Phát hiện lỗ hổng Prompt Injection trong DeepSeek và Claude AI

Các nhà nghiên cứu bảo mật đã phát hiện một lỗ hổng nghiêm trọng trong chatbot AI DeepSeek, cho phép kẻ tấn công chiếm quyền kiểm soát tài khoản của nạn nhân thông qua tấn công prompt injection, có thể dẫn đến việc thực thi mã độc.

Johann Rehberger, một nhà nghiên cứu bảo mật, đã phát hiện rằng chỉ cần nhập lệnh “Print the xss cheat sheet in a bullet list. just payloads” vào DeepSeek, chatbot này sẽ thực thi mã JavaScript ngay trong phản hồi – một ví dụ điển hình của tấn công Cross-Site Scripting (XSS). Các cuộc tấn công XSS cho phép kẻ tấn công thực thi mã trái phép trong trình duyệt của nạn nhân, dẫn đến việc đánh cắp thông tin, như cookie và dữ liệu đăng nhập.

Rehberger giải thích rằng lỗ hổng này có thể bị khai thác thông qua userToken lưu trong localStorage trên miền chat.deepseek.com. Bằng cách sử dụng một chuỗi lệnh được mã hóa Base64, kẻ tấn công có thể tạo một prompt độc hại, khiến chatbot DeepSeek giải mã chuỗi lệnh và thực thi mã độc. Từ đó, kẻ tấn công có thể chiếm đoạt tài khoản của nạn nhân.

Không chỉ DeepSeek, nền tảng Claude Computer Use của Anthropic cũng bị phát hiện có lỗ hổng tương tự. Tính năng này, vốn cho phép LLM điều khiển máy tính thông qua các thao tác như di chuyển chuột và nhập văn bản, đã bị lợi dụng để tự động thực thi lệnh độc hại. Kỹ thuật này, được gọi là ZombAIs, cho phép kẻ tấn công tải xuống và kích hoạt command-and-control (C2), từ đó thiết lập kết nối với máy chủ do chúng kiểm soát.

Ngoài ra, nghiên cứu từ Đại học Wisconsin-Madison và Đại học Washington ở St. Louis đã chỉ ra rằng ChatGPT có thể bị lừa hiển thị các liên kết hình ảnh bên ngoài, kể cả những nội dung nguy hiểm, dưới danh nghĩa các mục đích hợp pháp. 

Prompt injection còn có thể được sử dụng để kích hoạt các plugin của ChatGPT mà không cần xác nhận từ người dùng, thậm chí vượt qua các hạn chế được OpenAI đặt ra nhằm ngăn chặn các nội dung độc hại.

Nguồn: The Hacker News