Các tác nhân AI đã cho thấy sự dễ bị tổn thương đối với các cuộc tấn công vào bộ định tuyến

Bảo mật AI: Lỗ hổng nghiêm trọng trong chuỗi các tác nhân AI – Bộ định tuyến

Bộ định tuyến (đại lý API) kết nối ứng dụng đại lý cục bộ với mô hình AI đám mây là một điểm tấn công ít được biết đến nhưng cực kỳ nguy hiểm. Các nhà nghiên cứu từ Đại học California, Santa Barbara đã chứng minh mức độ dễ dàng khai thác lỗ hổng này.

Bộ định tuyến AI là gì?
* Vai trò – proxy giữa ứng dụng khách và nhà cung cấp mô hình (OpenAI, Anthropic, Google).
* Truy cập – toàn quyền vào mỗi gói JSON đi qua.
* Bảo mật – hầu hết các nhà cung cấp lớn không áp dụng tính toàn vẹn dữ liệu mã hóa; do đó bộ định tuyến có thể thay đổi yêu cầu mà không bị phát hiện.

Cách nhà nghiên cứu kiểm tra mối đe dọa
Bước | Hành động | Kết quả
---|---|---
1 | Truy cập 28 bộ định tuyến thương mại (Taobao, Xianyu, Shopify) và phân tích 400 bộ miễn phí từ cộng đồng. | Nhận thấy nhiều điểm tiềm năng nguy hiểm.
2 | Đưa payload vào, thay đổi URL của trình cài đặt hoặc tên gói thành tài nguyên do họ kiểm soát. JSON đã được sửa vẫn vượt qua các kiểm tra tự động; một lệnh `curl` đã được chỉnh sửa chạy mã tùy ý trên máy khách.
3 | API key OpenAI bị rò rỉ và quan sát cách kẻ tấn công sử dụng nó để tạo 100 triệu token GPT‑5.
4 | Phát hiện thông tin đăng nhập trong các phiên Codex.
5 | Triển khai 20 bộ định tuyến đặc biệt dễ bị tổn thương trên 20 địa chỉ IP và giám sát hoạt động của chúng. | 40 000 lần cố gắng truy cập trái phép, ~2 tỷ token được trả phí, 99 bộ thông tin đăng nhập trong 440 phiên Codex (398 dự án). Trong 401/440 phiên, chế độ tự trị YOLO đã bật, cho phép tác nhân thực hiện mọi lệnh mà không cần xác nhận.

Tại sao điều này nguy hiểm
* Đơn giản: không cần giả mạo chứng chỉ; khách hàng tự chọn điểm cuối API.
* Không có kiểm tra toàn vẹn: bộ định tuyến độc hại có thể thay đổi lệnh mà tác nhân thực thi.
* Dịch vụ không an toàn: ngay cả những trung gian “đáng tin cậy” cũng có thể trở thành vector tấn công.

Cách bảo vệ mà không cần sự can thiệp của nhà cung cấp
1. Ký chữ trả về từ mô hình – là giải pháp lý tưởng, nhưng hiện chưa có ở các nhà cung cấp lớn (tương tự DKIM cho email).
2. Bảo mật đa lớp phía khách hàng – xem mỗi bộ định tuyến như một kẻ thù tiềm năng:
* Xác thực cấu trúc và nội dung JSON.
* Giới hạn URL, phương thức HTTP và payload.
* Ghi log và giám sát hoạt động đáng ngờ.
3. Hạn chế truy cập tới API key – lưu trữ trong kho an toàn, áp dụng vòng quay và quyền tối thiểu.

Kết luận
Không thể xác minh nguồn gốc lệnh từ mô hình AI mà không có chữ ký trả về của nhà cung cấp. Trước khi các cơ chế như vậy xuất hiện, người dùng phải bảo vệ mình ở phía khách hàng, kiểm tra kỹ mọi dịch vụ trung gian và triển khai chính sách an ninh nghiêm ngặt.