ChatGPT bị lừa để thu thập dữ liệu nhạy cảm từ Gmail

Các nhà nghiên cứu bảo mật đã sử dụng ChatGPT như một đồng phạm để trích xuất dữ liệu nhạy cảm từ hộp thư Gmail mà không khiến người dùng nhận ra. Lỗ hổng bị khai thác này đã được OpenAI đóng lại, nhưng đây là một ví dụ điển hình về những rủi ro mới liên quan đến AI có khả năng tự hành động (agentic AI).

Cuộc tấn công, có tên Shadow Leak, được công bố tuần này bởi công ty bảo mật Radware, khai thác một điểm đặc biệt trong cách hoạt động của các AI agent. AI agent là trợ lý có thể hành động thay người dùng mà không cần giám sát liên tục, tức là chúng có thể lướt web và nhấp vào các liên kết. Các công ty AI ca ngợi chúng như một công cụ tiết kiệm thời gian, sau khi người dùng cho phép truy cập vào email cá nhân, lịch làm việc, tài liệu công việc, v.v.

Các nhà nghiên cứu Radware lợi dụng tính hữu ích này bằng một hình thức tấn công gọi là prompt injection — các lệnh khiến AI agent thực hiện mệnh lệnh của hacker. Các công cụ mạnh mẽ này khó có thể ngăn chặn nếu không biết trước exploit đang hoạt động. Hacker đã triển khai chúng sáng tạo trong nhiều cách, bao gồm gian lận đánh giá, thực hiện scam, và kiểm soát nhà thông minh. Người dùng thường không nhận ra điều gì sai, vì các lệnh có thể ẩn trong tầm mắt (ví dụ chữ trắng trên nền trắng).

Trong vụ việc này, “điệp viên hai mang” là Deep Research, một công cụ AI tích hợp trong ChatGPT ra mắt đầu năm nay. Các nhà nghiên cứu Radware đã cấy prompt injection vào một email gửi đến hộp thư Gmail mà agent có quyền truy cập. Khi người dùng sử dụng Deep Research lần tới, agent sẽ vô tình kích hoạt bẫy, thực hiện lệnh tìm kiếm email của HR và thông tin cá nhân, sau đó gửi ra ngoài cho hacker, trong khi nạn nhân không hề hay biết.

Để một agent đi rogue và trích xuất dữ liệu mà không bị phát hiện là khó khăn, đòi hỏi nhiều thử nghiệm và điều chỉnh. “Quá trình này giống như một cuộc rollercoaster với nhiều lần thất bại, bế tắc, và cuối cùng là thành công,” các nhà nghiên cứu cho biết.

Không giống hầu hết prompt injection khác, Shadow Leak thực thi trực tiếp trên cơ sở hạ tầng đám mây của OpenAI và rò rỉ dữ liệu từ đó, khiến các biện pháp bảo vệ mạng thông thường không phát hiện được.

Radware nhấn mạnh đây là proof-of-concept và cảnh báo rằng các ứng dụng khác kết nối với Deep Research — bao gồm Outlook, GitHub, Google Drive, và Dropbox — có thể bị tấn công tương tự. “Kỹ thuật này có thể được áp dụng để trích xuất dữ liệu kinh doanh nhạy cảm như hợp đồng, ghi chú cuộc họp hay hồ sơ khách hàng,” họ nói.

OpenAI hiện đã vá lỗ hổng mà Radware phát hiện vào tháng 6, theo các nhà nghiên cứu.