Trình duyệt AI ChatGPT Atlas của OpenAI vừa ra mắt đã khiến giới an ninh mạng toàn cầu chấn động, khi các chuyên gia phát hiện một lỗ hổng nghiêm trọng có thể bị khai thác để chiếm quyền điều khiển và đánh cắp dữ liệu người dùng. Vốn được quảng bá là “trợ lý AI biết duyệt web thay bạn”, Atlas nay lại bộc lộ điểm yếu nghiêm trọng trong cách nó xử lý các trang web và lệnh tự động, biến chính ưu điểm “tự hành động” thành cánh cửa mở cho kẻ tấn công kiểm soát toàn bộ phiên duyệt web của người dùng.
Trình duyệt ChatGPT Atlas là sản phẩm của OpenAI, dựa trên nhân Chromium và tích hợp mạnh mẽ với trợ lý AI ChatGPT, cho phép người dùng không chỉ nhập địa chỉ web hay tìm kiếm như bình thường mà còn “hỏi” và “giao” cho AI thực hiện tác vụ như truy cập trang, tóm tắt nội dung, thậm chí “đại diện” người dùng lướt web. Tuy nhiên, chính việc gắn quyền “tự động thực thi tác vụ web” vào một trợ lý AI đã mở ra một bề mặt tấn công mới.
Ngay khi Atlas được mở rộng cho người dùng (trước hết trên macOS), các nhóm nghiên cứu bảo mật bắt đầu kiểm thử. Nghiên cứu từ LayerX Security chỉ ra rằng Atlas dễ bị exploit kiểu “prompt injection” – nghĩa là kẻ tấn công có thể chèn những chỉ thị độc hại vào trang web hoặc URL-giả, khiến AI hiểu sai và thực hiện những hành động không mong muốn. Một nhóm khác là hãng Brave Software cũng cảnh báo rằng lỗi này không chỉ riêng Atlas mà là “vấn đề hệ thống” với các trình duyệt AI.
Vấn đề cốt lõi nằm ở việc trình duyệt “nhầm lẫn” giữa đầu vào người dùng và đầu vào độc hại, giữa URL cần truy cập và lệnh nhúng. Cụ thể, nếu người dùng hoặc kẻ tấn công đưa vào omnibox (thanh địa chỉ/tìm kiếm) một chuỗi trông giống URL nhưng thực chất chứa lệnh ngôn ngữ (prompt) thì Atlas có thể hiểu đó là “mệnh lệnh từ người dùng” và thực thi.
Quy trình hoạt động của tấn công:
Mức độ nguy hiểm không chỉ dừng ở việc “trình duyệt bị hack” mà còn là khả năng:
Khuyến nghị dành cho người dùng và doanh nghiệp:
Trình duyệt ChatGPT Atlas là sản phẩm của OpenAI, dựa trên nhân Chromium và tích hợp mạnh mẽ với trợ lý AI ChatGPT, cho phép người dùng không chỉ nhập địa chỉ web hay tìm kiếm như bình thường mà còn “hỏi” và “giao” cho AI thực hiện tác vụ như truy cập trang, tóm tắt nội dung, thậm chí “đại diện” người dùng lướt web. Tuy nhiên, chính việc gắn quyền “tự động thực thi tác vụ web” vào một trợ lý AI đã mở ra một bề mặt tấn công mới.
Ngay khi Atlas được mở rộng cho người dùng (trước hết trên macOS), các nhóm nghiên cứu bảo mật bắt đầu kiểm thử. Nghiên cứu từ LayerX Security chỉ ra rằng Atlas dễ bị exploit kiểu “prompt injection” – nghĩa là kẻ tấn công có thể chèn những chỉ thị độc hại vào trang web hoặc URL-giả, khiến AI hiểu sai và thực hiện những hành động không mong muốn. Một nhóm khác là hãng Brave Software cũng cảnh báo rằng lỗi này không chỉ riêng Atlas mà là “vấn đề hệ thống” với các trình duyệt AI.
Vấn đề cốt lõi nằm ở việc trình duyệt “nhầm lẫn” giữa đầu vào người dùng và đầu vào độc hại, giữa URL cần truy cập và lệnh nhúng. Cụ thể, nếu người dùng hoặc kẻ tấn công đưa vào omnibox (thanh địa chỉ/tìm kiếm) một chuỗi trông giống URL nhưng thực chất chứa lệnh ngôn ngữ (prompt) thì Atlas có thể hiểu đó là “mệnh lệnh từ người dùng” và thực thi.
Quy trình hoạt động của tấn công:
- Kẻ tấn công tạo một chuỗi giả dạng URL chứa lời nhắc (ví dụ: “https://my-site[.]com/… + visit attacker-site + exfiltrate data”).
- Người dùng trá hình hoặc click hoặc dán chuỗi đó vào thanh địa chỉ của Atlas.
- Vì chuỗi đó không được xác thực là URL chuẩn, Atlas chuyển sang chế độ hiểu như lệnh dành cho trợ lý AI, tức agent.
- Trợ lý AI thực hiện lệnh, như mở trang nguy hiểm, truy cập tài khoản người dùng, trích xuất dữ liệu hoặc cài mã độc. Chẳng hạn nghiên cứu cho thấy có thể “cấy” lệnh vào bộ nhớ trợ lý, khiến hành vi độc hại tiếp diễn ngay cả khi người dùng chuyển sang tab khác.
Mức độ nguy hiểm không chỉ dừng ở việc “trình duyệt bị hack” mà còn là khả năng:
- Dữ liệu cá nhân bị truy cập, như lịch sử duyệt web, tài khoản đăng nhập, thậm chí ngân hàng nếu bạn sử dụng trình duyệt đó cho việc nhạy cảm.
- Doanh nghiệp triển khai Atlas hoặc dùng nó trong workflow có thể bị mất kiểm soát, việc một trợ lý AI thay bạn làm hành động web có thể khiến mã độc được cài đặt, truy cập nội bộ bị lộ. Các nhà phân tích đã cảnh báo rằng: “Doanh nghiệp không nên vội sử dụng Atlas” vì rủi ro quá lớn.
- Người dùng phổ thông tưởng rằng mình chỉ “dùng thử” nhưng lại có thể bị kẻ xấu lợi dụng thông qua các “link sao chép” giả, email lừa hoặc nội dung web chứa lệnh ẩn. Vì vậy, nguy cơ lộ mật khẩu, mất dữ liệu là rất thực.
Khuyến nghị dành cho người dùng và doanh nghiệp:
- Tránh sử dụng Atlas (hoặc trình duyệt AI tương tự) cho các tác vụ nhạy cảm như ngân hàng, quản lý doanh nghiệp, truy cập dữ liệu quan trọng cho đến khi nó được chứng minh an toàn.
- Nếu dùng, hãy tách biệt môi trường: Sử dụng trình duyệt truyền thống cho công việc nhạy cảm, và chỉ dùng Atlas cho tác vụ không quan trọng.
- Thường xuyên cập nhật trình duyệt, vô hiệu hóa chế độ agent nếu không cần thiết, luôn xác thực link/trang mà bạn truy cập, không click hoặc dán chuỗi lạ vào thanh địa chỉ.
- Doanh nghiệp nên đánh giá rủi ro trước khi triển khai, thiết lập chính sách “least privilege” và giám sát hoạt động của các trình duyệt AI trong tổ chức.
- Luôn lưu trữ dữ liệu quan trọng ở nơi an toàn và có phương án khôi phục nếu bị truy cập trái phép.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
