Tác nhân AI nội bộ của Google phát hiện ra lỗ hổng nghiêm trọng trong Chrome

Google đã sửa một lỗ hổng nghiêm trọng trong Chrome phiên bản 139.0.7258.154/155 cho Windows và macOS và 139.0.7258.154 cho Linux. Theo Google, lỗ hổng vẫn chưa bị khai thác cho các cuộc tấn công trong tự nhiên. Các nhà sản xuất các trình duyệt dựa trên Chromium khác dự kiến sẽ làm theo trong những ngày tới.

Trong các Chrome Phát hành bài đăng trên blog, Krishna Govind trình bày tính dễ bị tổn thương đã bị loại bỏ (CVE-2025-9478), được coi như thể nó được phát hiện bởi các nhà nghiên cứu bảo mật bên ngoài, nhưng Google Big Sleep được mệnh danh là người phát hiện ra lỗ hổng bảo mật. Đây là một công cụ “AI” dựa trên Gemini để phát hiện các lỗ hổng bảo mật và nó được thiết kế để tự phát hiện các lỗ hổng mà không cần sự trợ giúp của con người.

Vì các phát hiện bảo mật của các công cụ “AI” như vậy phải luôn được xử lý một cách thận trọng nên chúng đã được các chuyên gia kiểm tra kỹ lưỡng. Google không cung cấp bất kỳ thông tin nào về tần suất Big Sleep đưa ra chẩn đoán sai. Tuy nhiên, trong trường hợp này, Big Sleep rõ ràng đã không mắc sai lầm— và Google thậm chí còn phân loại CVE-2025-9478 (lỗ hổng use-after-free trong thư viện đồ họa Angle) là rất quan trọng.

Trong bản cập nhật bảo mật trước đó cho Chrome từ một tuần trước, Google cũng đã đóng một lỗ hổng bảo mật được phát hiện bởi Big Sleep. Liệu các công cụ “AI” như vậy có cần thiết trong tương lai gần để tìm lỗ hổng bảo mật trong mã chương trình do “AI” tạo ra hay không vẫn còn phải xem.

Chrome thường tự động cập nhật khi có phiên bản mới. Bạn có thể kích hoạt kiểm tra cập nhật theo cách thủ công bằng cách sử dụng mục menu Trợ giúp > Giới thiệu về Google Chrome. Google cũng đã cung cấp Chrome cho Android 139.0.7258.158. Phiên bản Android khắc phục các lỗ hổng tương tự như phiên bản dành cho máy tính để bàn.

Google có kế hoạch phát hành Chrome 140 trong tuần tới, trong khi một số ít người dùng đã được nếm thử trong tuần này.

Các trình duyệt dựa trên Chromium khác

Các nhà sản xuất các trình duyệt dựa trên Chromium khác hiện được yêu cầu làm theo với các bản cập nhật. Microsoft Edge, Brave và Vivaldi hiện đang ở mức bảo mật tuần trước. Tuy nhiên, Vivaldi không sử dụng Chromium 139, mà là Chromium 138 từ Kênh ổn định mở rộng.

Bất chấp bản cập nhật khắc phục sự cố vào ngày 25 tháng 8, Opera vẫn đang sử dụng Chromium 135 lỗi thời mà Google đã không cung cấp bất kỳ bản cập nhật nào kể từ cuối tháng 4. Phiên bản tiếp theo của Opera, vẫn được trang bị Chromium 137 (từ giữa tháng 6), vẫn đang trong giai đoạn thử nghiệm beta và có thể xuất hiện đúng lúc phát hành Chrome 140.