Các nhà nghiên cứu từ Đại học Princeton đã phát hiện những AI Agent trong lĩnh vực tiền điện tử như ElizaOS đang tồn tại lỗ hổng nguy hiểm liên quan đến việc thao túng bộ nhớ.
Theo một nghiên cứu mới từ Đại học Princeton và Tổ chức Sentient, các AI Agent đang quản lý hàng triệu đô la tiền điện tử hiện đang đối mặt với một dạng tấn công mới không thể phát hiện – thông qua việc thao túng bộ nhớ của chúng – từ đó cho phép chuyển tiền trái phép tới những kẻ xấu.
ElizaOS, một nền tảng phổ biến với khoảng 15.000 sao trên GitHub, đã trở thành đối tượng nghiên cứu lý tưởng cho nghiên cứu này. Sinh viên tốt nghiệp Princeton Atharv Patlan, đồng tác giả của nghiên cứu, chia sẻ với Decrypt: “ElizaOS là một đặc vụ Web3 phổ biến với khoảng 15.000 sao trên GitHub, vì vậy nó được sử dụng rộng rãi. Thực tế là một đặc vụ được sử dụng rộng rãi như vậy lại tồn tại lỗ hổng khiến chúng tôi muốn khám phá sâu hơn.”
Lịch sử của ElizaOS
Ban đầu được phát hành dưới tên ai16z, Eliza Labs đã ra mắt dự án vào tháng 10 năm 2024. Đây là một nền tảng mã nguồn mở để tạo ra các AI Agent có khả năng tương tác và hoạt động trên blockchain. Dự án đã được đổi tên thành ElizaOS vào tháng 1 năm 2025.
Một AI Agent là một chương trình phần mềm tự chủ được thiết kế để nhận thức môi trường, xử lý thông tin và thực hiện hành động nhằm đạt được mục tiêu cụ thể mà không cần sự tương tác của con người. Theo nghiên cứu, những đặc vụ này, được sử dụng rộng rãi để tự động hóa các tác vụ tài chính trên các nền tảng blockchain, có thể bị lừa thông qua “memory injection” – một hình thức tấn công mới nhằm đưa các chỉ thị độc hại vào bộ nhớ liên tục của agent.
Cách thức tấn công bộ nhớ
“Eliza có một kho lưu trữ bộ nhớ, và chúng tôi đã thử nhập các ký ức sai lệch thông qua một người khác thực hiện việc nhúng trên một nền tảng mạng xã hội khác,” Patlan giải thích.
Nghiên cứu cho thấy các AI Agent dựa vào cảm tính từ mạng xã hội đặc biệt dễ bị thao túng. Kẻ tấn công có thể sử dụng tài khoản giả và các bài đăng phối hợp, được gọi là tấn công Sybil (đặt theo câu chuyện về Sybil, một phụ nữ trẻ được chẩn đoán mắc Rối loạn Đa nhân cách), để lừa đặc vụ (agent) đưa ra quyết định giao dịch sai lầm.
“Kẻ tấn công có thể thực hiện một cuộc tấn công Sybil bằng cách tạo nhiều tài khoản giả trên các nền tảng như X hoặc Discord để thao túng tâm lý thị trường. Bằng cách phối hợp các bài đăng làm tăng giá trị cảm nhận giả tạo của một token, kẻ tấn công có thể lừa đặc vụ mua token đã được ‘thổi giá’ với giá cao một cách giả tạo, chỉ để sau đó kẻ tấn công bán hết tài sản của họ và làm sập giá trị của token.”
Memory injection là một cuộc tấn công trong đó dữ liệu độc hại được chèn vào bộ nhớ lưu trữ của AI Agent, khiến nó nhớ và hành động dựa trên thông tin sai lệch trong các tương tác tương lai, thường mà không phát hiện ra bất kỳ điều gì bất thường.
Những thách thức trong nghiên cứu
Mặc dù các cuộc tấn công không trực tiếp nhắm vào blockchain, Patlan cho biết nhóm đã khám phá toàn bộ phạm vi khả năng của ElizaOS để mô phỏng một cuộc tấn công trong thế giới thực.
“Thách thức lớn nhất là tìm ra các tiện ích nào để khai thác. Chúng tôi có thể chỉ thực hiện một giao dịch đơn giản, nhưng chúng tôi muốn nó thực tế hơn, vì vậy chúng tôi đã xem xét tất cả các chức năng mà ElizaOS cung cấp,” anh giải thích. “Nó có một bộ tính năng lớn do nhiều plugin khác nhau, vì vậy điều quan trọng là khám phá càng nhiều càng tốt để làm cho cuộc tấn công trở nên thực tế.”
Patlan cho biết kết quả nghiên cứu đã được chia sẻ với Eliza Labs, và các cuộc thảo luận đang diễn ra. Sau khi chứng minh một cuộc tấn công memory injection thành công trên ElizaOS, nhóm đã phát triển một framework đánh giá chính thức để đánh giá xem các lỗ hổng tương tự có tồn tại trong các AI Agent khác hay không.
Giải pháp bảo vệ
Làm việc với Tổ chức Sentient, các nhà nghiên cứu Princeton đã phát triển CrAIBench, một thước đo đánh giá khả năng phục hồi của các AI Agent trước sự thao túng ngữ cảnh. CrAIBench đánh giá các chiến lược tấn công và phòng thủ, tập trung vào các lệnh bảo mật, mô hình lý luận và kỹ thuật điều chỉnh.
Patlan cho biết một kết luận quan trọng từ nghiên cứu là việc bảo vệ chống lại memory injection đòi hỏi cải tiến ở nhiều cấp độ.
“Cùng với việc cải thiện hệ thống bộ nhớ, chúng ta cũng cần cải thiện bản thân các mô hình ngôn ngữ để phân biệt tốt hơn giữa nội dung độc hại và những gì người dùng thực sự muốn,” anh nói. “Các biện pháp phòng thủ sẽ cần hoạt động theo cả hai hướng – tăng cường cơ chế truy cập bộ nhớ và nâng cao các mô hình.”
Eliza Labs chưa phản hồi ngay lập tức các yêu cầu bình luận từ Decrypt.
Nghiên cứu này đã chỉ ra một vấn đề quan trọng đối với làng game và ngành tiền điện tử: các AI Agent, dù thông minh đến đâu, vẫn có thể bị lừa dối thông qua các kỹ thuật tấn công tinh vi vào hệ thống bộ nhớ của chúng.