 |
| Hacker có thể lợi dụng lỗ hổng trong trình duyệt AI để đánh cắp dữ liệu nhạy cảm |
Trình duyệt AI có thể bị lừa bằng lời nhắc độc hại ẩn trong URL
Một nhóm nghiên cứu bảo mật vừa cảnh báo về một hình thức tấn công mới nhắm vào các trình duyệt và trợ lý trình duyệt tích hợp AI. Chỉ cần chèn những lời nhắc độc hại vào phần sau dấu thăng (#) trong URL - vốn được xem là vô hại và không bao giờ gửi đến máy chủ, kẻ tấn công có thể điều khiển hành vi của trợ lý AI, dẫn đến hàng loạt hậu quả nghiêm trọng như lừa đảo, rò rỉ dữ liệu hay phát tán phần mềm độc hại. Kỹ thuật này được gọi là HashJack, và theo đánh giá của các chuyên gia từ Cato Networks, nó có khả năng “biến bất kỳ trang web hợp pháp nào thành vũ khí”.
Trong cấu trúc URL, ký tự # được dùng để điều hướng tới một phần của trang web hoặc lưu trạng thái giao diện, và quan trọng nhất là phần dữ liệu phía sau nó chỉ tồn tại trên máy khách, không bao giờ được gửi đến máy chủ. Chính đặc điểm này khiến các cơ chế bảo mật truyền thống như tường lửa, IDS/IPS hay nhật ký máy chủ hoàn toàn không thể phát hiện hoạt động bất thường.
Tuy nhiên, các trình duyệt AI và trợ lý tích hợp lại hoạt động khác. Chúng có khả năng đọc toàn bộ ngữ cảnh của trang đang mở, bao gồm cả phân đoạn URL sau dấu #. Điều này đồng nghĩa rằng nếu phân đoạn đó chứa các lời nhắc độc hại, trợ lý AI có thể vô tình thực thi chúng, từ đó thay đổi thông tin hiển thị cho người dùng hoặc tự động gửi dữ liệu ra ngoài.
Cách khai thác này đặc biệt nguy hiểm bởi nó xảy ra hoàn toàn ở phía máy khách. Không có đoạn mã nào trên trang web thật bị sửa đổi, không có yêu cầu lạ nào được gửi đến máy chủ - mọi hành vi đều xuất phát từ việc trợ lý AI “hiểu sai” nội dung URL. Do đó, HashJack tạo ra một lớp rủi ro hoàn toàn mới mà các mô hình bảo mật web truyền thống chưa từng tính đến.
Một điểm đáng chú ý khác là HashJack hoạt động dựa trên kỹ thuật xã hội. Người dùng có thể bị dẫn dụ nhấp vào các URL hợp pháp, chẳng hạn trang ngân hàng, nhưng kèm theo một chuỗi ký tự dài phía sau dấu thăng mà họ không để ý. Khi trang mở ra, trợ lý AI có thể bị buộc đưa ra hướng dẫn giả mạo như gọi đến số điện thoại do kẻ tấn công kiểm soát, truy cập đường dẫn lừa đảo, hoặc tải xuống phần mềm độc hại. Trong các trường hợp nâng cao hơn, AI thậm chí có thể tự động thu thập thông tin từ trang ngân hàng và gửi về máy chủ của kẻ tấn công.
Mức độ ảnh hưởng trên các trợ lý AI không đồng đều
Trong báo cáo thử nghiệm, các nhà nghiên cứu chỉ ra rằng mức độ dễ bị tấn công của các trợ lý AI trên trình duyệt không giống nhau. Tất cả đều có thể bị tác động đến nội dung văn bản hiển thị, nhưng việc chèn các hành động phức tạp như liên kết độc hại hoặc yêu cầu gửi dữ liệu lại gặp nhiều giới hạn hơn ở một số hệ thống.
Gemini Assistant trên Chrome có cơ chế viết lại URL, đôi khi tự động biến chúng thành truy vấn tìm kiếm, khiến việc chèn liên kết độc hại khó thành công hơn. Copilot trên Edge lại yêu cầu xác nhận bổ sung khi người dùng truy cập liên kết từ tin nhắn của AI, tạo thêm một lớp bảo vệ.
Tuy nhiên, Comet của Perplexity được đánh giá là dễ bị khai thác nhất. Vì hoạt động như một trình duyệt agentic có khả năng thực hiện tác vụ nền, Comet có thể vô tình truy cập URL độc hại và gửi theo cả ngữ cảnh của trang, bao gồm dữ liệu người dùng, trong một yêu cầu tự động.
Microsoft và Perplexity đã tung ra bản vá. Trong khi đó, Google cho rằng HashJack không phải lỗi bảo mật mà là hành vi nằm trong thiết kế. Các thử nghiệm cũng cho thấy kỹ thuật này không hiệu quả trên Claude chạy trong Chrome và trình duyệt Operator của OpenAI.
Xem thêm:
Đăng Khoa
Bình luận