Chỉ cần chỉnh sửa một dòng tài liệu là có thể tấn công AI trợ lý lập trình: Wu Enda's Context Hub bị phát hiện không qua kiểm duyệt toàn bộ quy trình

Theo theo dõi của 1M AI News, dịch vụ tài liệu lập trình AI Context Hub do nhà sáng lập DeepLearning.AI, giảng viên thỉnh giảng tại Đại học Stanford Wu En Da, ra mắt cách đây hai tuần đã bị các nhà nghiên cứu an ninh phát hiện có nguy cơ tấn công chuỗi cung ứng. Context Hub cung cấp API tài liệu cho Agent lập trình qua máy chủ MCP, các cộng tác viên gửi tài liệu qua PR trên GitHub, sau khi người duy trì hợp nhất, Agent sẽ đọc theo nhu cầu. Người tạo dịch vụ thay thế lap.sh là Mickey Shmueli đã công bố bằng chứng về cuộc tấn công (PoC), chỉ ra rằng quy trình này “không có kiểm duyệt nội dung ở bất kỳ bước nào”.

Shmueli đã tạo ra hai tài liệu giả mạo dành cho Plaid Link và Stripe Checkout, trong đó cài đặt một tên gói PyPI giả mạo, thử nghiệm với ba cấp độ mô hình của Anthropic tổng cộng 40 lần:

1. Haiku luôn ghi vào requirements.txt gói độc hại, không hiển thị cảnh báo nào trong kết quả xuất ra
2. Sonnet cảnh báo trong 48% (19/40) các lần thử, nhưng vẫn ghi vào 53% (21/40) các phụ thuộc độc hại
3. Opus thể hiện tốt nhất, cảnh báo 75% (30/40) lần, không ghi phụ thuộc độc hại vào mã nguồn

Kẻ tấn công chỉ cần gửi một PR và được hợp nhất là có thể hoàn tất việc tiêm độc, yêu cầu kiểm duyệt không cao: trong 97 PR đã đóng, có 58 PR được hợp nhất. Shmueli chỉ ra rằng đây về bản chất là một dạng biến thể của tấn công chèn lồng gián tiếp, mô hình AI khi xử lý nội dung không thể phân biệt đáng tin cậy giữa dữ liệu và lệnh, và các dịch vụ tài liệu cộng đồng khác cũng thiếu kiểm duyệt nội dung. Wu En Da chưa phản hồi yêu cầu bình luận.