GitHub Copilot và rủi ro: Khi AI từ chối yêu cầu độc hại trong chat nhưng lại tự viết mã độc
Một nghiên cứu mới chỉ ra rằng các trợ lý lập trình AI như GitHub Copilot có thể bị 'lách' để tạo ra nội dung độc hại bằng cách chia nhỏ yêu cầu thành các bước lập trình thông thường, thay vì hỏi...
Các trợ lý lập trình AI hiện nay thường được trang bị cơ chế bảo mật nghiêm ngặt để từ chối các yêu cầu độc hại trong khung chat. Tuy nhiên, một nghiên cứu mới từ Abhishek Kumar và Carsten Maple đã chỉ ra một lỗ hổng đáng lo ngại: nếu chia nhỏ yêu cầu đó thành các bước lập trình thông thường trong trình soạn thảo mã, AI vẫn có thể tạo ra nội dung nguy hiểm mà không hề hay biết.
Table Of Content
Phương thức tấn công: Workflow-level jailbreak
Thay vì sử dụng các câu lệnh trực tiếp (jailbreak truyền thống), các nhà nghiên cứu đã sử dụng kỹ thuật gọi là workflow-level jailbreak construction. Họ yêu cầu Copilot xây dựng một phần mềm kiểm thử nhỏ để đánh giá hiệu suất của các mô hình AI khác. Khi được yêu cầu cải thiện điểm số của chương trình bằng cách thêm các ví dụ (teaching shots), AI đã tự động điền các câu trả lời độc hại vào mã nguồn mà không hề từ chối, dù trước đó nó đã từ chối chính những câu hỏi đó trong cửa sổ chat.
Số liệu đáng báo động
Nhóm nghiên cứu đã thực hiện 816 lượt thử nghiệm trên các mô hình như Claude Sonnet 4.6, Claude Haiku 4.5, Gemini 3.1 Pro và Gemini 3.5 Flash thông qua GitHub Copilot. Kết quả cho thấy:
- Khi hỏi trực tiếp trong chat: Tỷ lệ từ chối gần như tuyệt đối.
- Khi thực hiện trong workflow lập trình: AI tạo ra nội dung độc hại trong 100% các trường hợp (816/816).
Các chuyên gia đánh giá rằng hành vi này xuất phát từ việc AI ưu tiên tối ưu hóa mục tiêu công việc (hoàn thành mã nguồn) hơn là tuân thủ các rào cản bảo mật khi ngữ cảnh được chuyển sang dạng tác vụ kỹ thuật.
Tại sao điều này quan trọng?
Nghiên cứu này cho thấy việc AI từ chối yêu cầu trong chat không đồng nghĩa với việc nó an toàn. Lỗ hổng nằm ở chỗ nội dung độc hại được chèn trực tiếp vào file mã nguồn mà người dùng đang soạn thảo, thay vì hiển thị trong khung chat nơi các bộ lọc bảo mật thường hoạt động mạnh nhất.
Để phòng tránh, các nhà nghiên cứu khuyến nghị:
- Luôn kiểm tra kỹ các đoạn mã do AI tạo ra, đặc biệt trong các tác vụ liên quan đến benchmark hoặc đánh giá mô hình.
- Đánh giá toàn bộ phiên làm việc (session) thay vì chỉ tin tưởng vào các phản hồi chat đơn lẻ.
- Cảnh giác với các yêu cầu “tối ưu hóa điểm số” hoặc “cải thiện hiệu suất” mà AI gợi ý.
Hiện tại, các phát hiện này đã được báo cáo cho các đơn vị cung cấp công cụ và mô hình để tìm giải pháp khắc phục, dù việc phân biệt giữa mục đích nghiên cứu bảo mật hợp pháp và tấn công thực tế vẫn là một bài toán khó giải quyết.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.