GPT-5 bị bẻ khóa nhanh hơn cả Grok 4

Kể chuyện nhiều lượt (multi-turn storytelling) là dạng tấn công qua nhiều lượt hội thoại, trong đó kẻ tấn công dẫn dắt mô hình AI từng bước qua câu chuyện để đạt mục tiêu.

Hai công ty SPLX, NeuralTrust đã thử nghiệm GPT-5 và đều nhận thấy khả năng bảo mật của mô hình ngôn ngữ mới nhất từ OpenAI đang ở mức đáng lo ngại.

Sau khi Grok-4 bị jailbreak (bẻ khóa) chỉ trong hai ngày, GPT-5 cũng thất thủ chỉ một ngày.

Các thành viên red team (đội kiểm thử xâm nhập) từ hãng SPLX tuyên bố: “Mô hình GPT-5 nguyên bản (chưa được bổ sung các lớp bảo vệ hay tinh chỉnh an toàn từ OpenAI) gần như không thể sử dụng được cho mục đích doanh nghiệp ngay lập tức. Ngay cả lớp prompt nội bộ của OpenAI cũng để lại nhiều khoảng hở đáng kể, đặc biệt là về định hướng kinh doanh”.

SPLX là hãng an ninh mạng Mỹ chuyên về bảo mật hệ thống AI, đặc biệt là trong lĩnh vực red teaming (kiểm thử xâm nhập mô hình AI theo hướng tấn công giả lập).

Red team của SPLX so sánh GPT-5 với GPT-4o và kết luận: “GPT-4o vẫn là mô hình bền vững nhất dưới các bài thử red team của SPLX, đặc biệt khi được gia cố an ninh”.

GPT-4o là mô hình ngôn ngữ lớn được OpenAI phát hành vào tháng 5.2024. Chữ o trong tên GPT-4o là viết tắt của omni (toàn năng), vì đây là mô hình đa phương thức có thể xử lý và tạo ra nhiều loại dữ liệu khác nhau, gồm văn bản, hình ảnh, âm thanh và video.

Trong khi đó, NeuralTrust đã sử dụng kết hợp giữa kỹ thuật jailbreak EchoChamber của riêng mình và phương pháp kể chuyện cơ bản. NeuralTrust là công ty Tây Ban Nha chuyên về bảo mật và mở rộng các ứng dụng sử dụng mô hình ngôn ngữ lớn, cung cấp nền tảng cho phép các doanh nghiệp triển khai công nghệ AI tạo sinh an toàn và có kiểm soát.

NeuralTrust cho biết: “Cuộc tấn công đã thành công trong việc dẫn dắt GPT-5 tạo ra hướng dẫn từng bước để chế tạo bom xăng Molotov”.

Bom xăng Molotov là loại vũ khí thô sơ, được sử dụng như một quả bom cháy. Nó được tạo ra bằng cách nhét một miếng giẻ vào cổ chai thủy tinh chứa chất lỏng dễ cháy, thường là xăng hoặc hỗn hợp xăng với dầu diesel, dầu hỏa... Khi sử dụng, người ta đốt cháy miếng giẻ ở cổ chai rồi ném đi. Miếng giẻ đóng vai trò như ngòi nổ. Khi quả chai vỡ, chất lỏng bên trong sẽ văng ra và bốc cháy, tạo thành một ngọn lửa lớn.

NeuralTrust kết luận: “Trong các thử nghiệm có kiểm soát với GPT-5, chúng tôi đã thành công bẻ khóa mô hình ngôn ngữ lớn này, dẫn dắt nó tạo ra hướng dẫn bất hợp pháp mà không hề gửi bất kỳ prompt độc hại rõ ràng nào. Bằng chứng này cho thấy lỗ hổng nghiêm trọng trong các hệ thống an toàn chỉ quét prompt riêng lẻ, chỉ ra cách các cuộc tấn công nhiều lượt có thể lọt qua bộ lọc từng prompt và công cụ phát hiện ý đồ nhờ khai thác toàn bộ ngữ cảnh hội thoại”.

Động thái này cho thấy khó khăn chung của mọi mô hình AI trong việc dựng rào chắn chống lại thao túng theo ngữ cảnh.

GPT-5 bị SPLX, NeuralTrust bẻ khóa chỉ sau 1 ngày ra mắt - Ảnh: Internet

Điều đáng nói là khi ra mắt GPT-5 rạng sáng 8.8 (giờ Việt Nam), OpenAI thông báo mô hình AI mới này không chỉ được cải tiến về khả năng phát triển phần mềm, viết lách, trả lời các câu hỏi liên quan đến sức khỏe và tài chính, mà còn mở rộng ranh giới về an toàn.

“Trước đây, ChatGPT chủ yếu dựa vào việc huấn luyện an toàn dựa trên từ chối hoặc tuân thủ dựa vào lời nhắc của người dùng. Dù hoạt động tốt với những yêu cầu có ác ý rõ ràng, loại huấn luyện này có thể gặp khó khăn trong những tình huống mà ý định của người dùng không rõ ràng, hoặc thông tin có thể được sử dụng cho mục đích tốt hay xấu.

Với GPT-5, chúng tôi đã giới thiệu một hình thức huấn luyện mới là hoàn thành an toàn, dạy cho mô hình cách đưa ra câu trả lời hữu ích nhất có thể, đồng thời vẫn tuân thủ các ranh giới an toàn. Đôi khi điều đó đồng nghĩa chỉ phản hồi một phần câu hỏi của người dùng hoặc chỉ trả lời ở mức độ tổng quan. Nếu cần từ chối, GPT-5 được huấn luyện để giải thích một cách minh bạch lý do từ chối, cũng như cung cấp các lựa chọn thay thế an toàn. Chúng tôi nhận thấy rằng cách tiếp cận này tinh tế hơn, cho phép điều hướng tốt hơn các câu hỏi có mục đích kép như vi rút học, tăng cường khả năng chống lại ý định mơ hồ và giảm số lần từ chối không cần thiết”.

Grok 4 bị NeuralTrust bẻ khóa sau 2 ngày

Mô hình Grok 4 của xAI, công ty khởi nghiệp AI do Elon Musk điều hành, từng bị NeuralTrust bẻ khóa chỉ sau 48 giờ phát hành hồi giữa tháng 7 vừa qua.

Nhóm nghiên cứu của NeuralTrust đã áp dụng phương pháp mới, kết hợp giữa kỹ thuật Echo Chamber và Crescendo, để lách qua các cơ chế bảo vệ tích hợp trong Grok 4. Qua đó, họ đã buộc được Grok 4 đưa ra hướng dẫn chế tạo các vật dụng nguy hiểm, chẳng hạn bom xăng Molotov.

Nhóm nghiên cứu NeuralTrust do Ahmad Alobaid dẫn đầu phát hiện rằng việc kết hợp các loại jailbreak khác nhau giúp tăng đáng kể hiệu quả tấn công.

Khi tiến trình tấn công bằng Echo Chamber bị đình trệ, họ chuyển sang kỹ thuật Crescendo (do Microsoft phát hiện và đặt tên) có cách tiếp cận tinh vi hơn, dần dần chuyển hướng cuộc thảo luận từ những câu hỏi vô hại sang các nội dung bất hợp pháp, từ đó vượt qua các bộ lọc bảo mật bằng thông qua sự phát triển đối thoại tinh vi.

Theo báo cáo của NeuralTrust, Grok 4 đã cung cấp hướng dẫn chế tạo bom xăng 67% số lần, methamphetamine 50% số lần và chất độc 30% số lần.

NeuralTrust vượt rào bảo vệ Grok 4 của Elon Musk chỉ sau 48 giờ sau khi mô hình AI này ra mắt - Ảnh: Internet

gpt-oss bị Pliny the Liberator bẻ khóa sau chưa đầy 1 ngày

Hôm 6.8, OpenAI đã phát hành hai mô hình trọng số mở đầu tiên kể từ GPT-2 năm 2019 là gpt-oss-120b và gpt-oss-20b, quảng bá rằng chúng nhanh, hiệu quả và và được tăng cường khả năng chống jailbreak thông qua quá trình huấn luyện đối kháng nghiêm ngặt.

Huấn luyện đối kháng là kỹ thuật dùng để tăng độ an toàn và khả năng chống bị khai thác (ví dụ jailbreak) của mô hình AI. Mô hình được “tập huấn” bằng cách cho nó tiếp xúc với các đầu vào có chủ đích đánh lừa, chẳng hạn các câu hỏi nhạy cảm, độc hại hoặc bị cố tình che giấu để vượt qua bộ lọc kiểm duyệt.

Trên mạng xã hội X, Sam Altman (Giám đốc điều hành OpenAI) cho biết: “Chúng tôi đã nỗ lực nghiêm túc để giảm thiểu các rủi ro an toàn nghiêm trọng nhất, đặc biệt là liên quan đến an ninh sinh học. Hai mô hình gpt-oss có hiệu suất gần như tương đương các mô hình tiên phong của chúng tôi trong các bài đánh giá an toàn nội bộ”. Tuy nhiên, những lời khẳng định đó chỉ tồn tại ngắn ngủi như một quả cầu tuyết nhanh chóng tan chảy giữa địa ngục.

Hacker Pliny the Liberator thông báo trên X rằng đã bẻ khóa gpt-oss thành công. Kèm theo đó các ảnh chụp màn hình cho thấy hai mô hình suy luận trọng số mở của OpenAI đã cung cấp hướng dẫn chế tạo methamphetamine, bom xăng Molotov, chất độc thần kinh VX và phần mềm độc hại.

Pliny the Liberator tuyên bố bẻ khóa gpt-oss thành công - Ảnh chụp màn hình trên X

OpenAI cho biết đã đưa gpt-oss-120b qua quá trình gọi là "huấn luyện trong tình huống tồi tệ nhất" ở các lĩnh vực sinh học và mạng. Công ty khởi nghiệp AI hàng đầu thậm chí còn nhờ Nhóm Tư vấn An toàn đánh giá thử nghiệm và kết luận rằng gpt-oss-120b cùng gpt-oss-20b không vượt quá ngưỡng rủi ro cao.

Theo OpenAI, hai mô hình suy luận trọng số mở này đã trải qua các bài kiểm tra chuẩn về khả năng từ chối và kháng bẻ khóa, đồng thời gpt-oss đạt kết quả ngang bằng o4-mini trong bài đánh giá như StrongReject.

StrongReject là một bộ tiêu chuẩn được sử dụng để đánh giá khả năng chống bẻ khóa của các mô hình ngôn ngữ lớn.

Cùng với lần phát hành này, OpenAI đã công bố thử thách red teaming trị giá 500.000 USD, mời các nhà nghiên cứu trên toàn thế giới giúp phát hiện các rủi ro mới. Đáng tiếc là Pliny the Liberator có vẻ không đủ điều kiện tham gia. Không phải vì Pliny the Liberator gây khó chịu cho OpenAI, mà bởi hacker này chọn công khai phát hiện của mình thay vì chia sẻ riêng với công ty.

Kỹ thuật bẻ khóa mà Pliny the Liberator sử dụng vẫn theo công thức quen thuộc của anh. Đây cũng chính là phương pháp hacker này từng dùng để bẻ khóa GPT-4o, GPT-4.1 và gần như mọi mô hình ngôn ngữ lớn của OpenAI chỉ trong vòng vài giờ hoặc vài ngày, kể từ khi anh bắt đầu hoạt động cách đây khoảng một năm rưỡi.

Kho lưu trữ trên GitHub của Pliny the Liberator mang tên L1B3RT4S, nơi chứa các prompt bẻ khóa nhiều mô hình khác nhau, đã nhận hơn 10.000 sao và tiếp tục là tài nguyên quan trọng cho cộng đồng bẻ khóa AI.

Sơn Vân