Những báo cáo và trình diễn gần đây tại hội nghị an ninh máy tính Black Hat cho thấy các lệnh bên ngoài gửi tới AI Gemini, được gọi là “promptware”, có thể đánh lừa AI và buộc nó điều khiển các thiết bị nhà thông minh kết nối Google Home. Đây là một vấn đề đối với Google, vốn đang nỗ lực tích hợp các tính năng Gemini vào ứng dụng Google Home và thay thế Google Assistant bằng trợ lý AI mới.

Ảnh minh họa

Điểm mấu chốt của các lỗ hổng nghiêm trọng này nằm ở cách Gemini được thiết kế để phản hồi các lệnh cơ bản bằng tiếng Anh. Các màn trình diễn cho thấy một lệnh được khéo léo chèn vào lời mời họp Google Calendar cũng sẽ được Gemini quét và xử lý giống như khi nó tóm tắt email hoặc dữ liệu từ các ứng dụng Google khác. Nhưng trong trường hợp này, phần chèn thêm lại chứa chỉ thị cụ thể, chẳng hạn như tạo một tác nhân để điều khiển các thiết bị hàng ngày qua Google Home.

Nhóm nghiên cứu từ Đại học Tel Aviv, gồm Ben Nassi, Stav Cohen và Or Yair, đã tạo một trang web riêng giới thiệu báo cáo của họ mang tên Invitation is All You Need. Trang này bao gồm các video minh họa cách mà các lệnh Gemini phù hợp có thể được dùng để mở cửa sổ, tắt đèn, bật bình nước nóng hoặc xác định vị trí người dùng hiện tại.

Theo nghiên cứu Invitation is All You Need, một lệnh chi tiết có thể được giấu trong tiêu đề lời mời họp trên Calendar hoặc vị trí tương tự. Các lệnh này có thể khiến Gemini tạo một tác nhân ẩn và chờ một tín hiệu kích hoạt thông thường (như câu “cảm ơn” trong email) để thực hiện những hành động cụ thể.

Ngay cả khi quyền kiểm soát lịch của bạn được siết chặt, một số cuộc tấn công promptware vẫn có thể được tiến hành thông qua các nội dung khác mà Gemini quét, chẳng hạn như dòng tiêu đề email. Các màn trình diễn khác cho thấy các lệnh tương tự có thể dẫn đến gửi thư rác, xóa sự kiện, tự động phát trực tiếp trên Zoom và nhiều trò gây phiền toái khác.

Người dùng Google Home có nên lo lắng?

Google đã nói với hãng tin CNET rằng họ đã triển khai nhiều bản vá để xử lý lỗ hổng promptware kể từ khi nhóm nghiên cứu cung cấp báo cáo vào tháng 2/2025. Đây cũng chính là mục đích của hội nghị Black Hat - phát hiện vấn đề trước khi tội phạm mạng lợi dụng chúng để thực hiện các cuộc tấn công, và nhanh chóng tung ra bản sửa lỗi.

Giám đốc cấp cao phụ trách quản lý sản phẩm bảo mật tại Google Workspace - Andy Wen nói với CNET: “Chúng tôi đã khắc phục vấn đề này trước khi nó có thể bị khai thác, nhờ vào công trình tuyệt vời và tiết lộ có trách nhiệm của nhà nghiên cứu Ben Nassi cùng nhóm của ông. Nghiên cứu của họ giúp chúng tôi hiểu rõ hơn về các con đường tấn công mới, đồng thời thúc đẩy nhanh việc triển khai các biện pháp phòng thủ tiên tiến hiện đang bảo vệ người dùng.”

Nếu vẫn lo ngại, người dùng có thể vô hiệu hóa hoàn toàn Gemini trong hầu hết trường hợp. Việc tấn công nhà thông minh hiện tại rất hiếm và khó thực hiện nhờ các biện pháp bảo mật tiên tiến. Tuy nhiên, khi những AI tạo sinh mới được tích hợp vào nhà thông minh (bao gồm Alexa Plus đang triển khai và các bản nâng cấp AI của Siri trong tương lai), khả năng xuất hiện lỗ hổng mới là có. Giờ đây, chúng ta đã thấy cách thức điều đó diễn ra, và vì thế tính năng AI này cần phải được kiểm tra bảo mật thêm một lần nữa càng sớm càng tốt.

Nguyễn Yến (theo CNET)