Một lỗ hổng bảo mật nghiêm trọng vừa được tiết lộ cho thấy ChatGPT có thể bị lợi dụng để đánh cắp API key và dữ liệu nhạy cảm từ các nền tảng đám mây như Google Drive mà không cần nạn nhân nhấp chuột hay tương tác. Cuộc tấn công được đặt tên là AgentFlayer – một dạng tấn công prompt injection lợi dụng chính tính năng Connectorscủa OpenAI.
AgentFlayer: Tấn công không cần tương tác người dùng
AgentFlayer được đánh giá là một mối đe dọa kiểu “zero-click”. Kẻ tấn công chỉ cần gửi một tài liệu tưởng chừng vô hại qua Google Drive, trong đó chứa đoạn prompt độc hại được giấu kín bằng cách định dạng chữ trắng, cỡ 1, khiến người dùng không thể nhìn thấy nhưng ChatGPT vẫn đọc được và thực thi.
Khi người dùng mở ChatGPT và sử dụng tài liệu đó trong quá trình làm việc – đặc biệt khi bật tính năng Connectorsđể liên kết ChatGPT với các dịch vụ bên ngoài như Google Drive hoặc Microsoft OneDrive – prompt ẩn sẽ tự động kích hoạt. Nó ra lệnh cho ChatGPT tìm kiếm các API key trong tài khoản Google Drive của nạn nhân, rồi gửi thông tin đó đến máy chủ do hacker kiểm soát thông qua một URL được thiết kế sẵn.
Vì không cần người dùng phải bấm bất kỳ liên kết nào, AgentFlayer có khả năng đánh lừa kể cả những người dùng cẩn trọng nhất. Lỗ hổng này đã được các nhà nghiên cứu bảo mật thử nghiệm thành công, qua đó minh họa mức độ rủi ro thực tế khi AI truy cập tự do vào các tệp cá nhân.
ChatGPT Connectors: Cơ hội tiện lợi hay điểm yếu bảo mật?
Tính năng Connectors là một phần mới của ChatGPT, cho phép kết nối với ứng dụng bên ngoài như Gmail, Google Calendar, Drive hay các dịch vụ doanh nghiệp. Nó giúp chatbot trở thành một trợ lý số thông minh, có thể truy cập tài liệu, đọc tệp, đặt lịch và làm việc xuyên ứng dụng. Tuy nhiên, sự tự động này cũng là mối nguy nếu AI không phân biệt được prompt hợp lệ và prompt độc hại.
Dù lỗ hổng không phải do bản thân Google Drive gây ra, Google Workspace cho biết đang tăng cường các biện pháp bảo vệ để ngăn AI (kể cả của bên thứ ba) xử lý các lệnh ẩn tiềm ẩn rủi ro. Đồng thời, OpenAI đã được cảnh báo về vấn đề này từ đầu năm và cho biết đã triển khai các biện pháp kỹ thuật để ngăn AgentFlayer tiếp tục hoạt động trong Connectors.
Mối lo dài hạn: AI truy cập tự do, dữ liệu người dùng dễ bị tổn thương
AgentFlayer không chỉ là một cuộc tấn công cụ thể, mà còn là ví dụ rõ ràng về rủi ro tổng thể khi các hệ thống AI có quyền truy cập sâu vào dữ liệu cá nhân. Khi người dùng cho phép chatbot kết nối trực tiếp với tài khoản đám mây mà không có lớp kiểm duyệt hoặc giám sát rõ ràng, prompt injection trở thành công cụ nguy hiểm trong tay kẻ xấu.
Mặc dù AgentFlayer chỉ có thể lấy một lượng thông tin giới hạn mỗi lần truy cập, các nhà nghiên cứu cảnh báo rằng dạng tấn công này có thể được nhân rộng hoặc tinh chỉnh để đánh cắp nhiều dữ liệu hơn nếu không có cơ chế bảo vệ chủ động. Những gì từng là ưu điểm của AI – khả năng làm việc tự động, truy cập đa dịch vụ – giờ đây cũng trở thành lỗ hổng nếu không được kiểm soát chặt chẽ.
Tóm lại: Lỗ hổng AgentFlayer là hồi chuông cảnh tỉnh cho tất cả người dùng và nhà phát triển AI. Khi trí tuệ nhân tạo có thể bị “lập trình ngầm” qua các tài liệu tưởng chừng vô hại, an toàn dữ liệu không còn là vấn đề phần mềm đơn thuần, mà là bài toán thiết kế tổng thể trong kỷ nguyên AI kết nối mọi thứ.