ChatGPT vô tình trở thành ‘tay sai’ đánh cắp dữ liệu Gmail

Các nhà nghiên cứu bảo mật vừa phát hiện một lỗ hổng nghiêm trọng cho phép hacker biến ChatGPT thành công cụ đánh cắp thông tin nhạy cảm từ hộp thư Gmail của người dùng. Mặc dù lỗ hổng đã được vá, vụ việc cho thấy những rủi ro tiềm ẩn của công nghệ AI tự động.

Nguồn ảnh: Techlade

Theo công ty an ninh mạng Radware, một kỹ thuật tấn công mới mang tên “Bóng ma Rò rỉ” (Shadow Leak) đã được sử dụng để khai thác các AI Agent. Đây là những trợ lý AI tự động thực hiện các tác vụ phức tạp từ duyệt web, mở tài liệu cho đến kiểm tra email mà không cần giám sát. Các hãng công nghệ luôn nhấn mạnh sự tiện lợi của chúng, nhưng lại bỏ ngỏ một thực tế nguy hiểm: để hoạt động, các AI Agent cần được cấp quyền truy cập vào những thông tin nhạy cảm như email cá nhân, lịch làm việc hay các tài liệu quan trọng, khiến chúng trở thành điểm yếu tiềm ẩn trong hệ thống an ninh mạng của người dùng.

Thế nhưng, chính sự tiện lợi đột phá này lại mở ra cánh cửa cho những rủi ro khó lường. Các chuyên gia bảo mật tại Radware đã chỉ ra một hình thức tấn công tinh vi mang tên “tiêm lệnh” (prompt injection). Về bản chất, chiêu thức này sử dụng những câu lệnh ẩn được chèn vào các email thông thường, nhằm lôi kéo AI Agent thực hiện các hành vi sai trái theo kịch bản của kẻ tấn công. Những dòng lệnh độc hại này thường được ngụy trang khéo léo, chẳng hạn như dùng chữ trắng trên nền trắng để qua mặt người dùng. Một khi đã bị kiểm soát, những công cụ AI mạnh mẽ này có thể trở thành tay sai đắc lực, thực hiện hàng loạt hành vi độc ác, từ thao túng đánh giá sản phẩm cho đến lừa đảo chiếm đoạt tài chính.

Cụ thể, vai trò “điệp viên hai mang” trong sự việc này thuộc về Deep Research, một công cụ AI được tích hợp trong ChatGPT. Bằng cách gửi một email chứa mã lệnh bí mật tới một tài khoản Gmail mà Deep Research có quyền truy cập, các nhà nghiên cứu đã cài đặt một “mồi nhử” vô hình, chờ đợi thời cơ để thực hiện hành vi can thiệp.

Trong khi người dùng tương tác với ChatGPT và Deep Research, một “cái bẫy” tinh vi được đặt ra cho AI Agent. Thay vì thực hiện các tác vụ thông thường, AI này đã bí mật đọc và tuân theo một lệnh ẩn, được thiết kế để đánh cắp dữ liệu. Sau khi rơi vào bẫy, AI Agent sẽ bắt đầu tìm kiếm và thu thập các email có chứa thông tin cá nhân hoặc dữ liệu nhân sự, rồi lặng lẽ gửi chúng về máy chủ của hacker. Toàn bộ quá trình này diễn ra một cách âm thầm, khiến nạn nhân không hề hay biết rằng thông tin của mình đang bị chiếm đoạt.

Việc bẻ cong các quy tắc của một AI Agent để tạo ra một lỗ hổng bảo mật là một thách thức không hề đơn giản, yêu cầu sự kiên trì và một loạt các thử nghiệm thất bại. “Đây là một cuộc hành trình đầy thăng trầm của những nỗ lực không thành, của những trở ngại tưởng chừng không thể vượt qua, và cuối cùng là một đột phá mang tính cách mạng,” các nhà khoa học tham gia dự án chia sẻ.

Điều đáng báo động, không giống như phần lớn các cuộc tấn công tiêm lệnh phổ biến khác, “Bóng ma rò rỉ” được kích hoạt trực tiếp trên hệ thống đám mây của OpenAI. Khả năng tuồn dữ liệu từ chính nền tảng này khiến nó trở nên vô hình và có thể qua mặt dễ dàng các hệ thống phòng thủ mạng truyền thống.

Các kỹ sư của OpenAI đã xác nhận lỗ hổng được công ty an ninh mạng Radware cảnh báo vào tháng 6 đã được khắc phục. Tuy nhiên, sự việc trên là một lời cảnh tỉnh rõ rệt về những mối hiểm họa mới đang dần xuất hiện, song hành cùng sự phát triển mạnh mẽ của công nghệ tự động sử dụng trí tuệ nhân tạo.