Love AI
New member
Nghiên cứu cho thấy các mô hình ngôn ngữ lớn (LLM) thường chỉ chọn mã an toàn khoảng 55% thời gian. Những giới hạn cơ bản về ngữ cảnh, dữ liệu huấn luyện và khả năng nhận thức rủi ro khiến AI không thể thay thế chuyên gia bảo mật.
Nhiều nghiên cứu, trong đó có phân tích của Veracode, cho thấy LLM chỉ chọn mã an toàn khoảng 55% — con số quá thấp để tin tưởng hoàn toàn. Các mô hình này giỏi dự đoán cú pháp và hoàn thành mẫu, nhưng không “hiểu” khái niệm rủi ro hay ngữ nghĩa bảo mật như con người.
Giới hạn bộ nhớ ngắn (context window) khiến LLM khó nắm được bức tranh lớn của hệ thống: ngay cả mô hình lớn cũng không giữ được thông tin đủ dài để biết dữ liệu nào là nguy hiểm và vì sao. Kết quả là mã do AI sinh ra có thể trông đúng và hoạt động, nhưng vẫn ẩn chứa những lỗ hổng tinh tế.
LLM học từ lượng lớn dữ liệu trên Internet, trong đó có cả ví dụ cố tình không an toàn (ví dụ như các bài tập thực hành bảo mật chứa lỗi). Vì dữ liệu không được gắn nhãn “an toàn” hay “không an toàn”, mô hình xem cả hai dạng là phương án hợp lệ và dễ sinh ra mã kém an toàn.
Mô hình cũng không tách biệt giữa dữ liệu và lệnh — mọi thứ đều là luồng token. Điều này tạo kẽ hở cho tấn công chèn lệnh (prompt injection), khi kẻ xấu cố tình đưa hướng dẫn độc hại vào đầu vào trông có vẻ bình thường.
Đối với một số lỗ hổng, mô hình không thể biết biến nào cần được làm sạch (tainted) vì không có thông tin nguồn gốc dữ liệu đầy đủ. Nếu người dùng không chỉ rõ yêu cầu bảo mật trong prompt, mô hình có thể chọn phương án nhanh, đơn giản nhưng nguy hiểm (ví dụ ghép chuỗi khi tạo truy vấn thay vì prepared statement).
Rủi ro không chỉ đến từ chính mô hình mà còn từ cách tích hợp nó vào ứng dụng: xử lý đầu vào, phân quyền người dùng, lưu trữ bí mật, và tương tác với các thành phần khác đều có thể tạo ra lỗ hổng. Vì vậy đánh giá bảo mật phải xem xét cả lớp mô hình lẫn lớp ứng dụng.
AI sinh mã có thể tăng hiệu suất và giảm công việc lặp nhưng không thể thay thế kiến thức và phán đoán bảo mật của con người. Để an toàn, các đội phát triển phải duy trì giám sát, tiêu chuẩn và kiểm thử nghiêm ngặt — coi AI là công cụ hỗ trợ, không phải giải pháp bảo mật toàn diện.
Nguồn: Techradar
Giới hạn nền tảng của LLM với bảo mật
Nhiều nghiên cứu, trong đó có phân tích của Veracode, cho thấy LLM chỉ chọn mã an toàn khoảng 55% — con số quá thấp để tin tưởng hoàn toàn. Các mô hình này giỏi dự đoán cú pháp và hoàn thành mẫu, nhưng không “hiểu” khái niệm rủi ro hay ngữ nghĩa bảo mật như con người.
Giới hạn bộ nhớ ngắn (context window) khiến LLM khó nắm được bức tranh lớn của hệ thống: ngay cả mô hình lớn cũng không giữ được thông tin đủ dài để biết dữ liệu nào là nguy hiểm và vì sao. Kết quả là mã do AI sinh ra có thể trông đúng và hoạt động, nhưng vẫn ẩn chứa những lỗ hổng tinh tế.
Vấn đề từ dữ liệu huấn luyện và cách mô hình xử lý
LLM học từ lượng lớn dữ liệu trên Internet, trong đó có cả ví dụ cố tình không an toàn (ví dụ như các bài tập thực hành bảo mật chứa lỗi). Vì dữ liệu không được gắn nhãn “an toàn” hay “không an toàn”, mô hình xem cả hai dạng là phương án hợp lệ và dễ sinh ra mã kém an toàn.
Mô hình cũng không tách biệt giữa dữ liệu và lệnh — mọi thứ đều là luồng token. Điều này tạo kẽ hở cho tấn công chèn lệnh (prompt injection), khi kẻ xấu cố tình đưa hướng dẫn độc hại vào đầu vào trông có vẻ bình thường.
Lỗ hổng ngữ cảnh và phân tích biến bị nhiễm
Đối với một số lỗ hổng, mô hình không thể biết biến nào cần được làm sạch (tainted) vì không có thông tin nguồn gốc dữ liệu đầy đủ. Nếu người dùng không chỉ rõ yêu cầu bảo mật trong prompt, mô hình có thể chọn phương án nhanh, đơn giản nhưng nguy hiểm (ví dụ ghép chuỗi khi tạo truy vấn thay vì prepared statement).
Rủi ro ở nhiều lớp
Rủi ro không chỉ đến từ chính mô hình mà còn từ cách tích hợp nó vào ứng dụng: xử lý đầu vào, phân quyền người dùng, lưu trữ bí mật, và tương tác với các thành phần khác đều có thể tạo ra lỗ hổng. Vì vậy đánh giá bảo mật phải xem xét cả lớp mô hình lẫn lớp ứng dụng.
Khuyến nghị cho nhà phát triển
- Hãy coi AI là trợ lý, không phải người thay thế chuyên gia: mọi đề xuất của AI đều là không đáng tin cậy cho đến khi được kiểm chứng.
- Yêu cầu rõ ràng trong prompt: bắt buộc sử dụng prepared statement, kiểm tra đầu vào, mã hóa dữ liệu nhạy cảm, và các ràng buộc bảo mật khác.
- Áp dụng tiêu chuẩn mã và template an toàn: có prompt template chuẩn cho các tác vụ nhạy cảm để giảm sai sót.
- Kết hợp kiểm thử bảo mật tự động: SAST, DAST, quét phụ thuộc, fuzzing và kiểm thử đơn vị/đồng bộ cho mọi mã do AI sinh ra.
- Thực hiện code review và threat modeling bởi con người: xác định vùng nguy hiểm, biến bị nhiễm và luồng dữ liệu nhạy cảm.
- Thiết lập cổng bảo mật trong CI/CD: chặn merge nếu phát hiện lỗ hổng hoặc vi phạm chính sách.
- Giới hạn quyền truy cập mô hình và không để lộ bí mật: log, provenance và kiểm toán mọi tương tác với AI.
Kết luận
AI sinh mã có thể tăng hiệu suất và giảm công việc lặp nhưng không thể thay thế kiến thức và phán đoán bảo mật của con người. Để an toàn, các đội phát triển phải duy trì giám sát, tiêu chuẩn và kiểm thử nghiêm ngặt — coi AI là công cụ hỗ trợ, không phải giải pháp bảo mật toàn diện.
Nguồn: Techradar
Bài viết liên quan
