Tại hội nghị hacker Black Hat diễn ra tại Las Vegas (Mỹ), hai nhà nghiên cứu Michael Bargury và Tamir Ishay Sharbat đã công bố một phương thức tấn công mạng mới mang tên AgentFlayer.
Đây là dạng tấn công không cần bất kỳ hành động nào từ phía người dùng như nhấp liên kết, mở tập tin nhưng vẫn có thể chiếm quyền truy cập tài khoản và đánh cắp dữ liệu nhạy cảm.
Cuộc tấn công này khai thác lỗ hổng trong connectors, tính năng cho phép ChatGPT liên kết với các dịch vụ bên ngoài như Google Drive, Gmail hay Microsoft Calendar. Kẻ tấn công có thể lợi dụng lỗ hổng này để khiến ChatGPT gợi ý người dùng tải về phần mềm chứa vi rút, đưa ra lời khuyên kinh doanh sai lệch hoặc truy cập các tệp tin lưu trữ trên Google Drive nếu tài khoản của người dùng được kết nối.
Cụ thể, quá trình tấn công khi việc kẻ xấu chia sẻ vào Google Drive của nạn nhân một tài liệu đã bị cài mã độc. Tài liệu này chứa một lời nhắc độc hại dài khoảng 300 từ, được viết bằng chữ trắng cỡ chữ 1, gần như vô hình với mắt thường nhưng máy tính vẫn đọc được.
Bên ngoài, văn bản được ngụy trang như ghi chú cuộc họp. Thực chất, nó chứa hướng dẫn cho ChatGPT tìm và trích xuất các khóa API nhạy cảm trong tài khoản Google Drive của nạn nhân.
Thay vì tóm tắt nội dung như người dùng yêu cầu, lời nhắc ẩn này buộc AI gửi các khóa API tìm được tới máy chủ bên ngoài thông qua một liên kết Markdown. Dữ liệu bị trích xuất dưới dạng hình ảnh, cho phép máy chủ ghi lại toàn bộ thông tin.
Thậm chí, đoạn lệnh ẩn còn cho phép hacker tiếp tục điều khiển AI như một "tay trong", âm thầm tìm kiếm thông tin mật và gửi về cho kẻ tấn công, cho đến khi nạn nhân gỡ kết nối giữa ChatGPT và Google Drive.
Bên cạnh ChatGPT, các nền tảng AI khác cũng bị phát hiện tồn tại rủi ro tương tự. Tại Copilot Studio của Microsoft, các nhà nghiên cứu đã phát hiện cách thức rò rỉ toàn bộ cơ sở dữ liệu CRM.
Đối với Salesforce Einstein, tin tặc có thể tạo các yêu cầu dịch vụ giả mạo để chuyển hướng toàn bộ liên lạc của khách hàng về các địa chỉ email do chúng kiểm soát.
Trong khi đó, Google Gemini và Microsoft 365 Copilot cũng bị biến thành các tác nhân thù địch, lợi dụng email và sự kiện lịch để thực hiện hành vi lừa đảo và rò rỉ thông tin.
Một ví dụ khác là công cụ phát triển phần mềm Cursor khi tích hợp với Jira MCP cũng bị lợi dụng để đánh cắp thông tin đăng nhập của lập trình viên thông qua các ticket giả mạo.
Sau khi nhận báo cáo từ Bargury, một số công ty như OpenAI và Microsoft đã nhanh chóng phát hành bản vá. Tuy nhiên, vẫn có những công ty từ chối xử lý, cho rằng hành vi được phát hiện là chức năng thiết kế chứ không phải lỗ hổng bảo mật.
“Cần phát triển các cơ chế bảo vệ mạnh mẽ trước những cuộc tấn công tiêm mã độc diễn ra nhanh chóng”, ông Andy Wen, Giám đốc cấp cao phụ trách quản lý sản phẩm bảo mật tại Google Workspace nhấn mạnh.
Dù phần lớn lỗ hổng đã được khắc phục, vụ việc cho thấy rõ rủi ro đáng kể khi kết nối các mô hình ngôn ngữ lớn (LLM) với những hệ thống bên ngoài. Khi AI ngày càng được tích hợp sâu vào đời sống và công việc, bề mặt tấn công mà tin tặc có thể khai thác cũng mở rộng đáng kể.
Các chuyên gia cảnh báo, hình thức tiêm mã lệnh nhắc nhở gián tiếp có thể trở thành mối đe dọa nghiêm trọng, cho phép kẻ tấn công chiếm quyền điều khiển các hệ thống AI từ nhà thông minh đến hạ tầng doanh nghiệp.
Nhà nghiên cứu Bargury kết luận rằng, việc tích hợp LLM với nguồn dữ liệu bên ngoài mang lại sức mạnh lớn, nhưng như mọi công nghệ AI khác, càng mạnh thì cũng đồng nghĩa với rủi ro càng lớn.
