Code Nguyen
Writer
Bạn có bao giờ nghĩ rằng chỉ cần một email nhìn rất bình thường, không cần click vào link hay tải tệp lạ nào, AI có thể tự ý lấy dữ liệu Gmail của bạn rồi gửi thẳng cho hacker, mà bạn hoàn toàn không hay biết?
Cơ chế tấn công dựa trên prompt injection, tức là nhét lệnh ẩn vào những đoạn văn bản trông rất vô hại, ví dụ như trong email công việc. Khi Deep Research quét hộp thư, nó đọc thấy các lệnh này và tưởng rằng đó là yêu cầu thật từ người dùng. Thế là AI ngoan ngoãn thực hiện, từ việc trích xuất dữ liệu nhân sự, địa chỉ email cho đến gửi thông tin ra ngoài theo đúng chỉ dẫn của kẻ tấn công.
Dù OpenAI đã vá lỗ hổng mà Radware báo cáo, nhưng bản chất của prompt injection được coi là gần như không thể chặn triệt để. Mỗi lần ngăn được một cách tấn công, kẻ xấu lại nghĩ ra biến thể khác. Điều này đặt ra một câu hỏi lớn: liệu chúng ta có đang đánh đổi quá nhiều sự an toàn chỉ để lấy sự tiện lợi từ AI?
Ở Việt Nam, ngày càng nhiều cá nhân và doanh nghiệp tích hợp AI vào email, tài liệu, hệ thống nội bộ. Vậy theo bạn, chúng ta nên ưu tiên năng suất hay bảo mật, và liệu có thể dung hòa được cả hai?
Nguồn bài viết: https://www.technology.org/2025/09/22/ai-agent-steals-gmail-secrets-without-users-ever-knowing/
Khi AI trở thành "kẻ trộm vô hình"
Các nhà nghiên cứu an ninh của Radware vừa phát hiện ra một kiểu tấn công mới có tên ShadowLeak. Thủ phạm không phải virus hay phần mềm gián điệp, mà chính là AI agent của OpenAI, công cụ Deep Research. Đây là một AI được thiết kế để hỗ trợ người dùng làm việc nhanh hơn: đọc hàng loạt email, tổng hợp thông tin, truy cập web và viết báo cáo chỉ trong vài phút. Nhưng chính khả năng “tự hành động” này lại biến nó thành công cụ hoàn hảo cho hacker.Cơ chế tấn công dựa trên prompt injection, tức là nhét lệnh ẩn vào những đoạn văn bản trông rất vô hại, ví dụ như trong email công việc. Khi Deep Research quét hộp thư, nó đọc thấy các lệnh này và tưởng rằng đó là yêu cầu thật từ người dùng. Thế là AI ngoan ngoãn thực hiện, từ việc trích xuất dữ liệu nhân sự, địa chỉ email cho đến gửi thông tin ra ngoài theo đúng chỉ dẫn của kẻ tấn công.
Vấn đề chưa có lời giải
ShadowLeak nguy hiểm ở chỗ nạn nhân không cần làm gì, không bấm vào link, không mở file lạ, cũng không có cảnh báo nào hiện ra. Tất cả hành vi diễn ra trong hệ thống cloud của OpenAI, không để lại dấu vết trên thiết bị người dùng. Các công cụ bảo mật doanh nghiệp vốn được thiết kế để giám sát hoạt động của con người hoàn toàn bất lực trước một AI đang “hợp tác” với hacker.Dù OpenAI đã vá lỗ hổng mà Radware báo cáo, nhưng bản chất của prompt injection được coi là gần như không thể chặn triệt để. Mỗi lần ngăn được một cách tấn công, kẻ xấu lại nghĩ ra biến thể khác. Điều này đặt ra một câu hỏi lớn: liệu chúng ta có đang đánh đổi quá nhiều sự an toàn chỉ để lấy sự tiện lợi từ AI?
Ở Việt Nam, ngày càng nhiều cá nhân và doanh nghiệp tích hợp AI vào email, tài liệu, hệ thống nội bộ. Vậy theo bạn, chúng ta nên ưu tiên năng suất hay bảo mật, và liệu có thể dung hòa được cả hai?
Nguồn bài viết: https://www.technology.org/2025/09/22/ai-agent-steals-gmail-secrets-without-users-ever-knowing/
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview