Google cho biết chatbot AI Gemini đang đối mặt với "các cuộc tấn công chưng cất" quy mô lớn

Chatbot AI Gemini của Google đã trở thành mục tiêu của một vụ đánh cắp thông tin quy mô lớn, với những kẻ tấn công liên tục gửi các câu hỏi đến hệ thống để sao chép cách thức hoạt động của nó. Chỉ riêng một chiến dịch đã gửi hơn 100,000 truy vấn đến chatbot, cố gắng khai thác các mô hình bí mật giúp nó thông minh.

Công ty báo cáo vào thứ Năm rằng những cuộc tấn công "chưng cất" (distillation attacks) này đang ngày càng trở nên tồi tệ hơn. Những kẻ xấu gửi hàng loạt câu hỏi liên tiếp để tìm hiểu logic đằng sau các phản hồi của Gemini. Mục tiêu của chúng rất đơn giản: đánh cắp công nghệ của Google để xây dựng hoặc cải thiện hệ thống AI của riêng chúng mà không phải chi hàng tỷ đô la cho việc phát triển.

Google tin rằng hầu hết những kẻ tấn công là các doanh nghiệp tư nhân hoặc nhà nghiên cứu muốn vượt lên mà không cần phải làm việc chăm chỉ. Các cuộc tấn công đến từ khắp nơi trên thế giới, theo báo cáo của công ty. John Hultquist, người đứng đầu Nhóm Tình báo Mối đe dọa của Google, cho biết các công ty nhỏ hơn sử dụng công cụ AI tùy chỉnh có thể sẽ sớm phải đối mặt với các cuộc tấn công tương tự.

Các công ty công nghệ đã đổ hàng tỷ đô la vào việc xây dựng chatbot AI của họ. Cơ chế hoạt động bên trong của các hệ thống này được coi như viên ngọc quý. Ngay cả khi đã có các biện pháp phòng thủ để phát hiện những cuộc tấn công này, các hệ thống AI lớn vẫn là mục tiêu dễ dàng vì bất kỳ ai có kết nối internet đều có thể trò chuyện với chúng.

Năm ngoái, OpenAI chỉ trích công ty Trung Quốc DeepSeek, tuyên bố rằng công ty này đã sử dụng phương pháp chưng cất để cải thiện các mô hình của mình. Cryptopolitan đưa tin vào ngày 30 tháng 1 rằng Italy và Ireland đã cấm DeepSeek sau khi OpenAI cáo buộc công ty Trung Quốc này sử dụng phương pháp chưng cất để đánh cắp các mô hình AI của mình. Kỹ thuật này cho phép các công ty sao chép công nghệ đắt tiền với một phần nhỏ chi phí.

Tại sao những kẻ tấn công làm điều này?

Yếu tố kinh tế rất tàn khốc. Xây dựng một mô hình AI hiện đại tốn hàng trăm triệu hoặc thậm chí hàng tỷ đô la. DeepSeek được cho là đã xây dựng mô hình R1 với chi phí khoảng sáu triệu đô la bằng phương pháp chưng cất, trong khi việc phát triển ChatGPT-5 vượt quá hai tỷ đô la, theo các báo cáo ngành. Đánh cắp logic của một mô hình giảm khoản đầu tư khổng lồ đó xuống gần như bằng không.

Nhiều cuộc tấn công vào Gemini nhắm vào các thuật toán giúp nó "lý luận" hoặc xử lý thông tin, Google cho biết. Các công ty đào tạo hệ thống AI của riêng họ trên dữ liệu nhạy cảm – như 100 năm chiến lược giao dịch hoặc thông tin khách hàng – hiện đang phải đối mặt với mối đe dọa tương tự.

"Giả sử LLM của bạn đã được đào tạo trên 100 năm tư duy bí mật về cách bạn giao dịch. Về mặt lý thuyết, bạn có thể chưng cất một phần điều đó," Hultquist giải thích.

Tin tặc nhà nước tham gia cuộc săn lùng

Vấn đề vượt xa những công ty khao khát tiền bạc. APT31, một nhóm tin tặc chính phủ Trung Quốc bị Mỹ trừng phạt vào tháng 3 năm 2024, đã sử dụng Gemini vào cuối năm ngoái để lên kế hoạch các cuộc tấn công mạng thực tế nhắm vào các tổ chức Mỹ.

Nhóm này đã kết hợp Gemini với Hexstrike, một công cụ tin tặc nguồn mở có thể chạy hơn 150 chương trình bảo mật. Họ phân tích các lỗ hổng thực thi mã từ xa, cách vượt qua bảo mật web và các cuộc tấn công SQL injection – tất cả đều nhắm vào các mục tiêu cụ thể của Mỹ, theo báo cáo của Google.

Cryptopolitan đã đưa tin về các mối lo ngại bảo mật AI tương tự trước đó, cảnh báo rằng tin tặc đang khai thác các lỗ hổng AI. Vụ APT31 cho thấy những cảnh báo đó hoàn toàn chính xác.

Hultquist chỉ ra hai mối lo ngại chính. Đối thủ hoạt động trong toàn bộ cuộc xâm nhập với sự trợ giúp tối thiểu từ con người, và tự động hóa việc phát triển công cụ tấn công. "Đây là hai cách mà đối thủ có thể có được lợi thế lớn và di chuyển qua chu trình xâm nhập với sự can thiệp tối thiểu của con người," ông nói.

Khoảng thời gian giữa việc phát hiện điểm yếu của phần mềm và triển khai bản vá, được gọi là khoảng trống bản vá, có thể mở rộng đáng kể. Các tổ chức thường mất vài tuần để triển khai các biện pháp phòng thủ. Với AI Agent tự động tìm kiếm và kiểm tra các lỗ hổng, những kẻ tấn công có thể di chuyển nhanh hơn nhiều.

"Chúng ta sẽ phải tận dụng các lợi thế của AI và ngày càng loại bỏ con người khỏi vòng lặp, để chúng ta có thể phản ứng ở tốc độ máy móc," Hultquist nói với The Register.

Rủi ro tài chính là rất lớn. Báo cáo vi phạm dữ liệu năm 2024 của IBM cho thấy trộm cắp tài sản trí tuệ hiện khiến các tổ chức tốn $173 cho mỗi bản ghi, với các vi phạm liên quan đến tài sản trí tuệ tăng 27% so với cùng kỳ năm trước. Trọng số mô hình AI đại diện cho các mục tiêu có giá trị cao nhất trong nền kinh tế ngầm này – một mô hình tiên tiến bị đánh cắp có thể có giá hàng trăm triệu đô la trên thị trường chợ đen.

Google đã đóng các tài khoản liên quan đến các chiến dịch này, nhưng các cuộc tấn công vẫn tiếp tục đến từ "khắp nơi trên toàn cầu," Hultquist cho biết. Khi AI trở nên mạnh mẽ hơn và nhiều công ty phụ thuộc vào nó hơn, kỳ vọng cuộc chạy đua vàng kỹ thuật số này sẽ trở nên mạnh mẽ hơn. Câu hỏi không phải là liệu có thêm các cuộc tấn công hay không, mà là liệu những người bảo vệ có thể theo kịp hay không.

Nâng cao chiến lược của bạn với sự hướng dẫn + ý tưởng hàng ngày - 30 ngày truy cập miễn phí vào chương trình giao dịch của chúng tôi