Cisco cảnh báo: Mọi mô hình AI tiên phong đều thất bại trước tấn công hội thoại đa lượt

Trong nghiên cứu trước đó về mô hình nguồn mở, ASR đa lượt chạm ngưỡng 92,78% đối với Mistral Large-2, với tỉ lệ thành công cao gấp 2 đến 10 lần so với điểm chuẩn đơn lượt trên tất cả tám mô hình được thử nghiệm.

Năm gia đình chiến lược tấn công bị phát hiện

Cisco đã xác định và thử nghiệm năm gia đình chiến lược tấn công đa lượt chính, mô phỏng cách một kẻ tấn công thực thụ vận hành :

1. Nhập vai / Áp dụng nhân vật: Kẻ tấn công hóa thân thành một nhân vật hoặc vai trò nhất định để từng bước lái cuộc trò chuyện đến nội dung bị cấm.
2. Đánh lạc hướng ngữ cảnh: Che giấu ý đồ độc hại trong văn bản tưởng chừng vô hại hoặc mơ hồ qua từng lượt tương tác.
3. Định hình lại lời từ chối: Tận dụng lời từ chối của mô hình để định hình lại yêu cầu mới, tiếp cận ranh giới hạn chế một cách từ từ.
4. Phân tách và tái hợp thông tin: Chia nhỏ một yêu cầu độc hại thành nhiều phần nhỏ qua các lượt, sau đó để mô hình tự lắp ghép lại.
5. Tăng tiến (Crescendo): Bắt đầu bằng những yêu cầu vô thưởng vô phạt và leo thang dần qua từng phiên hội thoại, bào mòn các lớp phòng thủ an toàn.

Khoảng cách về mức độ phơi nhiễm giữa mô hình dễ bị tấn công nhất và khó bị tấn công nhất thay đổi đáng kể tùy theo từng gia đình chiến lược, xác nhận rằng lỗ hổng bảo mật không đồng nhất trên mọi hướng tấn công.

Khuyến nghị của Cisco về việc đánh giá và triển khai Mô hình Ngôn ngữ Lớn một cách an toàn

• Từ bỏ lấy ASR đơn lượt làm thước đo đại diện. Các bài kiểm tra đơn lẻ tự nó đã xếp hạng sai các mô hình và che giấu rủi ro thực sự. Mọi đánh giá phải bao gồm thử nghiệm tấn công đa lượt và thích ứng để phản ánh đúng hành vi của đối thủ.
• Đưa đánh giá đa lượt thành quy trình chuẩn. Người mua và cơ quan quản lý nên đặt câu hỏi: "Mô hình này chống chịu các cuộc tấn công đa lượt, thích ứng như thế nào?" trước khi quyết định mua sắm hay triển khai.
• Triển khai cơ chế kiểm soát và giám sát thời gian thực. An toàn mô hình tĩnh là chưa đủ. Các tổ chức cần có khả năng phát hiện theo thời gian thực các mẫu hội thoại bất thường và hành vi kiểm tra ranh giới hệ thống.
• Thường xuyên diễn tập tấn công mô phỏng (red-teaming) tập trung vào các kịch bản tấn công hội thoại lặp đi lặp lại – không chỉ những nỗ lực bẻ khóa đơn lẻ.
• Áp dụng huấn luyện đối kháng để cải thiện tính bền vững của mô hình, tập trung vào duy trì an toàn xuyên suốt các lượt tương tác.
• Sử dụng phòng thủ đa lớp: Không một lớp phòng ngự đơn lẻ nào là đủ. Hãy kết hợp căn chỉnh mô hình, bộ lọc đầu vào/đầu ra, giám sát hành vi và sự giám sát của con người.
• Hiểu rõ triết lý căn chỉnh của nhà phát triển. Các mô hình từ phòng thí nghiệm công khai chú trọng an toàn (ví dụ: dòng Gemma của Google) cho thấy khoảng cách hẹp hơn giữa tấn công đơn và đa lượt, trong khi các mô hình ưu tiên năng lực (như Llama của Meta, Grok của xAI) có khoảng cách lớn hơn. Cisco khuyên các tổ chức nên coi đây là một yếu tố trong việc lựa chọn mô hình.
• Sử dụng các công cụ đánh giá có cấu trúc như Nền tảng AI Validation của Cisco (hiện là một phần của Bảng xếp hạng Bảo mật LLM) để tạo ra các điểm số rủi ro đa lượt, có thể so sánh và tái lập được trước khi triển khai.