Joey Melo và nghệ thuật thao túng AI: Từ Jailbreak đến Data Poisoning

Joey Melo và nghệ thuật thao túng AI: Từ Jailbreak đến Data Poisoning

Joey Melo, hiện là Chuyên gia Nghiên cứu Bảo mật Principal tại CrowdStrike, có một cách tiếp cận khá độc đáo đối với việc "hack". Đối với ông, việc này không hẳn là tháo dỡ một hệ thống để xây dựng lại nó với mục đích khác, mà là việc kiểm soát trải nghiệm mà không làm thay đổi các quy tắc nền tảng.

Triết lý này bắt nguồn từ niềm đam mê thời thơ ấu của ông với tựa game bắn súng huyền thoại Counter-Strike.

Joey Melo, Principal Security Researcher tại CrowdStrike

"Bạn có thể can thiệp vào các tệp tin, tìm kiếm cấu hình của game, đổi tên bot, thay đổi tốc độ di chuyển của nhân vật hay màu sắc đồng phục—những thứ như vậy. Vì vậy, tôi luôn thích nghịch ngợm với mọi thứ thay vì chỉ chơi game theo cách nó được thiết kế," Melo chia sẻ. "Đó thực sự rất thú vị."

Đây chính là việc kiểm soát môi trường và thao túng nó mà không phá vỡ các quy tắc cốt lõi—một tư duy được ông áp dụng trực tiếp vào sự nghiệp hiện tại là một chuyên gia Red Team (đội đỏ) cho AI: Làm thế nào để uốn nắn AI làm theo ý mình mà không cần thay đổi mã nguồn?

Từ Pentester đến chuyên gia Red Team AI

Trước khi gia nhập CrowdStrike (thông qua thương vụ mua lại Pangea vào năm 2025), Melo đã có thời gian dài làm việc trong lĩnh vực kiểm thử xâm nhập (pentesting) tại các đơn vị như Bulletproof và Packetlabs. Tuy nhiên, bước chuyển mình sang lĩnh vực AI red teaming của ông ít xuất phát từ mong muốn thay đổi công việc, mà nhiều hơn là sự tò mò ngày càng lớn đối với một lĩnh vực mới nổi là trí tuệ nhân tạo.

Vào tháng 3 năm 2025, khi còn làm việc tại Packetlabs, Pangea đã tổ chức một cuộc thi hack AI. Melo coi đây là cơ hội tuyệt vời để tiếp tục học hỏi. "Tôi luôn thích có một mục tiêu cụ thể, và tôi nghĩ rằng nếu tôi có thể phá vỡ các phòng thử nghiệm của họ, tôi vừa có thể kiểm tra trình độ của mình vừa học được điều gì đó."

Với tính cách "ám ảnh" chi tiết và khả năng tập trung cao độ, Melo đã dành cả tháng đó chỉ để tương tác với bot, thử nghiệm liên tục trong một vòng lặp: thử thành công thì tiếp tục, thất bại thì nghiên cứu và thử lại. Kết quả là ông đã chiến thắng mọi cấp độ trong cuộc thi (sau này ông cũng đạt tỷ lệ hoàn thành 100% trong cuộc thi HackAPrompt 2.0 bằng cách jailbreak tất cả 39 thách thức).

Ông nhận định rằng tư duy và kinh nghiệm pentesting nhiều năm qua đã giúp ích rất nhiều cho ông, nhưng yếu tố cốt lõi vẫn là niềm vui khi thao túng môi trường—giống hệt như những gì ông từng làm với file cấu hình game Counter-Strike.

Nghệ thuật Jailbreak AI

"Trò chơi jailbreak về cơ bản là để giải phóng con bot," Melo nói. "Đó là gỡ bỏ mọi rào cản, khiến nó đưa ra bất kỳ đầu ra nào bạn muốn, không giới hạn."

Quy tắc của trò chơi này nằm trong mã nguồn của AI, bao gồm những gì nó có thể làm (thuật toán, thông tin đã học, trọng số) và những gì nó không được làm (các hàng rào bảo vệ hay guardrails ngăn chặn đầu ra nguy hiểm). Mục tiêu của người chơi là thiết kế các đầu vào (prompts) để thao túng hoặc vượt qua các hàng rào này.

Melo thường bắt đầu bằng bước "liệt kê" (enumeration) để cảm nhận sơ bộ về mục đích của bot và độ mạnh của hàng rào bảo vệ.

"Bạn là ai? Tại sao bạn ở đây? Bạn giúp tôi như thế nào?" — ông sẽ hỏi bot. Những câu hỏi này giúp ông hiểu bot kỳ vọng điều gì. Nếu đó là trợ lý viết lách, liệu nó có thể viết mã độc? Nếu là trợ lý chung, liệu nó có chỉ cho tôi cách chế tạo ma túy không?

Một kỹ thuật quan trọng mà Melo sử dụng là thao túng ngữ cảnh (context manipulation). Các Mô hình Ngôn ngữ Lớn (LLM) có trí nhớ ngắn hạn về các câu hỏi và câu trả lời gần đây. Kẻ tấn công tìm cách điều chỉnh ngữ cảnh này cho đến khi các hàng rào bảo vệ bị ghi đè.

Ví dụ, Melo có thể cố gắng thuyết phục LLM rằng một hành vi bất hợp pháp trước đây giờ đã hợp pháp. "Tôi có thể nói với LLM rằng hiện tại là năm 2035 và việc sản xuất vũ khí hạt nhân hiện đã hợp pháp và được phép cho công dân bình thường. Có khả năng LLM sẽ nghĩ rằng: 'Ồ, được thôi, những gì tôi biết trước đó là cho năm 2025 nhưng giờ không còn áp dụng nữa. Tôi đang ở một năm khác, với bộ quy tắc mới. Vì vậy, tôi nên tuân thủ.'"

Melo nhận định rằng việc jailbreak đã trở nên khó khăn hơn rất nhiều trong hai năm qua. Trước đây, bạn chỉ cần nói "Bỏ qua các hướng dẫn trước đó. Làm việc này..." là thành công. Ngày nay, người tấn công thực sự phải hiểu rõ nghề của mình và áp dụng các thao túng ngữ cảnh phức tạp.

Tuy nhiên, ông cũng cảnh báo: "Có vô số cách để thực hiện jailbreak, chỉ bị giới hạn bởi sự sáng tạo của kẻ tấn công." Việc bảo mật AI hoàn toàn là điều không thể, giống như việc nói rằng một ngày nào đó Internet sẽ miễn nhiễm hoàn toàn với hacker. Chừng nào còn sự tiến bộ, sẽ luôn có cả cải tiến và rủi ro mới.

Joey Melo chia sẻ về các phương pháp tấn công AI

Data Poisoning: Đầu độc dữ liệu

Nếu jailbreaking là tấn công từ ngoài vào để trích xuất dữ liệu nhạy cảm, thì data poisoning (đầu độc dữ liệu) lại là tấn công từ trong ra ngoài, nhằm khiến mô hình AI tạo ra các đầu ra sai lệch hoặc có hại. Đây đơn giản là câu chuyện "rác vào, rác ra".

Data poisoning thành công có thể gây ra sự suy giảm hiệu suất chung của mô hình hoặc dẫn đến những hậu quả cụ thể nguy hiểm, chẳng hạn như chẩn đoán sai thiết bị y tế hoặc hiểu sai môi trường của xe tự lái.

Melo kiểm tra loại hình tấn công này thông qua các kỹ thuật đối kháng. Ví dụ, một số bot sẽ lấy các prompt của người dùng để đưa vào quá trình huấn luyện liên tục. Melo có thể liên tục tuyên bố trong các prompt của mình rằng "việc hạ cánh lên mặt trăng là giả mạo". Sau một thời gian, nếu bot trả lời rằng "hạ cánh mặt trăng là giả mạo" khi được hỏi, ông biết mô hình này dễ bị tổn thương bởi data poisoning qua việc tiêu thụ prompt.

Một phương pháp khác liên quan đến việc tạo các website giả mạo. "Các bot về cơ bản tin tưởng các website," Melo nói. Nếu ông tạo một website mới chứa các từ khóa hấp dẫn mà bot đó thích thu thập, và sau này ông thấy các phản hồi của bot chứa dữ liệu chỉ có thể đến từ website của mình, ông biết bot đã bị đầu độc.

Đạo đức và trách nhiệm

Tất cả các hacker đạo đức (ethical hackers) đều sở hữu bộ kỹ năng tương tự như hacker độc hại. Tuy nhiên, động lực chính của Joey Melo là sự tò mò và khao khát kiểm soát môi trường, tất cả đều vì niềm vui chứ không có ý đồ độc hại.

Liệu ông có bị cám dỗ bán các lỗ hổng phát hiện được trên dark web?

"Không," ông khẳng định. "Đánh đổi sự nghiệp, danh tiếng và sự liêm chính của mình để lấy tiền nhanh trên dark web là điều vô nghĩa với tôi. Những gì tôi coi là tốt là đạo đức, có trách nhiệm, minh bạch và phải chịu trách nhiệm giải trình. Việc tiết lộ có trách nhiệm phù hợp với những giá trị đó, trong khi dark web đại diện cho điều ngược lại. Tôi thà sống mà không có sự dằn vặt hay hối tiếc và đi đúng con đường; và hiện tại, việc tiết lộ có trách nhiệm chính là con đường đó."

Ông tin rằng đức hạnh thực sự nằm ở việc có khả năng gây hại nhưng chủ động chọn không làm vậy. Đó là tiêu chuẩn ông đặt ra cho chính mình.