Cảnh báo của Microsoft hôm thứ Ba rằng một tác nhân AI thử nghiệm được tích hợp vào Windows có thể lây nhiễm vào thiết bị và đánh cắp dữ liệu nhạy cảm của người dùng đã gây ra phản ứng quen thuộc từ các nhà phê bình quan tâm đến bảo mật: Tại sao các tập đoàn công nghệ lớn lại cố gắng tung ra các tính năng mới trước khi những hành vi nguy hiểm của chúng được hiểu rõ và kiểm soát đầy đủ?

Theo thông tin được đưa ra hôm thứ Ba , Microsoft đã giới thiệu Copilot Actions, một bộ "tính năng trợ lý ảo thử nghiệm" mới, khi được kích hoạt, sẽ thực hiện "các tác vụ hàng ngày như sắp xếp tập tin, lên lịch họp hoặc gửi email", và cung cấp "một cộng tác viên kỹ thuật số tích cực có thể thực hiện các tác vụ phức tạp thay bạn để nâng cao hiệu quả và năng suất."

Ảo giác và tiêm thuốc khẩn cấp được áp dụng.

Tuy nhiên, sự hào hứng đó đi kèm với một lưu ý quan trọng . Microsoft khuyến nghị người dùng chỉ nên kích hoạt Copilot Actions “nếu bạn hiểu rõ các vấn đề bảo mật đã được nêu ra”.

Lời cảnh báo này dựa trên những khiếm khuyết đã biết vốn có trong hầu hết các mô hình ngôn ngữ quy mô lớn, bao gồm cả Copilot, như các nhà nghiên cứu đã nhiều lần chứng minh .

Một nhược điểm phổ biến của các hệ thống học máy (LLM) là chúng đưa ra những câu trả lời sai lệch và thiếu logic, đôi khi ngay cả đối với những câu hỏi cơ bản nhất. Xu hướng "ảo giác" này, như cách gọi hiện tượng trên, có nghĩa là người dùng không thể tin tưởng vào kết quả của Copilot, Gemini, Claude, hay bất kỳ trợ lý AI nào khác mà phải tự mình xác nhận lại.

Một loại mã độc LLM phổ biến khác là lỗi chèn lệnh (prompt injection ), một loại lỗi cho phép tin tặc cài đặt các chỉ thị độc hại vào các trang web, sơ yếu lý lịch và email. LLM được lập trình để tuân theo các chỉ thị một cách quá nhanh chóng đến nỗi chúng không thể phân biệt được các chỉ thị hợp lệ từ người dùng với các chỉ thị đến từ nội dung bên thứ ba không đáng tin cậy do kẻ tấn công tạo ra. Kết quả là, LLM dành cho kẻ tấn công sự ưu ái tương tự như người dùng.

Cả hai lỗ hổng này đều có thể bị khai thác trong các cuộc tấn công nhằm đánh cắp dữ liệu nhạy cảm, chạy mã độc hại và đánh cắp tiền điện tử. Cho đến nay, các nhà phát triển vẫn chưa thể ngăn chặn được những lỗ hổng này và trong nhiều trường hợp, chỉ có thể khắc phục bằng các giải pháp tạm thời dành riêng cho từng lỗi được phát triển sau khi lỗ hổng được phát hiện.

Điều đó dẫn đến thông tin gây chấn động này trong bài đăng của Microsoft hôm thứ Ba:

Microsoft cho biết: “Khi các khả năng này được giới thiệu, các mô hình AI vẫn phải đối mặt với những hạn chế về chức năng trong cách chúng hoạt động và đôi khi có thể gây ảo giác và tạo ra các kết quả không mong muốn. Ngoài ra, các ứng dụng AI dựa trên tác nhân còn mang đến những rủi ro bảo mật mới, chẳng hạn như tấn công chèn mã độc xuyên suốt (XPIA), trong đó nội dung độc hại được nhúng trong các phần tử giao diện người dùng hoặc tài liệu có thể ghi đè lên các chỉ dẫn của tác nhân, dẫn đến các hành động ngoài ý muốn như đánh cắp dữ liệu hoặc cài đặt phần mềm độc hại.”

Microsoft cho biết chỉ những người dùng có kinh nghiệm mới nên kích hoạt Copilot Actions, tính năng hiện chỉ có sẵn trong các phiên bản beta của Windows. Tuy nhiên, công ty không mô tả loại hình đào tạo hoặc kinh nghiệm mà những người dùng đó cần có, cũng như những hành động họ nên thực hiện để ngăn chặn thiết bị của mình bị xâm phạm. Tôi đã yêu cầu Microsoft cung cấp những chi tiết này, nhưng công ty đã từ chối.

Giống như "macro trên nền tảng siêu anh hùng Marvel"

Một số chuyên gia bảo mật đã đặt câu hỏi về giá trị của những cảnh báo trong bài đăng hôm thứ Ba, so sánh chúng với những cảnh báo mà Microsoft đã đưa ra trong nhiều thập kỷ về nguy hiểm của việc sử dụng macro trong các ứng dụng Office. Mặc dù đã có lời khuyên từ lâu, macro vẫn là một trong những mục tiêu dễ bị tấn công nhất đối với tin tặc muốn cài đặt phần mềm độc hại một cách lén lút trên máy tính Windows. Một lý do cho điều này là Microsoft đã biến macro trở thành yếu tố quan trọng đối với năng suất làm việc đến mức nhiều người dùng không thể thiếu chúng.

“Việc Microsoft nói ‘đừng bật macro, chúng nguy hiểm’… chưa bao giờ có hiệu quả,” nhà nghiên cứu độc lập Kevin Beaumont cho biết. “Macro ở đây giống như ma túy siêu anh hùng Marvel vậy.”

Beaumont, người thường xuyên được thuê để xử lý các sự cố xâm phạm mạng Windows quy mô lớn trong các doanh nghiệp, cũng đặt câu hỏi liệu Microsoft có cung cấp phương tiện nào để quản trị viên có thể hạn chế đầy đủ các Hành động Copilot trên máy tính của người dùng cuối hoặc để xác định các máy trong mạng đã bật tính năng này hay không.

Người phát ngôn của Microsoft cho biết các quản trị viên CNTT sẽ có thể bật hoặc tắt không gian làm việc của tác nhân ở cả cấp độ tài khoản và thiết bị, bằng cách sử dụng Intune hoặc các ứng dụng MDM (Quản lý thiết bị di động) khác.

Các nhà phê bình cũng nêu lên những lo ngại khác, bao gồm cả việc ngay cả người dùng có kinh nghiệm cũng khó phát hiện ra các cuộc tấn công khai thác nhắm vào các tác nhân AI mà họ đang sử dụng.

"Tôi không thấy người dùng có thể ngăn chặn bất cứ điều gì thuộc loại họ đang đề cập đến, ngoài việc không lướt web ra thì phải," nhà nghiên cứu Guillaume Rossolini nói .

Microsoft nhấn mạnh rằng Copilot Actions là một tính năng thử nghiệm và được tắt theo mặc định. Thiết kế này có lẽ được lựa chọn để hạn chế quyền truy cập vào tính năng này chỉ dành cho những người dùng có đủ kinh nghiệm để hiểu được rủi ro của nó. Tuy nhiên, các nhà phê bình lưu ý rằng các tính năng thử nghiệm trước đây—ví dụ như Copilot—thường trở thành tính năng mặc định cho tất cả người dùng theo thời gian. Khi điều đó xảy ra, những người dùng không tin tưởng tính năng này thường phải đầu tư thời gian vào việc phát triển các phương pháp không được hỗ trợ để loại bỏ tính năng đó .

Những mục tiêu nghe có vẻ hay nhưng quá cao xa.

Phần lớn bài đăng hôm thứ Ba tập trung vào chiến lược tổng thể của Microsoft nhằm bảo mật các tính năng quản trị hệ thống trong Windows. Các mục tiêu đối với những tính năng này bao gồm:

• Tính không thể chối bỏ, nghĩa là tất cả các hành động và hành vi phải “có thể quan sát được và phân biệt được với những hành động do người dùng thực hiện”.
• Các đại lý phải bảo mật thông tin khi thu thập, tổng hợp hoặc sử dụng dữ liệu người dùng theo bất kỳ cách nào khác.
• Các đại lý phải nhận được sự chấp thuận của người dùng khi truy cập dữ liệu người dùng hoặc thực hiện các hành động.