Các chuyên gia cảnh báo rằng việc theo dõi lén lưu lượng truy cập chatbot AI có thể thu thập được nhiều thông tin từ người dùng.
Cụ thể, nếu tin tặc có khả năng theo dõi lưu lượng truy cập internet giữa nạn nhân và trợ lý AI dựa trên đám mây mà họ sử dụng, họ có thể dễ dàng tiếp cận cuộc trò chuyện. Và nếu cuộc trò chuyện đó chứa thông tin nhạy cảm, thông tin đó cũng sẽ rơi vào tay kẻ tấn công.
Cảnh báo đến từ các nhà nghiên cứu tại Phòng thí nghiệm Nghiên cứu AI Phòng thủ tại Đại học Ben-Gurion ở Israel. Họ đã phát hiện ra cách thực hiện cuộc tấn công kênh phụ nhằm vào các mục tiêu sử dụng các trợ lý mô hình ngôn ngữ lớn (LLM) phổ biến hiện nay, trừ Google Gemini. Trong số đó có ChatGPT, công cụ mạnh mẽ của OpenAI được biết đến rộng rãi.
Theo Trưởng phòng thí nghiệm Yisroel Mirsky, hiện nay, bất kỳ ai cũng có thể đọc các cuộc trò chuyện riêng tư được gửi từ ChatGPT và các dịch vụ khác bằng cách theo dõi lưu lượng truy cập.
Các đối tượng độc ác có thể tồn tại trên cùng một mạng Wi-Fi hoặc LAN với khách hàng (ví dụ: ở cùng một quán cà phê) hoặc thậm chí là tin tặc trên internet. Cuộc tấn công diễn ra một cách hoàn toàn bí mật, làm cho OpenAI hoặc khách hàng của họ không hề hay biết. Mặc dù OpenAI đã mã hóa lưu lượng truy cập của mình để ngăn chặn những kiểu tấn công nghe lén này, nhưng nghiên cứu của chúng tôi đã chỉ ra rằng cách OpenAI sử dụng mã hóa có vấn đề, dẫn đến việc nội dung của tin nhắn bị tiết lộ.
Để tối ưu hóa hiệu suất hoạt động của chatbot AI, các nhà phát triển đã mở ra cơ hội cho những kẻ xấu lợi dụng và đánh cắp thông tin. Thay vì gửi phản hồi toàn bộ cùng một lúc, chatbot sẽ chia nhỏ thành các token để tăng tốc độ xử lý. Mặc dù các token có thể được mã hóa, nhưng vẫn có khả năng bị phân tích bởi kẻ tấn công do chúng được gửi tuần tự ngay khi được tạo ra.
Các chuyên gia nghiên cứu đã thực hiện phân tích về kích thước, chiều dài và các yếu tố khác của token... và điều chỉnh sau đó, để giúp các phản hồi được giải mã sao cho giống hệt với những gì nạn nhân nhìn thấy.
Để đối phó với chiến thuật tấn công này, các chuyên gia đề xuất cho các nhà phát triển thực hiện một trong hai biện pháp: ngừng gửi từng token hoặc biến chúng thành gói tin lớn nhất có thể, làm cho việc phân tích trở nên không thể thực hiện được.
