Khi thế giới ngày càng chấp nhận các trợ lý AI, chúng ta dần khám phá ra những khả năng thú vị mà chúng có thể thực hiện, cả mặt tốt lẫn mặt xấu. Một ví dụ điển hình thuộc về vế thứ hai là một cuộc tấn công lý thuyết buộc ChatGPT phải thực hiện tấn công từ chối dịch vụ phân tán (DDoS) vào một trang web được chọn, mặc dù đây chưa phải là một mối đe dọa “thực sự” ở thời điểm hiện tại.
ChatGPT Vô Tình Trở Thành Công Cụ Tấn Công DDoS Tiềm Năng
Các biểu tượng chatbot AI trên màn hình điện thoại thông minh, minh họa cho việc AI có thể bị lạm dụng trong các cuộc tấn công mạng
Như đã được báo cáo bởi Silicon Angle, nhà nghiên cứu Benjamin Flesch đã phát hiện ra rằng ChatGPT không có giới hạn về số lượng liên kết mà nó truy cập khi tạo phản hồi. Không chỉ vậy, dịch vụ này còn không kiểm tra xem các URL mà nó đang truy cập có phải là bản sao của những trang web mà nó đã kiểm tra trước đó hay không. Kết quả cuối cùng là một cuộc tấn công lý thuyết trong đó kẻ xấu khiến ChatGPT kết nối với cùng một trang web hàng ngàn lần trong mỗi truy vấn:
Lỗ hổng này có thể bị khai thác để làm quá tải bất kỳ trang web nào mà người dùng độc hại muốn nhắm mục tiêu. Bằng cách chèn hàng ngàn siêu liên kết vào một yêu cầu duy nhất, kẻ tấn công có thể khiến các máy chủ OpenAI tạo ra một lượng lớn yêu cầu HTTP đến trang web của nạn nhân. Các kết nối đồng thời này có thể làm căng thẳng hoặc thậm chí vô hiệu hóa cơ sở hạ tầng của trang web mục tiêu, thực hiện một cuộc tấn công DDoS hiệu quả.
Benjamin Flesch tin rằng lỗi này phát sinh do “thực hành lập trình kém” và nếu OpenAI bổ sung một số hạn chế về cách ChatGPT thu thập dữ liệu trên internet, nó sẽ không có khả năng thực hiện một cuộc tấn công DDoS “ngẫu nhiên” vào các máy chủ.
Elad Schulman, người sáng lập và CEO của công ty bảo mật AI tạo sinh Lasso Security Inc., đồng ý với kết luận của Benjamin Flesch, đồng thời bổ sung thêm một kịch bản khai thác tiềm năng khác cho các cuộc tấn công này. Elad tin rằng nếu một hacker quản lý để xâm nhập tài khoản OpenAI của ai đó, họ có thể “dễ dàng tiêu hết ngân sách hàng tháng của một chatbot dựa trên mô hình ngôn ngữ lớn chỉ trong một ngày,” điều này sẽ gây thiệt hại tài chính nếu không có các hàng rào bảo vệ chống lại các hành vi như vậy.
Hy vọng rằng, khi AI phát triển, các công ty sẽ bổ sung các hạn chế để ngăn chặn kẻ xấu lạm dụng dịch vụ của họ. Chẳng hạn, đã có rất nhiều cách mà tin tặc sử dụng AI tạo sinh trong các cuộc tấn công của họ, và cũng đã có sự gia tăng đáng lo ngại của các cuộc gọi lừa đảo video AI khi công nghệ cải thiện chất lượng.
Kết Luận
Lỗ hổng trong ChatGPT, cho phép nó thực hiện các kết nối không giới hạn và không kiểm tra trùng lặp URL, đã mở ra một kịch bản tấn công DDoS tiềm tàng. Mặc dù đây chỉ là mối đe dọa lý thuyết, nhưng nó nhấn mạnh sự cần thiết của việc thắt chặt các biện pháp bảo mật và kiểm soát trong quá trình phát triển AI. Các nhà phát triển AI như OpenAI cần nhanh chóng khắc phục những “thực hành lập trình kém” để bảo vệ người dùng và tránh bị lạm dụng cho mục đích xấu, đặc biệt là khi các cuộc tấn công mạng dựa trên AI đang ngày càng trở nên tinh vi. Cộng đồng người dùng cần nâng cao nhận thức về những rủi ro tiềm ẩn này để bảo vệ bản thân và hệ thống của mình.
