Google tăng cường bảo vệ Chrome, chặn đứng các cuộc tấn công “Prompt Injection” gián tiếp

Google vừa công bố một loạt tính năng bảo mật mới cho trình duyệt Chrome, tiếp nối việc tích hợp trí tuệ nhân tạo (AI) vào trình duyệt web này.

Để đạt được mục tiêu đó, gã khổng lồ công nghệ đã triển khai các lớp phòng thủ để ngăn chặn những kẻ xấu lợi dụng các cuộc tấn công “prompt injection” gián tiếp, vốn xuất phát từ việc tiếp xúc với nội dung web không đáng tin cậy, gây ra những tác hại khôn lường.

Tính năng nổi bật nhất là User Alignment Critic (tạm dịch: Giám sát viên điều chỉnh người dùng), sử dụng một mô hình thứ hai để đánh giá độc lập các hành động của tác nhân AI, tách biệt khỏi các “prompt” độc hại. Cách tiếp cận này bổ sung cho các kỹ thuật hiện có của Google, như “spotlighting” (tạm dịch: làm nổi bật), hướng dẫn mô hình tuân thủ các hướng dẫn của người dùng và hệ thống thay vì làm theo những gì được nhúng trong một trang web.

Google cho biết: “User Alignment Critic chạy sau khi quá trình lập kế hoạch hoàn tất để kiểm tra kỹ lưỡng từng hành động được đề xuất. Trọng tâm chính của nó là điều chỉnh tác vụ: xác định xem hành động được đề xuất có phục vụ mục tiêu đã nêu của người dùng hay không. Nếu hành động không phù hợp, Alignment Critic sẽ bác bỏ nó.”

Thành phần này được thiết kế để chỉ xem siêu dữ liệu về hành động được đề xuất và không được phép truy cập bất kỳ nội dung web không đáng tin cậy nào, do đó đảm bảo rằng nó không bị nhiễm độc thông qua các “prompt” độc hại có thể có trong một trang web. Với User Alignment Critic, ý tưởng là cung cấp các biện pháp bảo vệ chống lại mọi nỗ lực độc hại nhằm đánh cắp dữ liệu hoặc chiếm đoạt các mục tiêu dự định để thực hiện ý đồ của kẻ tấn công.

Nathan Parker từ nhóm bảo mật Chrome cho biết: “Khi một hành động bị từ chối, Critic sẽ cung cấp phản hồi cho mô hình lập kế hoạch để tái cấu trúc kế hoạch của nó và người lập kế hoạch có thể trả lại quyền kiểm soát cho người dùng nếu có những thất bại lặp đi lặp lại.”

Google cũng đang thực thi cái gọi là Agent Origin Sets (tạm dịch: Bộ nguồn gốc tác nhân) để đảm bảo rằng tác nhân chỉ có quyền truy cập vào dữ liệu từ các nguồn gốc có liên quan đến tác vụ hoặc các nguồn dữ liệu mà người dùng đã chọn chia sẻ với tác nhân. Điều này nhằm mục đích giải quyết các trường hợp bỏ qua cách ly trang web, trong đó một tác nhân bị xâm phạm có thể tương tác với các trang web tùy ý và cho phép nó đánh cắp dữ liệu từ các trang web đã đăng nhập.

Điều này được thực hiện bằng một hàm kiểm soát xác định những nguồn gốc nào liên quan đến tác vụ và phân loại chúng thành hai tập hợp:

• Các nguồn gốc chỉ đọc, từ đó mô hình Gemini AI của Google được phép sử dụng nội dung
• Các nguồn gốc đọc-ghi, mà tác nhân có thể nhập hoặc nhấp vào ngoài việc đọc từ đó

Google giải thích: “Sự phân định này đảm bảo rằng chỉ dữ liệu từ một tập hợp nguồn gốc giới hạn có sẵn cho tác nhân và dữ liệu này chỉ có thể được chuyển cho các nguồn gốc có thể ghi. Điều này giới hạn vectơ tấn công của rò rỉ dữ liệu trên nhiều nguồn gốc.”

Tương tự như User Alignment Critic, hàm kiểm soát không tiếp xúc với nội dung web không đáng tin cậy. Người lập kế hoạch cũng được yêu cầu phải có được sự chấp thuận của hàm kiểm soát trước khi thêm các nguồn gốc mới, mặc dù nó có thể sử dụng ngữ cảnh từ các trang web mà người dùng đã chia sẻ rõ ràng trong một phiên.

Một trụ cột quan trọng khác hỗ trợ kiến trúc bảo mật mới liên quan đến tính minh bạch và khả năng kiểm soát của người dùng, cho phép tác nhân tạo nhật ký công việc để người dùng quan sát và yêu cầu sự chấp thuận rõ ràng của họ trước khi điều hướng đến các trang web nhạy cảm, chẳng hạn như cổng thông tin ngân hàng và chăm sóc sức khỏe, cho phép đăng nhập thông qua Google Password Manager hoặc hoàn thành các hành động trên web như mua hàng, thanh toán hoặc gửi tin nhắn.

Cuối cùng, tác nhân cũng kiểm tra từng trang để tìm các cuộc tấn công “prompt injection” gián tiếp và hoạt động song song với Safe Browsing và tính năng phát hiện lừa đảo trên thiết bị để chặn nội dung có khả năng đáng ngờ.

Google cho biết: “Bộ phân loại ‘prompt injection’ này chạy song song với suy luận của mô hình lập kế hoạch và sẽ ngăn chặn các hành động được thực hiện dựa trên nội dung mà bộ phân loại xác định là đã cố ý nhắm mục tiêu vào mô hình để thực hiện điều gì đó không phù hợp với mục tiêu của người dùng.”

Để khuyến khích hơn nữa việc nghiên cứu và tìm ra các lỗ hổng trong hệ thống, công ty cho biết họ sẽ trả tới 20.000 đô la cho các trình diễn dẫn đến vi phạm các ranh giới bảo mật. Chúng bao gồm các cuộc tấn công “prompt injection” gián tiếp cho phép kẻ tấn công:

• Thực hiện các hành động bất hợp pháp mà không cần xác nhận
• Đánh cắp dữ liệu nhạy cảm mà không có cơ hội hiệu quả để người dùng chấp thuận
• Vượt qua biện pháp giảm thiểu đáng lẽ phải ngăn chặn cuộc tấn công thành công ngay từ đầu

Google cho biết: “Bằng cách mở rộng một số nguyên tắc cốt lõi như cách ly nguồn gốc và phòng thủ theo lớp, đồng thời giới thiệu kiến trúc mô hình đáng tin cậy, chúng tôi đang xây dựng một nền tảng an toàn cho trải nghiệm tác nhân của Gemini trong Chrome. Chúng tôi cam kết tiếp tục đổi mới và hợp tác với cộng đồng bảo mật để đảm bảo người dùng Chrome có thể khám phá kỷ nguyên mới của web một cách an toàn.”

Thông báo này được đưa ra sau nghiên cứu từ Gartner kêu gọi các doanh nghiệp chặn việc sử dụng trình duyệt AI cho đến khi các rủi ro liên quan, chẳng hạn như tấn công “prompt injection” gián tiếp, hành động sai sót của tác nhân và mất dữ liệu, có thể được quản lý một cách thích hợp.

Nghiên cứu cũng cảnh báo về một kịch bản có thể xảy ra, trong đó nhân viên “có thể bị cám dỗ sử dụng trình duyệt AI và tự động hóa một số tác vụ bắt buộc, lặp đi lặp lại và ít thú vị hơn.” Điều này có thể bao gồm các trường hợp một cá nhân trốn tránh khóa đào tạo an ninh mạng bắt buộc bằng cách hướng dẫn trình duyệt AI hoàn thành nó thay cho họ.

Công ty tư vấn cho biết: “Trình duyệt tác nhân, hoặc những gì nhiều người gọi là trình duyệt AI, có tiềm năng thay đổi cách người dùng tương tác với trang web và tự động hóa các giao dịch đồng thời gây ra các rủi ro an ninh mạng nghiêm trọng. Các CISO phải chặn tất cả các trình duyệt AI trong tương lai gần để giảm thiểu rủi ro tiếp xúc.”

Sự phát triển này diễn ra khi Trung tâm An ninh Mạng Quốc gia Hoa Kỳ (NCSC) cho biết rằng các mô hình ngôn ngữ lớn (LLM) có thể phải chịu một lớp lỗ hổng dai dẳng được gọi là “prompt injection” và vấn đề đó không bao giờ có thể được giải quyết hoàn toàn.

David C, giám đốc kỹ thuật của NCSC về Nghiên cứu nền tảng, cho biết: “Các mô hình ngôn ngữ lớn (LLM) hiện tại đơn giản là không thực thi ranh giới bảo mật giữa hướng dẫn và dữ liệu bên trong một ‘prompt’. Do đó, các biện pháp bảo vệ thiết kế cần tập trung nhiều hơn vào các biện pháp bảo vệ tất định (không phải LLM) để hạn chế các hành động của hệ thống, thay vì chỉ cố gắng ngăn chặn nội dung độc hại tiếp cận LLM.”

Giải thích thuật ngữ:

• Prompt Injection: Là một kỹ thuật tấn công bảo mật, trong đó kẻ tấn công chèn các lệnh hoặc dữ liệu độc hại vào “prompt” (lời nhắc) của một hệ thống AI, khiến hệ thống thực hiện các hành động không mong muốn.
• Agentic AI: Là một loại hình AI có khả năng hành động độc lập để đạt được một mục tiêu cụ thể, thường là thay mặt cho người dùng.
• Site Isolation: Là một tính năng bảo mật của trình duyệt web, giúp ngăn chặn các trang web độc hại truy cập vào dữ liệu của các trang web khác.
• CISO: Viết tắt của Chief Information Security Officer, là giám đốc an ninh thông tin, người chịu trách nhiệm về an ninh mạng của một tổ chức.
• LLM: Viết tắt của Large Language Model, là một mô hình ngôn ngữ lớn, được đào tạo trên một lượng lớn dữ liệu văn bản và có khả năng tạo ra văn bản, dịch ngôn ngữ và trả lời các câu hỏi.