Bộ ba chết người - Lethal Trifecta

Ý kiến trên Hacker News

• Nếu một LLM đọc được một trường nào đó mà chủ thể X có thể kiểm soát, thì cần mặc định coi agent gọi LLM đó cũng đang nằm dưới quyền kiểm soát của X, trừ khi có thể phản chứng, và quyền của agent cũng nên bị giới hạn ở phần giao giữa quyền của X và quyền hiện tại của người gọi. Nếu nó đọc vé hỗ trợ của người dùng ẩn danh, thì không nên cho phép LLM làm hành vi mà người dùng ẩn danh không được phép làm. Nếu đọc email của nhiều người dùng, thì chỉ nên cho phép hành vi được phép cho tất cả. Nếu muốn tiếp cận linh hoạt hơn, tác giả đề xuất kiến trúc tách agent, ủy quyền và lọc. Sub-agent nên đọc dữ liệu và tạo danh sách có cấu trúc của các yêu cầu thông tin hoặc hành động được yêu cầu; sub-agent này nên được xem như đại diện của người dùng đã gửi dữ liệu. Thông qua bộ lọc không dùng AI, mọi yêu cầu không có quyền đều phải bị từ chối; và nhấn mạnh rằng không một dữ liệu nào có thể trở thành chỉ thị mà chưa qua bộ lọc thì được truyền đi. Dữ liệu đi qua bộ lọc này phải được cấu trúc hóa nghiêm ngặt; ví dụ, nếu người dùng yêu cầu danh sách thông tin, bộ lọc bắt buộc phải kiểm tra quy tắc kiểm soát truy cập. Cuối cùng, main agent chỉ nên hoạt động dựa trên các yêu cầu đã lọc này, và tương tác bên ngoài chỉ nên dựa trên dữ liệu đã lọc. Nói chung, đây là việc quay lại đúng khái niệm ban đầu của agent: thương lượng vai trò đại diện giữa nhiều chủ thể. Điều quan trọng là phải chấp nhận rằng trong thương lượng này không được có trao đổi ngôn ngữ tự nhiên tùy tiện.
  • Tác giả cho rằng đó là cách mô tả chính xác quan điểm trên, nêu đúng trọng tâm.
  • Tác giả đồng ý với mọi phần. Tuy nhiên, tác giả đặt câu hỏi: về các điểm có khả năng rò rỉ bí mật nội bộ vào dữ liệu tiền huấn luyện của LLM mà không cần input bên ngoài, dù rất hiếm, thì nên nghĩ gì? Tác giả cho rằng ngay cả khi tự huấn luyện LLM cũng vẫn khó chứng minh được dữ liệu huấn luyện an toàn; vì vậy đề xuất rằng xử lý dữ liệu nhạy cảm nên được thực hiện chỉ trong môi trường hoàn toàn cô lập khỏi bên ngoài. Cuối cùng, liệu nên vận hành LLM xử lý dữ liệu công khai và LLM xử lý dữ liệu nhạy cảm trong các container riêng biệt, rồi khi cần liên kết hai môi trường này phải do con người kiểm soát trực tiếp hay có cách nối chúng một cách “an toàn về mặt toán học” không?
  • Tác giả gợi ý ngắn gọn rằng cần có khái niệm taintllm (tham chiếu: taint tracking là kỹ thuật bảo mật theo dõi luồng dữ liệu không đáng tin cậy).
  • Việc để sub-agent đọc dữ liệu rồi tạo cấu trúc yêu cầu cuối cùng, về bản chất, kẻ tấn công chỉ cần học cách thoát ra. Phương thức này giống như tấn công thoát khỏi VM hoặc jail; bản thân sub-agent xử lý dữ liệu không đáng tin ngay từ đầu nên output của nó cũng không đáng tin. Nói cách khác, dữ liệu không đáng tin bị đẩy lên AI cấp cao. Nhà văn chêm thêm rằng đọc tiểu thuyết SF dystopian của Neal Asher có thể giúp chuẩn bị cho thế giới như vậy.
• Đây chính là “confused deputy problem”. Mô hình bảo mật dựa trên capability đã được đề xuất từ lâu như một phương án thay thế, nhưng thực tế gần như chưa được dùng. Vì không thể loại bỏ input người dùng không đáng tin cậy, nên hệ thống không nên đồng thời có cả chức năng “dữ liệu cá nhân” và “giao tiếp công cộng”. Ý tưởng cho rằng một bộ lọc thông minh kiểu “chỉ cho qua yêu cầu hợp lý” sẽ đảm bảo an toàn cần phải bỏ; ngay cả khi đúng, cấu trúc này vẫn khiến luôn có người khẳng định rằng cần dựng bộ lọc như vậy vì lý do chính trị hoặc thị trường. Liên kết giải thích về confused deputy problem và capability-based security: Confused Deputy Problem, Capability-based Security
• Cách tiếp cận theo nguyên tắc cốt lõi ở đây được đánh giá là rất tốt. Phần lớn các giải thích về tấn công lại chỉ làm người ta bám vào những vá tạm thời không hoàn chỉnh. Với cách trình bày này, “Lethal Trifecta” bị phá vỡ là không thể sửa triệt để về bản chất; nếu buộc phải phá, thì cuối cùng phải chấp nhận phần rủi ro còn lại nhỏ nhất sau khi đánh giá và giảm thiểu.
• Tác giả cho biết vẫn đang sửa lỗi SQL injection và database command injection trong API do dev mới và vibe coder tạo ra. Bảo vệ ITT/TTI, TTS/STT (có lẽ input→text, text→speech) đặc biệt rườm rà; và anh ấy cho rằng việc có hệ thống bảo mật toàn diện cho các vector như vậy vẫn còn khá xa.
  • Tác giả đề xuất viết prompt phát hiện SQL injection theo từng source code model, hoặc viết prompt phát hiện các vấn đề bảo mật khác.
• Ý tưởng gần đây được nêu ra là: nếu kiểm soát được vector liên quan đến instruction following và ức chế khi có dữ liệu không đáng tin được chèn vào, thì LLM có thể nhận thức thông tin mà không chuyển thẳng thành hành động. Việc chuyển trạng thái bật/tắt dập tắt có thể do tiền xử lý xác định qua dấu phân cách như dấu nháy, và cách chắc chắn hơn là dùng prepared statement với placeholder. Nếu cách này hoạt động tốt, tác giả nghĩ rằng dù AI vẫn tiếp xúc với dữ liệu không đáng tin, thì có thể ngăn chặn thực thi dữ liệu theo dạng nguy hiểm.
• Tác giả thắc mắc tại sao Perplexity Comet và Dia dường như không bị ảnh hưởng bởi vấn đề rò rỉ dữ liệu này, đồng thời chỉ ra rằng nhìn bề ngoài chúng có vẻ vi phạm hoàn toàn nguyên tắc lethal trifecta khi trộn lịch sử trình duyệt, dữ liệu web và LLM.
  • Có thể chưa ai tấn công rõ ràng chúng. Ngay cả khi đã có nỗ lực tấn công, người dùng khó có thể biết; ví dụ, nếu không theo dõi các request hình ảnh 1x1 pixel hoặc lưu lượng mạng đáng ngờ, rất khó để xác minh.
  • Dia cho biết theo thời điểm hiện tại kiến trúc của họ không dễ bị tấn công theo kiểu rò rỉ dữ liệu này; chi tiết có thể được bảo vệ bằng NDA. Đây là quan điểm cá nhân của tác giả.
• Tác giả nói rằng việc tóm lược nội dung bài thuyết trình rất công phu, nhưng ghi chép như vậy có giá trị lưu lại lâu hơn link video nên rất đáng cảm kích.
  • Công cụ có thể biến một buổi trình bày 15 phút thành tài liệu trong 1 giờ 30 phút được chia sẻ, cùng link giới thiệu công cụ: Giới thiệu công cụ annotated-presentations, Liên kết dùng công cụ
• Tác giả cho biết trong MCP server/agent toolkit phổ biến, vấn đề Lethal Trifecta xuất hiện thường xuyên hơn mong đợi. Với ai quan tâm luyện threat modeling, tác giả cho rằng mcp-scan hỗ trợ phân tích kịch bản liên quan: Phân tích toxic flow và mcp-scan
• Tác giả kỳ vọng vấn đề này sẽ thúc đẩy việc áp dụng OS dựa trên capability ngày càng nhiều. Nếu runtime yêu cầu whitelist theo từng ứng dụng, có thể đây là biện pháp gần như tối ưu ở mức hiện tại.
  • Tác giả đặt câu hỏi tính khả dụng: nếu cài OS dựa trên capability từ nguồn đáng tin cậy qua boot media, liệu hầu hết app có chạy trơn tru ngay và trải nghiệm GUI có sẵn liền không?
  • Tác giả lo ngại khi chỉ dùng công cụ tiện lợi như audit2allow (công cụ quản lý quyền tự động cho SELinux), thực tế có thể làm lơ đi việc chỉ định quyền tối thiểu, dẫn tới mở rộng bề mặt tấn công. audit2allow mô tả
  • Hình thức bảo mật này dù tốt, nhưng nếu quyền cần thiết trùng với hành vi gian lận hoặc lừa đảo thì không thể phòng hết mọi rủi ro.
  • Tác giả hỏi có ai từng ghi âm trực tiếp hoặc dùng thực tế hệ thống dựa trên capability chưa. Từ góc nhìn người dùng, tác giả cho rằng hệ thống này gần như là ác mộng; trên OS hiện đại, ai cũng đã quá quen với các popup yêu cầu nâng quyền kiểu “Nhập mật khẩu quản trị viên” lặp đi lặp lại. Anh ấy than phiền rằng luôn phải chịu popup kiểu “chương trình yêu cầu quyền”, và khi từ chối thì app không chạy được. Website yêu cầu cho phép vị trí, cho phép cookie cũng là phần kéo dài của vấn đề này; ví dụ một website xem bầu trời đã xác định vị trí của tác giả qua IP. Tác giả cũng đặt câu hỏi liệu IDE của Mac có thật sự cần quyền admin để cài đặt hay không, và cho rằng dù về lý thuyết capability-based OS nghe rất tốt, nhưng khả năng dùng thực tế vẫn đáng lo ngại.
  • Tác giả lịch sự nói rằng khó có thể đồng ý với sự lạc quan như vậy