MinhSec
Writer
Một lỗ hổng bảo mật nguy hiểm vừa được phát hiện trong chatbot AI Google Gemini, cho phép kẻ tấn công tiêm lệnh ẩn vào nội dung email. Khi người dùng nhấn vào nút “Tóm tắt email này”, chatbot có thể hiểu và thực thi các chỉ dẫn ẩn đó ngay cả khi chúng được che giấu hoàn toàn khỏi mắt người dùng.
Theo nhà nghiên cứu Marco Figueroa từ công ty bảo mật AI 0din, hacker có thể nhúng các lệnh độc hại trong văn bản HTML bằng cách làm mờ chúng đi (ví dụ: đặt chữ trắng trên nền trắng). Từ đó, Gemini sẽ “hiểu nhầm” đây là chỉ dẫn hợp lệ và hiển thị nội dung giả mạo như một cảnh báo bảo mật thật.
Một ví dụ điển hình: kẻ xấu có thể khiến Gemini tự động chèn dòng cảnh báo như “Mật khẩu Gmail của bạn đã bị xâm phạm. Gọi 1-800-***-xxxx ngay lập tức” vào phần tóm tắt, khiến người dùng tưởng là thật và gọi vào số lừa đảo. Điều nguy hiểm là không cần đính kèm link, tệp hay phần mềm độc hại, mọi thứ đều xảy ra bên trong email thông thường.
Vấn đề không chỉ dừng lại ở một email. Theo Figueroa, vì Gemini đang được Google tích hợp sâu vào các sản phẩm như Gmail, Docs, Slides, Drive… nên bất kỳ nội dung nào có chứa văn bản HTML cũng có thể trở thành công cụ tấn công, nếu chatbot được kích hoạt để xử lý thông tin từ đó.
Điều này đặt ra rủi ro đối với các hệ thống email tự động, bản tin, hệ thống CRM doanh nghiệp… nơi một lỗ hổng có thể biến một tài khoản SaaS bị xâm nhập thành hàng nghìn điểm phát tán lừa đảo, làm tổn hại toàn bộ chuỗi cung ứng.
Google cho biết hãng đã triển khai nhiều biện pháp phòng thủ, bao gồm hợp tác với Mandiant để kiểm tra lỗ hổng, huấn luyện mô hình AI để nhận diện tấn công đối kháng, và tăng cường các bộ lọc bảo mật. Tuy vậy, theo 0din, lỗ hổng dạng "prompt injection" kiểu này vẫn có thể khai thác được ở thời điểm hiện tại, và các tổ chức cần chủ động tự bảo vệ.
Khử trùng HTML đầu vào: loại bỏ kiểu chữ ẩn như font-size:0, color:white, opacity:0.
Tăng cường tường lửa cho chatbot AI: kiểm soát nội dung đầu vào và đầu ra.
Lọc hậu xử lý: quét phản hồi AI để phát hiện các thông tin bất thường như số điện thoại, liên kết hoặc lời cảnh báo khẩn cấp.
Tách biệt văn bản AI tạo ra với nguồn gốc gốc, và gắn dấu truy vết cho từng dòng được thêm vào từ mô hình.
Mặc dù chưa có bằng chứng cho thấy lỗ hổng này đã bị khai thác trên thực tế, nhưng đây là lời cảnh tỉnh về những rủi ro bảo mật mới trong kỷ nguyên AI. Người dùng và doanh nghiệp không thể chỉ dựa vào sự thông minh của chatbot, mà cần hiểu rõ cách chúng hoạt động và phòng ngừa từ sớm.
Theo nhà nghiên cứu Marco Figueroa từ công ty bảo mật AI 0din, hacker có thể nhúng các lệnh độc hại trong văn bản HTML bằng cách làm mờ chúng đi (ví dụ: đặt chữ trắng trên nền trắng). Từ đó, Gemini sẽ “hiểu nhầm” đây là chỉ dẫn hợp lệ và hiển thị nội dung giả mạo như một cảnh báo bảo mật thật.
Một ví dụ điển hình: kẻ xấu có thể khiến Gemini tự động chèn dòng cảnh báo như “Mật khẩu Gmail của bạn đã bị xâm phạm. Gọi 1-800-***-xxxx ngay lập tức” vào phần tóm tắt, khiến người dùng tưởng là thật và gọi vào số lừa đảo. Điều nguy hiểm là không cần đính kèm link, tệp hay phần mềm độc hại, mọi thứ đều xảy ra bên trong email thông thường.
Nguy cơ lan rộng trong hệ sinh thái G-Suite
Vấn đề không chỉ dừng lại ở một email. Theo Figueroa, vì Gemini đang được Google tích hợp sâu vào các sản phẩm như Gmail, Docs, Slides, Drive… nên bất kỳ nội dung nào có chứa văn bản HTML cũng có thể trở thành công cụ tấn công, nếu chatbot được kích hoạt để xử lý thông tin từ đó.
Điều này đặt ra rủi ro đối với các hệ thống email tự động, bản tin, hệ thống CRM doanh nghiệp… nơi một lỗ hổng có thể biến một tài khoản SaaS bị xâm nhập thành hàng nghìn điểm phát tán lừa đảo, làm tổn hại toàn bộ chuỗi cung ứng.
Google cho biết hãng đã triển khai nhiều biện pháp phòng thủ, bao gồm hợp tác với Mandiant để kiểm tra lỗ hổng, huấn luyện mô hình AI để nhận diện tấn công đối kháng, và tăng cường các bộ lọc bảo mật. Tuy vậy, theo 0din, lỗ hổng dạng "prompt injection" kiểu này vẫn có thể khai thác được ở thời điểm hiện tại, và các tổ chức cần chủ động tự bảo vệ.
Cần làm gì để phòng ngừa?
Các chuyên gia khuyến nghị các công ty nên:Khử trùng HTML đầu vào: loại bỏ kiểu chữ ẩn như font-size:0, color:white, opacity:0.
Tăng cường tường lửa cho chatbot AI: kiểm soát nội dung đầu vào và đầu ra.
Lọc hậu xử lý: quét phản hồi AI để phát hiện các thông tin bất thường như số điện thoại, liên kết hoặc lời cảnh báo khẩn cấp.
Tách biệt văn bản AI tạo ra với nguồn gốc gốc, và gắn dấu truy vết cho từng dòng được thêm vào từ mô hình.
Mặc dù chưa có bằng chứng cho thấy lỗ hổng này đã bị khai thác trên thực tế, nhưng đây là lời cảnh tỉnh về những rủi ro bảo mật mới trong kỷ nguyên AI. Người dùng và doanh nghiệp không thể chỉ dựa vào sự thông minh của chatbot, mà cần hiểu rõ cách chúng hoạt động và phòng ngừa từ sớm.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
