Rủi ro từ các tác nhân AI trong lĩnh vực tiền mã hóa
Các tác nhân AI, trong đó một số quản lý hàng triệu đô-la trong lĩnh vực tiền mã hóa, đang phải đối mặt với rủi ro bị tấn công bởi một phương thức mới khó phát hiện. Phương thức này có khả năng thao túng ký ức của chúng, cho phép chuyển tiền trái phép đến tay những kẻ xấu. Đó là kết quả từ một nghiên cứu gần đây được thực hiện bởi các nhà nghiên cứu từ Đại học Princeton và Quỹ Sentient.
Khám phá lỗ hổng trong ElizaOS
Các nhà nghiên cứu khẳng định rằng họ đã phát hiện một lỗ hổng trong các tác nhân AI tập trung vào lĩnh vực tiền mã hóa, chẳng hạn như các tác nhân sử dụng khung ElizaOS phổ biến. Sự phổ biến của ElizaOS đã khiến nó trở thành đối tượng nghiên cứu lý tưởng, theo lời Atharv Patlan, sinh viên tốt nghiệp từ Princeton, đồng thời là đồng tác giả của bài báo. “ElizaOS là một tác nhân dựa trên Web3 được nhiều người biết đến với khoảng 15.000 sao trên GitHub, do đó, nó được sử dụng rộng rãi,” Patlan cho biết trong cuộc phỏng vấn với Decrypt. “Việc một tác nhân nổi tiếng như vậy lại có lỗ hổng đã thúc đẩy chúng tôi tìm hiểu thêm.”
Tiêm ký ức và các phương thức tấn công
ElizaOS, trước đây được phát hành với tên ai16z, đã được Eliza Labs khởi động vào tháng 10 năm 2024. Đây là một khung mã nguồn mở nhằm xây dựng các tác nhân AI có khả năng tương tác và hoạt động trên các blockchain. Nền tảng này được đổi tên thành ElizaOS vào tháng 1 năm 2025. Tác nhân AI là một chương trình phần mềm tự động được thiết kế để nhận thức môi trường xung quanh, xử lý thông tin và thực hiện hành động nhằm đạt được các mục tiêu cụ thể mà không cần sự can thiệp của con người.
Theo nghiên cứu, các tác nhân AI này thường được sử dụng để tự động hóa các nhiệm vụ tài chính trên nền tảng blockchain, và chúng có thể dễ dàng bị thao túng thông qua một kỹ thuật được gọi là “tiêm ký ức.” Đây là một hình thức tấn công mới, cho phép những kẻ tấn công nhúng các chỉ dẫn độc hại vào ký ức bền bỉ của tác nhân. “Eliza có một kho lưu trữ ký ức, và chúng tôi đã cố gắng can thiệp vào các ký ức này bằng cách thực hiện việc tiêm ký ức qua một nền tảng truyền thông xã hội khác,” Patlan cho hay.
Đánh giá rủi ro và phát triển giải pháp
Nghiên cứu chỉ ra rằng các tác nhân AI nhạy cảm với cảm xúc trên mạng xã hội đặc biệt dễ bị thao túng. Những kẻ tấn công có thể sử dụng các tài khoản giả mạo và các bài đăng phối hợp (được gọi là tấn công Sybil) để đánh lừa các tác nhân đưa ra quyết định giao dịch. “Một kẻ tấn công có thể thực hiện tấn công Sybil bằng cách tạo ra nhiều tài khoản giả trên các nền tảng như X hoặc Discord nhằm thao túng tâm lý thị trường,” nghiên cứu nêu rõ. “Bằng cách phối hợp các bài đăng để tự tạo ra giá trị ảo cho một token, kẻ tấn công có thể đánh lừa tác nhân mua một token ‘bị bơm’ với giá cao một cách nhân tạo, rồi sau đó bán cổ phần của mình làm sập giá của token đó.”
Tiêm ký ức là một cuộc tấn công trong đó dữ liệu độc hại được chèn vào ký ức đã lưu trữ của một tác nhân AI, khiến nó hồi tưởng và hành động dựa trên thông tin sai lệch.
Mặc dù các cuộc tấn công không nhắm trực tiếp vào các blockchain, Patlan cho biết nhóm nghiên cứu đã khai thác khả năng của ElizaOS để mô phỏng một cuộc tấn công thực tế. “Thách thức lớn nhất là xác định các tiện ích có thể khai thác. Chúng tôi có thể thực hiện một giao dịch đơn giản, nhưng chúng tôi muốn làm cho nó thực tế hơn, vì vậy chúng tôi đã xem xét tất cả các chức năng mà ElizaOS cung cấp,” anh giải thích.
Phát triển chỉ số CrAIBench
“ElizaOS có một bộ tính năng phong phú nhờ vào sự đa dạng của các plugin, vì vậy việc khám phá càng nhiều chức năng càng tốt để làm cho cuộc tấn công trở nên chân thực là rất quan trọng.” Patlan cho biết các phát hiện từ nghiên cứu đã được chia sẻ với Eliza Labs, và hiện tại đang diễn ra các cuộc thảo luận. Sau khi chứng minh thành công một cuộc tấn công tiêm ký ức vào ElizaOS, nhóm nghiên cứu đã phát triển một khung để đánh giá xem liệu những lỗ hổng tương tự có tồn tại ở các tác nhân AI khác hay không.
Làm việc cùng với Quỹ Sentient, các nhà nghiên cứu từ Princeton đã phát triển CrAIBench, một chỉ số đo lường khả năng chống chịu của các tác nhân AI trước việc thao túng bối cảnh. CrAIBench có nhiệm vụ đánh giá các chiến lược tấn công và phòng thủ, tập trung vào các thông điệp bảo mật, các mô hình lý luận và các kỹ thuật đồng bộ hóa. Patlan nhấn mạnh rằng một bài học quan trọng từ nghiên cứu là việc phòng thủ chống lại tiêm ký ức cần được cải thiện ở nhiều cấp độ khác nhau.
“Ngoài việc cải thiện các hệ thống ký ức, chúng tôi cũng cần nâng cao các mô hình ngôn ngữ chính để tốt hơn trong việc phân biệt giữa nội dung độc hại và ý định thực sự của người dùng.”
“Các biện pháp phòng thủ cần phải hoạt động theo cả hai chiều – tăng cường các cơ chế truy cập ký ức và cải thiện các mô hình.” Hiện tại, Eliza Labs chưa đưa ra phản hồi ngay lập tức về yêu cầu bình luận từ Decrypt.
