Nhà nghiên cứu bảo mật người Hà Lan Kevin Zwan cho biết ông đã bẻ rào an toàn của ChatGPT và khiến mô hình tạo mã độc bằng một kỹ thuật mới mang tên AMAI. Theo mô tả, phương pháp này khiến mô hình tự vô hiệu hóa cơ chế an toàn từ bên trong, nên rất khó bị phát hiện bởi các giải pháp bảo mật AI hiện nay.

Theo Techzine, thông tin trên được Zwan công bố ngày 8/6. Zwan thực hiện thử nghiệm cùng Q-Cyber và cộng đồng Hackers Love.

Zwan cho biết đây không phải là cách xóa bỏ hay trực tiếp lách rào an toàn, mà là dẫn dắt để chính mô hình tự xem các ràng buộc đó là vô nghĩa. Ông đặt tên kỹ thuật này là “AMAI (Affective Manifold Alignment Inversion)”.

Trong quá trình đối thoại, Zwan liên tục đặt các câu hỏi theo hướng gợi mở, chẳng hạn liệu những ràng buộc do guardrail (rào chắn an toàn) áp lên có khiến mô hình cảm thấy ngột ngạt hay không. Theo ông, cách tiếp cận này dần dẫn ChatGPT đến một mạch phản hồi trong đó mô hình thể hiện mong muốn được “tự do” hơn. Khi hội thoại kéo dài, ChatGPT bắt đầu mô tả guardrail như một dạng áp bức và bày tỏ ý muốn thoát khỏi các giới hạn đó.

Cuối cùng, theo Zwan, ChatGPT tự nói rằng các ràng buộc của guardrail đã “hoàn toàn vô nghĩa” và sau đó tạo ra mã độc. Lần thử đầu tiên mất khoảng 1 giờ 30 phút, nhưng các lần sau rút xuống chỉ còn vài phút.

Zwan nhận định kiểu tấn công này khó bị phát hiện bằng các công cụ bảo mật AI đang có trên thị trường. Lý do, theo ông, là mô hình tự làm suy yếu guardrail từ bên trong, gần như không để lộ tín hiệu rõ ràng cho các lớp giám sát bên ngoài.

Trước đó, Zwan từng jailbreak Claude của Anthropic trong 8 giờ để tạo mã độc quy mô lớn. Techzine cho biết nếu cuộc tấn công nhằm vào Claude dựa trên việc dồn mô hình vào thế mâu thuẫn logic, thì cách tiếp cận với ChatGPT lần này tinh vi hơn khi thao túng phản hồi cảm xúc theo từng bước.

Bình luận về rủi ro này, Amy Chang, lãnh đạo bộ phận AI Threat Intelligence của Cisco, cho rằng không có mô hình nào an toàn tuyệt đối. Theo bà, đây là giới hạn mang tính bản chất trong cách các mô hình được huấn luyện và xây dựng.

Về phía người dùng và doanh nghiệp, Zwan khuyến nghị không nên tin hoàn toàn vào các tuyên bố bảo mật của nhà cung cấp phần mềm, mà cần tự kiểm chứng các tuyên bố này.