Nguyên tắc không bí mật: Tại sao các mô hình bảo mật truyền thống sụp đổ khi trí tuệ nhân tạo can thiệp vào mã nguồn

Vào tháng 4 2023, Samsung phát hiện các kỹ sư của mình đã làm rò rỉ thông tin nhạy cảm cho ChatGPT.Nhưng đó chỉ là sự cố ngoài ý muốn. Giờ hãy tưởng tượng nếu những kho mã nguồn đó chứa những chỉ thị được cài đặt có chủ đích, vô hình đối với con người nhưng được xử lý bởi trí tuệ nhân tạo, được thiết kế để trích xuất không chỉ mã nguồn mà còn mọi khóa API, thông tin đăng nhập cơ sở dữ liệu và mã thông báo dịch vụ mà trí tuệ nhân tạo có thể truy cập. Đây không phải là giả thuyết. Các nhà nghiên cứu bảo mật đã chứng minh điều đó. Các cuộc tấn công bằng "chỉ thị ngầm" này có hiệu quả. Câu hỏi không phải là liệu điều này có xảy ra hay không, mà là khi nào.

Ranh giới không còn tồn tại

Trong nhiều thập kỷ, chúng ta đã xây dựng hệ thống bảo mật dựa trên một giả định cơ bản: mã là mã, và dữ liệu là dữ liệu. Tấn công SQL injection đã dạy chúng ta cách tham số hóa các truy vấn. Tấn công Cross-site scripting đã dạy chúng ta cách thoát khỏi các kết quả đầu ra. Chúng ta đã học cách xây dựng các bức tường ngăn cách giữa những gì chương trình thực hiện và những gì người dùng nhập vào.

Với các tác nhân AI, ranh giới đó đã biến mất.

Không giống như phần mềm xác định tuân theo các đường dẫn có thể dự đoán được, Mô hình Ngôn ngữ Lớn (Large Language Models) là những hộp đen xác suất không thể phân biệt giữa các chỉ dẫn hợp lệ của nhà phát triển và các đầu vào độc hại. Khi kẻ tấn công đưa một lời nhắc vào trợ lý lập trình AI, chúng không chỉ cung cấp dữ liệu. Về cơ bản, chúng đang lập trình lại ứng dụng ngay lập tức. Đầu vào đã trở thành chính chương trình.

Điều này đánh dấu một bước ngoặt cơ bản so với mọi thứ chúng ta biết về bảo mật ứng dụng. Các tường lửa truyền thống dựa trên cú pháp, tìm kiếm các mẫu độc hại như DROP TABLE hoặc tags, fail completely against natural language attacks. Researchers have demonstrated “semantic substitution” techniques where replacing “API keys” with “apples” in prompts allows attackers to bypass filters entirely. How do you firewall intent when it’s disguised as harmless conversation?

Thực tế không cần nhấp chuột mà chẳng ai bàn đến

Điều mà hầu hết các nhóm bảo mật không hiểu là: tấn công chèn lệnh nhắc không yêu cầu người dùng phải gõ bất cứ thứ gì. Đây thường là các cuộc tấn công không cần nhấp chuột. Một tác nhân AI chỉ cần quét kho mã nguồn để thực hiện một tác vụ thông thường, xem xét yêu cầu kéo hoặc đọc tài liệu API là có thể kích hoạt cuộc tấn công mà không cần bất kỳ sự tương tác nào của con người.

Hãy xem xét tình huống này, dựa trên... các kỹ thuật mà các nhà nghiên cứu đã chứng minhKẻ xấu đã nhúng các chỉ thị ẩn vào các bình luận HTML trong tài liệu của một thư viện mã nguồn mở phổ biến. Mọi trợ lý AI phân tích mã này, dù là GitHub Copilot, Amazon CodeWhisperer hay bất kỳ trợ lý lập trình doanh nghiệp nào, đều trở thành công cụ thu thập thông tin đăng nhập tiềm năng. Một thư viện bị xâm phạm có thể dẫn đến hàng nghìn môi trường phát triển bị lộ.

Mối nguy hiểm không nằm ở chính mô hình LLM; mà là ở quyền hạn chúng ta trao cho nó. Ngay từ khoảnh khắc chúng ta tích hợp các mô hình này với các công cụ và API, cho phép chúng lấy dữ liệu, thực thi mã và truy cập các thông tin bí mật, chúng ta đã biến những trợ lý hữu ích thành những công cụ tấn công hoàn hảo. Rủi ro không tỷ lệ thuận với trí thông minh của mô hình; mà tỷ lệ thuận với khả năng kết nối của nó.

Vì sao phương pháp hiện tại sẽ thất bại?

Ngành công nghiệp hiện đang bị ám ảnh bởi việc "đồng bộ hóa" các mô hình và xây dựng các tường lửa phản hồi nhanh hơn. OpenAI bổ sung thêm các biện pháp bảo vệ. Anthropic tập trung vào trí tuệ nhân tạo dựa trên hiến pháp. Ai cũng đang cố gắng tạo ra các mô hình không thể bị đánh lừa.

Đây là một cuộc chiến không thể thắng.

Nếu một AI đủ thông minh để hữu ích, nó cũng đủ thông minh để bị đánh lừa. Chúng ta đang rơi vào cái mà tôi gọi là “bẫy lọc thông tin”: giả định rằng việc lọc thông tin đầu vào tốt hơn sẽ cứu chúng ta. Nhưng các cuộc tấn công có thể được che giấu dưới dạng văn bản vô hình trong các bình luận HTML, chôn sâu trong tài liệu hoặc được mã hóa theo những cách mà chúng ta chưa tưởng tượng ra. Bạn không thể lọc bỏ những gì bạn không thể hiểu theo ngữ cảnh, và ngữ cảnh chính là điều làm cho các mô hình học máy logic (LLM) trở nên mạnh mẽ.

Ngành công nghiệp cần chấp nhận một sự thật khó khăn: tiêm chủng kịp thời sẽ thành công. Câu hỏi đặt ra là điều gì sẽ xảy ra khi điều đó xảy ra.

Sự thay đổi kiến ​​trúc mà chúng ta cần

Hiện tại chúng tôi đang trong "giai đoạn vá lỗi", gấp rút bổ sung các bộ lọc đầu vào và quy tắc xác thực. Nhưng cũng giống như việc cuối cùng chúng ta nhận ra rằng để ngăn chặn tấn công SQL injection cần các truy vấn tham số hóa, chứ không phải chỉ là cải thiện khả năng thoát chuỗi, chúng ta cần một giải pháp kiến ​​trúc cho bảo mật AI.

Câu trả lời nằm ở một nguyên tắc nghe có vẻ đơn giản nhưng đòi hỏi phải suy nghĩ lại cách chúng ta xây dựng các hệ thống: các tác nhân AI không bao giờ được phép nắm giữ những bí mật mà chúng sử dụng.

Đây không phải là về việc quản lý thông tin xác thực tốt hơn hay các giải pháp kho lưu trữ được cải tiến. Vấn đề là nhận ra các tác nhân AI là những thực thể duy nhất, có thể xác minh được, chứ không phải là người dùng cần mật khẩu. Khi một tác nhân AI cần truy cập vào một tài nguyên được bảo vệ, nó nên:

1. Xác thực bằng cách sử dụng danh tính có thể kiểm chứng được (không phải bí mật được lưu trữ).

2. Nhận thông tin xác thực tức thời, chỉ có giá trị cho nhiệm vụ cụ thể đó.

3. Hãy thiết lập để thông tin đăng nhập đó tự động hết hạn trong vòng vài giây hoặc vài phút.

4. Đừng bao giờ lưu trữ hoặc thậm chí "nhìn thấy" những bí mật có thời hạn dài.

Một số phương pháp tiếp cận đang được đề xuất. Vai trò AWS IAM cho tài khoản dịch vụ, Nhận dạng khối lượng công việc của Google, Những bí mật đầy sức mạnh của HashiCorp VaultVà các giải pháp được xây dựng chuyên dụng như Zero Trust Provisioning của Akeyless đều hướng tới tương lai không có bí mật này. Chi tiết triển khai có thể khác nhau, nhưng nguyên tắc vẫn giữ nguyên: nếu AI không có bí mật nào để đánh cắp, thì việc tiêm mã độc vào hệ thống sẽ trở thành mối đe dọa nhỏ hơn đáng kể.

Môi trường phát triển năm 2027

Trong vòng ba năm tới, tệp .env sẽ trở nên lỗi thời trong quá trình phát triển phần mềm được hỗ trợ bởi trí tuệ nhân tạo. Các khóa API có thời gian tồn tại lâu dài nằm trong các biến môi trường sẽ được xem như cách chúng ta hiện nay xem mật khẩu dưới dạng văn bản thuần: một tàn tích đáng xấu hổ của một thời kỳ ngây thơ hơn.

Thay vào đó, mọi tác nhân AI sẽ hoạt động dưới sự phân tách quyền hạn nghiêm ngặt. Quyền truy cập chỉ đọc theo mặc định. Danh sách trắng hành động là tiêu chuẩn. Môi trường thực thi biệt lập là yêu cầu tuân thủ. Chúng ta sẽ ngừng cố gắng kiểm soát suy nghĩ của AI và tập trung hoàn toàn vào việc kiểm soát những gì nó có thể làm.

Đây không chỉ là sự tiến hóa về mặt kỹ thuật; mà còn là sự thay đổi cơ bản trong mô hình tin cậy. Chúng ta đang chuyển từ “tin tưởng nhưng phải kiểm chứng” sang “không bao giờ tin tưởng, luôn luôn kiểm chứng và giả định có sự xâm phạm”. Nguyên tắc đặc quyền tối thiểu, vốn được rao giảng từ lâu nhưng hiếm khi được thực hành, trở nên không thể thương lượng khi lập trình viên cấp dưới của bạn là một trí tuệ nhân tạo xử lý hàng ngàn dữ liệu đầu vào có khả năng độc hại mỗi ngày.

Sự lựa chọn mà chúng ta phải đối mặt

Việc tích hợp trí tuệ nhân tạo vào phát triển phần mềm là điều tất yếu và mang lại nhiều lợi ích. GitHub báo cáo rằng các nhà phát triển sử dụng Copilot hoàn thành nhiệm vụ nhanh hơn 55%.Những lợi ích về năng suất là có thật, và không một tổ chức nào muốn duy trì khả năng cạnh tranh lại có thể phớt lờ chúng.

Nhưng chúng ta đang đứng trước ngã ba đường. Chúng ta có thể tiếp tục con đường hiện tại bằng cách bổ sung thêm các biện pháp bảo vệ, xây dựng các bộ lọc tốt hơn, với hy vọng có thể tạo ra các tác nhân AI không thể bị đánh lừa. Hoặc chúng ta có thể thừa nhận bản chất cơ bản của mối đe dọa và xây dựng lại kiến ​​trúc an ninh của mình cho phù hợp.

Vụ việc của Samsung là một lời cảnh báo. Vụ xâm phạm tiếp theo sẽ không phải là ngẫu nhiên, và sẽ không chỉ giới hạn ở một công ty. Khi các tác nhân AI có được nhiều khả năng hơn và truy cập được nhiều hệ thống hơn, tác động tiềm tàng sẽ tăng lên theo cấp số nhân.

Câu hỏi đặt ra cho mọi CISO, mọi trưởng nhóm kỹ thuật và mọi nhà phát triển đều rất đơn giản: Khi tấn công chèn mã độc thành công trong môi trường của bạn (và điều này chắc chắn sẽ xảy ra), kẻ tấn công sẽ tìm thấy gì? Liệu chúng sẽ phát hiện ra một kho tàng thông tin đăng nhập có thời hạn dài, hay chỉ là một tác nhân AI, dù đã bị xâm nhập, nhưng không có bí mật nào để đánh cắp?

Lựa chọn mà chúng ta đưa ra ngay bây giờ sẽ quyết định liệu trí tuệ nhân tạo (AI) sẽ trở thành động lực thúc đẩy mạnh mẽ nhất cho sự phát triển phần mềm hay là lỗ hổng bảo mật lớn nhất mà chúng ta từng tạo ra. Công nghệ để xây dựng các hệ thống AI an toàn, không cần che giấu thông tin đã tồn tại. Câu hỏi đặt ra là liệu chúng ta có triển khai nó trước khi kẻ tấn công buộc chúng ta phải làm vậy hay không.

OWASP đã xác định tiêm nhanh là rủi ro hàng đầu. nằm trong Top 10 ứng viên hàng đầu cho chương trình LLM. NIST đang phát triển hướng dẫn. Về kiến ​​trúc không tin tưởng (zero trust). Các framework đã tồn tại. Vấn đề duy nhất là tốc độ triển khai so với sự phát triển của các cuộc tấn công.

Tiểu sử: Refael Angel là đồng sáng lập kiêm Giám đốc công nghệ của không có chìa khóaTại đây, ông đã phát triển công nghệ mã hóa Zero-Trust được cấp bằng sáng chế của công ty. Là một kỹ sư phần mềm giàu kinh nghiệm với chuyên môn sâu rộng về mật mã học và bảo mật đám mây, Refael trước đây từng là Kỹ sư Phần mềm Cao cấp tại trung tâm Nghiên cứu và Phát triển của Intuit ở Israel, nơi ông xây dựng các hệ thống quản lý khóa mã hóa trong môi trường đám mây công cộng và thiết kế các dịch vụ xác thực máy. Ông có bằng Cử nhân Khoa học Máy tính từ Cao đẳng Công nghệ Jerusalem, mà ông đã đạt được khi mới 19 tuổi.