Một cảnh báo bảo mật mới đang khiến cộng đồng công nghệ lo ngại: nhiều “chìa khóa truy cập” của Google từng được xem là không quan trọng nay lại có thể dùng để truy cập vào hệ thống trí tuệ nhân tạo Gemini của hãng.
Điều đáng nói là những chìa khóa này từng được đặt công khai trên Internet, và trước đây không bị coi là nguy hiểm. Nhưng khi công nghệ AI phát triển mạnh, chúng bất ngờ trở thành điểm yếu có thể bị kẻ xấu lợi dụng.
Chuyện gì đã xảy ra?
Để website hoặc ứng dụng hoạt động, các lập trình viên thường dùng một đoạn mã gọi là API key (có thể hiểu đơn giản là một “chìa khóa điện tử” giúp phần mềm kết nối với dịch vụ của Google).
Trước đây, Google cho rằng một số API key chỉ mang tính nhận diện dự án, không phải mật khẩu bí mật. Vì vậy, nhiều website đã để chúng hiển thị trong mã nguồn.
Tuy nhiên, khi Google tích hợp các dịch vụ AI mới như Gemini, những API key cũ này lại có thể được dùng để truy cập hệ thống AI. Điều đó đồng nghĩa: một chìa khóa từng “vô hại” nay có thể mở ra cánh cửa vào dữ liệu hoặc dịch vụ có tính phí.
Trước đây, Google cho rằng một số API key chỉ mang tính nhận diện dự án, không phải mật khẩu bí mật. Vì vậy, nhiều website đã để chúng hiển thị trong mã nguồn.
Tuy nhiên, khi Google tích hợp các dịch vụ AI mới như Gemini, những API key cũ này lại có thể được dùng để truy cập hệ thống AI. Điều đó đồng nghĩa: một chìa khóa từng “vô hại” nay có thể mở ra cánh cửa vào dữ liệu hoặc dịch vụ có tính phí.
Hàng nghìn khóa bị lộ công khai
Nhóm nghiên cứu bảo mật từ Truffle Security cho biết họ phát hiện hơn 2.800 API key của Google đang hiển thị công khai trên Internet.
Trong số đó có cả khóa của các tổ chức lớn như ngân hàng, công ty công nghệ và doanh nghiệp an ninh mạng.
Nguy cơ ở đây không chỉ là truy cập dữ liệu, mà còn có thể khiến chủ tài khoản bị tính phí rất lớn nếu kẻ xấu sử dụng AI liên tục thông qua các khóa này.
Trong số đó có cả khóa của các tổ chức lớn như ngân hàng, công ty công nghệ và doanh nghiệp an ninh mạng.
Nguy cơ ở đây không chỉ là truy cập dữ liệu, mà còn có thể khiến chủ tài khoản bị tính phí rất lớn nếu kẻ xấu sử dụng AI liên tục thông qua các khóa này.
Vì sao điều này đáng lo?
Trí tuệ nhân tạo hiện nay có thể:
- Tạo văn bản giống hệt người thật viết
- Tạo hình ảnh chân thực đến mức khó phân biệt bằng mắt thường
- Phân tích và xử lý dữ liệu cực nhanh
Chính vì vậy, khi các công cụ như Gemini ngày càng mạnh, nếu bị truy cập trái phép, hậu quả có thể rất nghiêm trọng.
Người dùng bình thường gần như không thể phân biệt ảnh do AI tạo với ảnh thật nếu chỉ nhìn bằng mắt. Điều này cho thấy công nghệ đã tiến xa đến mức nào nhưng cũng mở ra nguy cơ:
- Lừa đảo bằng hình ảnh giả mạo
- Tạo nội dung giả để bôi nhọ, tống tiền
- Giả mạo thông tin cá nhân
AI càng thông minh, việc kiểm soát và bảo mật càng trở nên quan trọng.
Google nói gì?
Google cho biết họ đã nắm được vấn đề và đang phối hợp xử lý. Hãng đã bổ sung các biện pháp để phát hiện và chặn những API key bị lộ khi có dấu hiệu sử dụng sai mục đích.
Ngoài ra, Google khuyến nghị các nhà phát triển:
Ngoài ra, Google khuyến nghị các nhà phát triển:
- Không để lộ API key trên Internet
- Giới hạn quyền truy cập của mỗi key
- Kiểm tra và thay mới khóa định kỳ
Nếu bạn chỉ sử dụng Internet thông thường, bạn không cần hoảng sợ. Tuy nhiên, sự việc này là lời nhắc rằng:
- Không nên tin hoàn toàn vào hình ảnh hoặc thông tin trên mạng
- Cần cảnh giác trước nội dung quá “hoàn hảo” hoặc gây sốc
- Luôn xác minh thông tin từ nguồn chính thống
Công nghệ AI như Gemini là bước tiến lớn của nhân loại. Nhưng giống như mọi công cụ mạnh mẽ khác, nếu rơi vào tay kẻ xấu, nó có thể trở thành mối nguy hiểm. Trong thế giới số ngày nay, hiểu biết và cảnh giác chính là “lá chắn” tốt nhất của mỗi người dùng.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
