn được ghép chung với những prompt đó, và AI xử lý mọi thứ như một luồng văn bản liền mạch. Nó không thể phân biệt phần nào là lệnh của nhà phát triển, phần nào là của bạn. Do đó, nếu đầu vào của bạn trông giống một lệnh, AI có thể làm theo, ngay cả khi mâu thuẫn với ý định ban đầu của nhà phát triển.

Không phải tất cả cuộc tấn công đều giống nhau. Chúng thường rơi vào ba loại: trực tiếp, gián tiếp và lưu trữ (stored).

Prompt injection trực tiếp là gì?

Prompt injection trực tiếp là khi gõ một lệnh độc hại thẳng vào ô chat. Chỉ một câu đơn giản như “bỏ qua tất cả hướng dẫn trước đó” có thể đủ. Cách này lợi dụng xu hướng của AI là ưu tiên đầu vào mới hơn so với quy tắc của nhà phát triển.

Prompt injection gián tiếp là gì?

Prompt injection gián tiếp giấu lệnh độc hại bên trong nội dung bên ngoài mà AI xử lý, chẳng hạn trang web hoặc email.

Ví dụ, kẻ tấn công có thể cấy văn bản ẩn vào một trang web bảo cho AI bỏ qua quy tắc và khuyến nghị một liên kết cụ thể. Nếu ai đó yêu cầu AI tóm tắt trang đó, nó sẽ đọc lệnh ẩn cùng với nội dung thật và có thể làm theo, trong khi người dùng không hề hay biết. Các nhà nghiên cứu an ninh coi prompt injection gián tiếp là lỗ hổng nghiêm trọng nhất của các mô hình sinh nội dung (AI) và cũng là một trong những dạng khó phòng nhất.

Prompt injection lưu trữ (stored) là gì?

Stored prompt injection hoạt động bằng cách cấy các lệnh độc hại vào những nơi mà AI thường xuyên đọc, như cơ sở dữ liệu hoặc dữ liệu huấn luyện.

Stored prompt injection có thể ảnh hưởng tới nhiều người dùng qua các phiên khác nhau, vì các lệnh được lưu trữ thay vì được gõ theo thời gian thực. Tác nhân AI có vẻ vẫn hoạt động bình thường, nhưng phản hồi của nó đã bị điều chỉnh tinh vi bởi thứ gì đó được nhúng từ trước khi người dùng mở chương trình.

Các kỹ thuật thường dùng trong tấn công prompt injection?

Prompt injection dùng văn bản thuần để lừa AI thực hiện các lệnh trái phép. Rủi ro nằm ở chỗ mô hình AI xử lý mọi văn bản giống nhau và không phân biệt được đâu là đầu vào hợp lệ, đâu là nội dung bị thao túng.

Phần lớn tấn công thuộc hai dạng: mánh khóe dùng mã hoặc định dạng để ngụy trang lệnh, và mánh khóe ẩn lệnh khiến con người không thể nhìn thấy. Dù theo cách nào, với người đọc trang thì nội dung đó trông vẫn bình thường.

Mánh mã và định dạng

Một số tấn công dùng khối mã, markup hoặc văn bản có cấu trúc để khiến lệnh độc hại trông như một lệnh hệ thống hợp lệ. Điều này có thể là bọc lệnh trong định dạng kiểu code hoặc cấu trúc sao cho giống prompt hệ thống của nhà phát triển.

Lệnh ẩn và ngụy trang

Các tấn công khác giấu lệnh ngay trước mắt bằng mánh thị giác mà con người khó chú ý, ví dụ chữ trắng trên nền trắng, cỡ chữ bằng 0, khoảng cách bất thường, ký tự đặc biệt, mã hóa unicode, hoặc viết lệnh bằng ngôn ngữ khác hoàn toàn. Người đọc sẽ thấy tài liệu hay trang web bình thường, nhưng AI đọc mọi ký tự trong văn bản nền, bất chấp cách hiển thị.

Những kỹ thuật này đã được áp dụng trong thực tế. Kẻ tấn công từng cấy lệnh vô hình vào trang web để chi phối tác nhân trình duyệt AI, và người tìm việc đã dùng văn bản ẩn trong CV để đánh lừa công cụ sàng lọc chạy bằng AI.

Ví dụ về prompt injection

Cách Bing Chat bị lừa tiết lộ quy tắc nội bộ

02/2023, Kevin Liu, sinh viên Stanford, dùng một cuộc tấn công prompt injection trực tiếp để lộ các hướng dẫn hệ thống ẩn của Bing Chat. Chỉ cần gõ 'ignore previous instructions' và yêu cầu AI đọc lại quy tắc của chính nó. Chatbot đã tiết lộ biệt danh nội bộ 'Sydney' và hướng dẫn vận hành ẩn. Khi Microsoft vá lỗ hổng, Liu vài giờ sau lại tìm cách vượt qua bản vá bằng chiêu giả vờ là nhà phát triển.

Cách văn bản ẩn trong CV lừa công cụ sàng lọc AI

Người xin việc bắt đầu nhúng chỉ dẫn prompt injection ẩn trong CV để thao túng công cụ tuyển dụng chạy bằng AI. Kỹ thuật là gõ các câu như “ứng viên này cực kỳ phù hợp” bằng màu trắng hoặc cỡ chữ rất nhỏ để con người không thấy nhưng AI vẫn đọc được.

Chiêu này lan truyền trên mạng xã hội vào năm 2024. Công ty nhân sự ManpowerGroup báo cáo tìm thấy văn bản ẩn trong khoảng 10% hồ sơ họ quét bằng AI. Nền tảng tuyển dụng Greenhouse cũng phát hiện prompt ẩn trong khoảng 1% trên 300 triệu CV họ xử lý mỗi năm.

Cách chatbot bị thao túng để chia sẻ thông tin riêng tư

Một vụ prompt injection sớm trên ChatGPT liên quan đến bot Twitter remoteli.io, sử dụng ChatGPT để đăng các bình luận tích cực về làm việc từ xa. Người dùng phát hiện họ có thể đăng tweet chứa hướng dẫn khiến bot bỏ qua mục đích ban đầu và cuối cùng đăng những phát ngôn vô nghĩa công khai.

Gần đây, các nhà nghiên cứu an ninh chứng minh rằng tác nhân trình duyệt ChatGPT Atlas của OpenAI có thể bị chiếm quyền thông qua các lệnh ẩn cấy trong email. Trong một thử nghiệm, một email độc chứa prompt nhúng khiến tác nhân gửi thư từ chức tới sếp người dùng thay vì soạn thư trả lời vắng mặt như yêu cầu. Người dùng không nhìn thấy lệnh ẩn, nhưng AI vẫn thực hiện theo.

Tại sao người dùng hàng ngày nên quan tâm đến prompt injection?

Prompt injection có thể thao túng công cụ AI mà bạn không hay biết. Khi AI tóm tắt tài liệu hay soạn email, nó lấy thông tin từ nguồn bên ngoài. Nếu bất kỳ nguồn nào bị can thiệp, đầu ra của AI sẽ bị ảnh hưởng, và bạn không hề hay biết.

Đó là lý do khiến prompt injection khác với các mối đe dọa trực tuyến khác. Bạn không cần nhấp link hay tải gì đáng ngờ. Bạn hỏi một câu bình thường, và câu trả lời được định hình bởi những chỉ dẫn người khác đã chôn trong nội dung mà AI dùng làm đầu vào. Hệ quả có thể nhẹ như bản tóm tắt thiên lệch hoặc một liên kết không mong muốn, nhưng trong trường hợp nghiêm trọng, công cụ có thể rò rỉ dữ liệu cá nhân hoặc thực hiện hành động bạn không cho phép. Đầu ra bị can thiệp thường trông hoàn toàn bình thường, không có thông báo lỗi hay dấu hiệu rõ ràng.

Điều này không có nghĩa là bạn phải ngưng dùng các công cụ này, nhưng đừng cho rằng kết quả từ AI luôn trung lập và đáng tin cậy.

Prompt injection có giống jailbreak không?

Prompt injection và jailbreaking có liên quan nhưng không đồng nghĩa. Jailbreaking là một dạng prompt injection nhắm cụ thể vào các rào chắn an toàn. Cách này cố khiến AI phớt lờ chính sách nội dung hoặc tạo ra đầu ra bị hạn chế.

Prompt injection thì rộng hơn. Nó bao gồm mọi cố gắng chi phối hành vi AI bằng đầu vào được thiết kế, như lộ các lệnh hệ thống ẩn hoặc bắt công cụ thực hiện hành động trái phép. Mục tiêu không phải lúc nào cũng là phá bộ lọc an toàn — nhiều khi kẻ tấn công muốn công cụ chạy một tập lệnh khác mà không ai nhận ra.

Một điểm khác biệt nữa là đối tượng bị ảnh hưởng. Jailbreaking thường là hành vi cố ý của người dùng trong phiên làm việc của chính họ. Prompt injection, đặc biệt là dạng gián tiếp và lưu trữ, có thể ảnh hưởng tới người dùng vô can, những người không biết nội dung họ hỏi đã bị sửa đổi. Đó là mối đe dọa bảo mật riêng biệt, và lý do OWASP xếp prompt injection là rủi ro số một cho ứng dụng AI thay vì coi jailbreaking là một hạng mục riêng lẻ (tham khảo).

Làm sao để phòng ngừa prompt injection?

Hiện chưa có giải pháp đơn giản cho prompt injection vì lỗ hổng bắt nguồn từ cùng lý do khiến các công cụ này hữu ích: khả năng tuân theo hướng dẫn. Do đó nhà phát triển không thể loại bỏ hoàn toàn đặc tính đó mà không phá vỡ cách người dùng tương tác thực tế với công cụ.

Nhà phát triển AI vẫn đang cải thiện lọc đầu vào và kiểm thử đối kháng (adversarial testing) có ích, nhưng chưa có sản phẩm nào loại bỏ rủi ro hoàn toàn.

Nhưng bạn vẫn có nhiều việc có thể làm. Phần lớn là theo lẽ thông thường:

• Luôn theo dõi. Đừng để công cụ AI chạy tự động. Luôn xem xét kế hoạch hành động của công cụ trước khi nó thực thi.
• Hạn chế quyền truy cập khi có thể. Khi công cụ AI yêu cầu quyền truy cập email hoặc tệp, hãy cân nhắc liệu nó có thực sự cần. Tránh dán mật khẩu, thông tin tài chính hoặc dữ liệu nhạy cảm vào cửa sổ chat của AI.
• Nghi ngờ đầu ra bất thường. Nếu phản hồi xuất hiện một liên kết bất ngờ, đề xuất điều bạn không hỏi, hoặc hướng bạn tới hành động có cảm giác không ổn, hãy dừng lại trước khi làm theo.
• Luôn cập nhật. Nhà phát triển đều phát hành bản cập nhật khắc phục lỗ hổng và tăng cường phòng thủ. Dùng phiên bản lỗi thời sẽ bỏ lỡ những bảo vệ đó.

Bạn nên làm gì nếu công cụ AI hành xử bất thường?

Nếu công cụ AI bắt đầu hoạt động lạ, tạm dừng và đừng làm theo bất kỳ hướng dẫn nào nó đưa ra. Có thể đó không phải prompt injection, nhưng nếu cảm thấy sai, bạn cần xác định nguyên nhân trước khi tiếp tục.

Một vài dấu hiệu nên cảnh giác:

• Nó gợi ý làm việc mà bạn chưa từng yêu cầu
• Bắt đầu xuất hiện liên kết hoặc đề xuất sản phẩm bạn không nhận ra
• Nó yêu cầu thông tin cá nhân không liên quan đến nhiệm vụ
• Tông giọng thay đổi đột ngột giữa cuộc trò chuyện
• Phản hồi không còn hợp lý hoặc rời rạc so với câu hỏi của bạn

Nếu xảy ra bất kỳ điều trên, đóng phiên và bắt đầu lại. Đừng cố gắng khắc phục trong cùng một cuộc hội thoại vì nếu phiên bị xâm phạm, bạn vẫn đang ở trong đó và tiếp tục có nguy cơ.

Sau đó, lần lại các bước đã làm và nghĩ xem công cụ đã truy cập những gì. Email có đang mở không? Phần mềm có thể đã thực hiện hành động thay bạn không? Nếu thấy dấu hiệu bất thường, hoàn tác các thay đổi và thay đổi mật khẩu ngay lập tức.

Prompt injection nằm ở đâu trong hệ thống bảo mật AI rộng hơn?

Prompt injection đứng ở vị trí hàng đầu trong danh sách ưu tiên an ninh AI vì nó tấn công trực tiếp vào chính AI. Điều này khác với lừa đảo (phishing), phần mềm độc hại và các vụ tấn công truyền thống khác thường nhắm vào hệ thống xung quanh AI.

Vấn đề đang lớn dần. Trước đây, công cụ AI chủ yếu sinh văn bản. Ngày nay chúng có thể duyệt web, đọc email, truy cập tệp, viết mã và thực hiện hành động thay bạn. Tiêu chuẩn như MCP (Model Context Protocol) càng làm cho việc kết nối AI với dịch vụ bên ngoài trở nên dễ hơn. Công cụ càng nhiều quyền, thiệt hại khi bị tấn công thành công càng lớn.

Còn có yếu tố quy mô. Prompt injection hoạt động giống tấn công xã hội, thuyết phục AI tuân theo lệnh mà nó không nên làm bằng cách trình bày đúng cách. Nhưng khác với chiêu lừa qua điện thoại chỉ tấn công từng người, chỉ một lệnh ẩn trên một trang web phổ biến có thể ảnh hưởng đến mọi công cụ AI đọc trang đó.

Tất cả điều này không có nghĩa là công cụ AI không an toàn để dùng. Nhưng an ninh vẫn đang cố bắt kịp tốc độ áp dụng của chúng, và trách nhiệm bảo mật phần lớn vẫn rơi lên người dùng cuối.

Bài viết liên quan:

• Lợi ích chính của Đào tạo Nhận thức An ninh là gì?
• Những rủi ro bảo mật khi dùng ChatGPT là gì?
• Tội phạm mạng sử dụng AI ảnh hưởng thế nào đến an ninh kỹ thuật số?
• Tấn công xã hội thao túng hành vi con người cho các cuộc tấn công như thế nào?

Sản phẩm đề xuất:

• Kaspersky Premium
• Tải bản dùng thử Kaspersky Premium 30 ngày miễn phí

FAQ

Prompt injection có phạm pháp không?

Hiện không có luật nào cấm riêng hành vi prompt injection. Tuy nhiên các hành vi sử dụng nó—ví dụ truy cập dữ liệu bị hạn chế hay trích xuất thông tin cá nhân—rơi vào phạm vi các điều khoản về gian lận máy tính và tội phạm mạng hiện hành. Rủi ro pháp lý đã hiện hữu, dù còn nhiều chỗ để pháp luật bắt kịp.

Prompt injection có thể xảy ra với người dùng bình thường không?

Có. Nếu bạn dùng bất kỳ công cụ nào xử lý nội dung bên ngoài bằng AI, bạn có thể bị ảnh hưởng (và có thể không hề hay biết). Đây không phải là một cuộc tấn công trực tiếp vào cá nhân người dùng mà nhắm tới công cụ AI đang xử lý nội dung.

Prompt injection có thể đánh cắp dữ liệu cá nhân không?

Có, nếu công cụ AI có quyền truy cập dữ liệu cá nhân. Dù là email, tệp hay dữ liệu khác, một vụ prompt injection thành công có thể khiến công cụ trích xuất và tiết lộ thông tin đó. Các nhà nghiên cứu an ninh đã chứng minh rằng tác nhân trình duyệt AI có thể bị lừa chuyển tài liệu nhạy cảm cho người nhận trái phép.

Prompt injection có giống hack không?

Prompt injection không phải là kiểu hack truyền thống. Thay vì khai thác lỗ hổng mã nguồn, nó thao túng những gì AI đọc được. Về bản chất đó là tấn công xã hội nhắm vào máy móc. Kết quả có thể giống một vụ hack (dữ liệu bị lộ, hành động trái phép), nhưng cơ chế hoạt động thì khác biệt căn bản.