- AI tác tử được tích hợp ở cấp độ hệ điều hành bị chỉ ra là rủi ro lớn vì có thể ghi lại toàn bộ hoạt động số cá nhân và bị lộ trước mã độc
- Meredith Whittaker và Udbhav Tiwari của Signal đã phát biểu tại Chaos Communication Congress lần thứ 39 rằng loại AI này đều dễ tổn thương trên cả phương diện bảo mật, độ tin cậy và giám sát
- Tính năng Recall của Microsoft định kỳ chụp lại toàn bộ màn hình người dùng và lưu thành cơ sở dữ liệu; thông tin này có thể bị lộ trước mã độc hoặc các cuộc tấn công prompt injection
- Whittaker đưa ra các con số cho thấy AI tác tử là một hệ thống xác suất nên khi số bước tăng lên thì độ chính xác giảm mạnh, và độ tin cậy khi thực hiện tác vụ phức tạp là thấp
- Hai người kêu gọi dừng triển khai tràn lan, đặt mặc định là opt-out và tăng cường minh bạch; nếu không, toàn bộ ngành AI có thể rơi vào khủng hoảng do mất niềm tin từ người tiêu dùng
Rủi ro bảo mật và giám sát của AI tác tử
- Khi AI tác tử được tích hợp ở cấp độ hệ điều hành, toàn bộ đời sống số cá nhân có thể bị lưu vào cơ sở dữ liệu, làm tăng khả năng bị mã độc truy cập
- Cơ sở dữ liệu này có thể bao gồm toàn bộ hành vi của người dùng, văn bản, thời gian sử dụng ứng dụng và các hoạt động đang tập trung
- Trong một số trường hợp, tính năng này có thể được tự động kích hoạt mà không cần sự đồng ý, làm dấy lên lo ngại lớn về xâm phạm quyền riêng tư
- Ban lãnh đạo Signal chỉ ra rằng cấu trúc này đồng thời gây ra sự bất ổn về bảo mật và rủi ro giám sát
Trường hợp Microsoft Recall
- Microsoft đang đưa AI tác tử vào Windows 11 thông qua tính năng Recall
- Recall chụp ảnh màn hình vài giây một lần, thực hiện OCR và phân tích ngữ nghĩa để tích lũy mọi hoạt động của người dùng thành một cơ sở dữ liệu
- Dữ liệu này bao gồm dòng thời gian hành vi, văn bản gốc, thời gian tập trung theo từng ứng dụng và phân loại chủ đề
- Tiwari chỉ ra rằng cách tiếp cận này không thể ngăn chặn các cuộc tấn công bằng mã độc và prompt injection ẩn
- Những lỗ hổng này có thể vượt qua mã hóa đầu cuối (E2EE)
- Signal đã bổ sung tính năng chặn ghi màn hình trong chính ứng dụng của mình, nhưng đánh giá đây không phải là giải pháp căn bản
Vấn đề độ tin cậy của AI tác tử
- Whittaker giải thích rằng AI tác tử là một hệ thống xác suất, nên khi số bước tăng lên thì độ chính xác giảm mạnh
- Nếu mỗi bước có độ chính xác 95%, thì tỷ lệ thành công của tác vụ 10 bước chỉ khoảng 59,9%, còn 30 bước là khoảng 21,4%
- Với mức độ chính xác thực tế hơn là 90%, tỷ lệ thành công của tác vụ 30 bước giảm mạnh xuống còn 4,2%
- Bà cũng nhắc rằng ngay cả các mô hình tác tử hàng đầu hiện nay cũng cho thấy tỷ lệ thất bại 70%
- Vì vậy, công nghệ này hiện vẫn có độ tin cậy rất thấp để giao phó các tác vụ tự động hóa phức tạp
Các biện pháp cải thiện cho quyền riêng tư và bảo mật
- Whittaker cho biết hiện tại chưa có cách nào bảo đảm trọn vẹn quyền riêng tư, bảo mật và quyền kiểm soát, mà chỉ có thể xử lý tạm thời (triage)
- Tuy vậy, bà cho rằng có thể giảm thiểu rủi ro bằng các biện pháp sau
- Dừng việc triển khai AI tác tử một cách tràn lan, đồng thời hạn chế để mã độc không thể truy cập vào cơ sở dữ liệu văn bản thuần
- Thiết lập opt-out làm mặc định, chỉ để nhà phát triển chủ động opt-in khi cần
- Bảo đảm tính minh bạch về cách hệ thống AI vận hành và quy trình xử lý dữ liệu, đồng thời thiết kế để có thể kiểm toán ở mức chi tiết
- Nếu những biện pháp này không được thực hiện, bản thân kỷ nguyên AI tác tử có thể bị đe dọa do mất niềm tin từ người tiêu dùng
Cảnh báo đối với toàn ngành
- Ban lãnh đạo Signal cảnh báo rằng AI tác tử đang phát triển trong bối cảnh được đầu tư quá mức và bị thổi phồng quá đà, nhưng
nếu không giải quyết được các vấn đề về bảo mật, độ tin cậy và giám sát thì toàn bộ ngành sẽ đối mặt với khủng hoảng
- Các doanh nghiệp cần ưu tiên bảo vệ người dùng và bảo đảm minh bạch hơn là chỉ tập trung vào đổi mới công nghệ
1 bình luận
Ý kiến trên Hacker News
Đây không phải vấn đề của AI mà là vấn đề của hệ điều hành
AI kém đáng tin hơn nhiều so với phần mềm do con người viết và rà soát, nên nó đang phơi bày các khiếm khuyết của hệ thống hiện có
Cả UNIX lẫn Microsoft đều chưa triển khai tốt việc cô lập tiến trình, và ngay cả khi mô hình bảo mật được thiết kế tốt thì điều đó cũng không giúp bán máy tính hay hệ điều hành hơn
Có những ví dụ tốt như Plan 9, SEL4, Fuschia, Helios, nhưng vấn đề là những người có quyền quyết định thiếu tầm nhìn
Việc không hiểu sandboxing và các mô hình bảo mật hiện đại nên bị xem là điều đáng xấu hổ
Khi triển khai phần mềm vào môi trường có bảo mật cao, mặc định có thể không giao tiếp được với bất cứ thứ gì và hệ thống tệp là bất biến nên thậm chí còn không chạy nổi
Nếu tính cả chứng chỉ TLS hay cấu hình CA thì việc triển khai trở thành cơn ác mộng
Để triển khai an toàn một tính năng như Recall cần có kiểm soát quyền hạn cực kỳ chi tiết, nhưng trên thực tế rất có thể sẽ bất tiện như UAC
Làm cho AI hoạt động như một trợ lý cá nhân mà vẫn an toàn và đáng tin cậy là một bài toán rất khó
Phần lớn được thiết kế trước thời Internet, nên giờ làm lại từ đầu gần như là bất khả thi vì vấn đề tương thích và chi phí
Container hay VM rốt cuộc chỉ là giải pháp chắp vá đặt lên trên hệ thống cũ
Dù nhét vào trình duyệt, email client hay word processor thì nó vẫn có hành vi khó đoán
Cuối cùng, vấn đề cốt lõi là đã chọn “tích hợp một LLM không thể bảo mật được”
Cô lập hoàn toàn là quá tốn kém về tài nguyên và độ phức tạp, và đó cũng là lý do các hệ thống như Qubes không thể phổ biến rộng rãi
Về căn bản cần thiết kế lại những giao diện có bề mặt tấn công thấp, nhưng đó là chuyện phải thay đổi toàn bộ hệ sinh thái
Signal ưu tiên bảo mật và quyền riêng tư là hoàn toàn hợp lý
Trong khi đó, vai trò của IT doanh nghiệp là quản trị rủi ro
Hai vai trò này hoàn toàn khác nhau, và tiêu chuẩn bảo mật tuyệt đối của Signal phù hợp với chính sứ mệnh của họ
Tôi tò mò không biết quản trị viên IT nên tiếp cận thế nào thì mới khôn ngoan để kiểm soát rủi ro của tổ chức
Tôi nhớ là đã từng thấy một dự án trông như tiền thân của Recall ở Microsoft Research vào năm 2009
Nó tên là PersonalVibe, và được thiết kế để ghi lại hành vi người dùng vào DB cục bộ nhưng không gửi ra bên ngoài
Liên kết dự án
Trong môi trường doanh nghiệp, sức hấp dẫn của ‘Agentic AI’ là rất lớn, nhưng tính dự đoán được mới là giá trị quan trọng hơn
Nếu nó chỉ hoạt động đúng 90% và 10% còn lại gây rò rỉ dữ liệu hoặc hallucination, thì đó không phải agent mà là nguồn rủi ro
Hiện tại vẫn đang ở giai đoạn mà human-in-the-loop là bắt buộc
Doanh nghiệp thì quản lý rủi ro nội bộ, còn rủi ro bên ngoài thì đẩy qua điều khoản hay EULA
Phần lớn mọi người chỉ bấm vì nghĩ rằng “tin nhà cung cấp” hoặc “công ty sẽ chặn giúp”
Ban lãnh đạo dễ bị cám dỗ trì hoãn rủi ro AI sang tương lai để đổi lấy thành tích ngắn hạn
Những tính năng như Recall là ý tưởng hết sức vô lý
Anthropic và ChatGPT cũng đang cố hấp thụ toàn bộ dữ liệu công việc của người dùng vào mô hình
Điều cần thiết lúc này là quyền riêng tư có thể kiểm chứng ở giai đoạn suy luận
Nếu dữ liệu của tôi bị gửi đi thì nó phải được bảo vệ bằng cách có thể kiểm chứng được
Mọi người đang giao toàn bộ dữ liệu của mình cho những công ty mà họ không hề biết rõ
Nếu nó chỉ hoạt động khi tôi muốn và ở dạng ứng dụng di động không tích hợp vào hệ điều hành thì có lẽ ổn
Nó có thể hữu ích để lưu lại lịch sử công việc khi đang xử lý sự cố
Một môi trường không đi ra mạng bên ngoài là đáp án duy nhất
Khó mà kỳ vọng một cá nhân với vài trăm đô có thể đạt mức quyền riêng tư tương đương
Các công ty AI đã nhiều năm thu thập dữ liệu ở mức gần như bất hợp pháp, còn chính phủ thì không quan tâm
Tiến bộ công nghệ đang mang cảm giác như một “cuộc đua xuống đáy”
30 năm nghiên cứu bảo mật dường như trở nên vô nghĩa
Trình duyệt AI xử lý cookie và token xác thực đã khiến bề mặt tấn công phình ra vô hạn
Ý tưởng “hãy trao mọi quyền truy cập cho một hệ thống mà ta còn không hiểu nó hoạt động thế nào” là điên rồ
AI có thể đề xuất hành động, nhưng quyết định luôn phải được thực thi sau khi người dùng xác nhận
Ví dụ, nếu phát hiện yêu cầu hủy đăng ký thì nó nên hỏi kiểu “AI đã suy luận như vậy, có đúng không?”
Tuy nhiên con người có vấn đề tâm lý là dễ nhầm một hệ thống đúng 90% thành đúng 100%
Ví dụ, một yêu cầu tự nhiên như “các bài viết về Foo nhưng loại trừ Bar” được chuyển thành truy vấn tìm kiếm có cấu trúc để đề xuất lại
Tất nhiên nếu có tập dữ liệu độc hại thì vẫn nguy hiểm, nhưng còn tốt hơn rất nhiều so với việc tích hợp LLM một cách vô tội vạ
Tôi tự hỏi liệu có thể ngăn hành vi không mong muốn bằng cách chạy AI trong tài khoản người dùng bị cô lập,
dùng firewall dựa trên whitelist và overlay file system hay không
Điều cần thiết là mô hình zero trust ở cấp độ tương tác
Phải khiến AI thực hiện được công việc mà không trực tiếp nhìn thấy dữ liệu nhạy cảm
Nếu kết hợp với secure enclave phần cứng thì có thể giải quyết tận gốc vấn đề quyền riêng tư
Đây chính xác là bài viết khớp với điều tôi đã yêu cầu hôm qua
Liên kết liên quan