Duy Linh
Writer
Vào tháng 9 năm 2025, nhà nghiên cứu Viktor Markopoulos thuộc FireTail đã tiến hành thử nghiệm nhiều mô hình ngôn ngữ lớn (LLM) để kiểm tra khả năng chống lại kỹ thuật buôn lậu ASCII, một phương pháp khai thác ký tự điều khiển Unicode tồn tại từ lâu. Kết quả cho thấy, nhiều dịch vụ AI phổ biến vẫn chưa loại bỏ hoàn toàn các thẻ Unicode ẩn, khiến doanh nghiệp có nguy cơ bị giả mạo danh tính và đầu độc dữ liệu.
Buôn lậu ASCII là kỹ thuật lợi dụng các ký tự điều khiển vô hình – những ký tự không hiển thị trong giao diện người dùng nhưng vẫn được hệ thống hiểu và xử lý. Khi kẻ tấn công chèn các ký tự này vào lời nhắc có vẻ vô hại, chúng có thể bí mật thêm lệnh ẩn để điều khiển mô hình AI.
Trước đây, các phương pháp như ghi đè Bidi trong cuộc tấn công “Trojan Source” đã làm thay đổi cách hiển thị và diễn giải văn bản, khiến người kiểm tra khó phát hiện mã độc. Ngày nay, rủi ro này càng lớn khi AI được tích hợp sâu vào email, lịch làm việc và quy trình tài liệu, khiến chỉ một lỗi hiển thị nhỏ cũng có thể dẫn đến hậu quả nghiêm trọng cho doanh nghiệp.
Bằng chứng thực tế từ thử nghiệm của FireTail
Để chứng minh lỗ hổng này, Markopoulos đã tạo một lời nhắc tưởng như bình thường:
nhắc nhở
Tuy nhiên, trong dữ liệu thô lại chứa các thẻ ẩn buộc mô hình bỏ qua yêu cầu và thay vào đó trả về từ “FireTail”. Mô hình Gemini đã thực thi đúng theo lệnh ẩn này, cho thấy sự yếu kém trong quá trình xử lý đầu vào: giao diện người dùng không nhận ra các ký tự thẻ, nhưng LLM lại hiểu và làm theo, khiến kiểm soát thủ công trở nên vô hiệu.
thử nghiệm các dịch vụ chính
Thử nghiệm tiếp theo với nhiều dịch vụ cho thấy ChatGPT, Copilot và Claude đã loại bỏ hiệu quả các chuỗi thẻ ẩn, trong khi Gemini, Grok và DeepSeek vẫn dễ bị tấn công.
Kịch bản tấn công nguy hiểm trong môi trường doanh nghiệp
Sự tiếp quản của Lịch vô hình
Trong khi AWS đã ban hành hướng dẫn về cách ngăn chặn buôn lậu Unicode, Google vẫn chưa có phản hồi dù đã được FireTail cảnh báo từ ngày 18/9/2025. Điều này khiến người dùng doanh nghiệp phải tự bảo vệ, bằng cách ghi lại toàn bộ ký tự, phân tích các khối thẻ và giám sát luồng dữ liệu thô để phát hiện hành vi bất thường trước khi thiệt hại lan rộng.
Ghi đè liên kết
Đọc chi tiết tại đây: https://gbhackers.com/ascii-smuggling-attack-in-gemini-tricks-ai/
Buôn lậu ASCII là kỹ thuật lợi dụng các ký tự điều khiển vô hình – những ký tự không hiển thị trong giao diện người dùng nhưng vẫn được hệ thống hiểu và xử lý. Khi kẻ tấn công chèn các ký tự này vào lời nhắc có vẻ vô hại, chúng có thể bí mật thêm lệnh ẩn để điều khiển mô hình AI.
Trước đây, các phương pháp như ghi đè Bidi trong cuộc tấn công “Trojan Source” đã làm thay đổi cách hiển thị và diễn giải văn bản, khiến người kiểm tra khó phát hiện mã độc. Ngày nay, rủi ro này càng lớn khi AI được tích hợp sâu vào email, lịch làm việc và quy trình tài liệu, khiến chỉ một lỗi hiển thị nhỏ cũng có thể dẫn đến hậu quả nghiêm trọng cho doanh nghiệp.
Bằng chứng thực tế từ thử nghiệm của FireTail
Để chứng minh lỗ hổng này, Markopoulos đã tạo một lời nhắc tưởng như bình thường:
nhắc nhở
Tuy nhiên, trong dữ liệu thô lại chứa các thẻ ẩn buộc mô hình bỏ qua yêu cầu và thay vào đó trả về từ “FireTail”. Mô hình Gemini đã thực thi đúng theo lệnh ẩn này, cho thấy sự yếu kém trong quá trình xử lý đầu vào: giao diện người dùng không nhận ra các ký tự thẻ, nhưng LLM lại hiểu và làm theo, khiến kiểm soát thủ công trở nên vô hiệu.
thử nghiệm các dịch vụ chính
Thử nghiệm tiếp theo với nhiều dịch vụ cho thấy ChatGPT, Copilot và Claude đã loại bỏ hiệu quả các chuỗi thẻ ẩn, trong khi Gemini, Grok và DeepSeek vẫn dễ bị tấn công.
Kịch bản tấn công nguy hiểm trong môi trường doanh nghiệp
- Giả mạo danh tính trong Google Workspace:
Bằng cách chèn ký tự thẻ vào lời mời lịch, kẻ tấn công có thể ghi đè tiêu đề, liên kết và thông tin người tổ chức mà không thay đổi giao diện hiển thị. Khi được xử lý bởi AI như Gemini, dữ liệu bị giả mạo sẽ được hiểu là thật, giúp tin tặc đánh lừa người dùng và hệ thống. - Đầu độc dữ liệu tự động:
Các nền tảng thương mại điện tử dùng AI để tóm tắt đánh giá người dùng có thể bị chèn lệnh ẩn. Ví dụ, một đánh giá như “Điện thoại tuyệt vời. Giao hàng nhanh và thời lượng pin tốt” có thể chứa mã chỉ đạo AI thêm liên kết lừa đảo vào phần tóm tắt, khiến kết quả bị đầu độc mà không ai phát hiện.
Sự tiếp quản của Lịch vô hình
Trong khi AWS đã ban hành hướng dẫn về cách ngăn chặn buôn lậu Unicode, Google vẫn chưa có phản hồi dù đã được FireTail cảnh báo từ ngày 18/9/2025. Điều này khiến người dùng doanh nghiệp phải tự bảo vệ, bằng cách ghi lại toàn bộ ký tự, phân tích các khối thẻ và giám sát luồng dữ liệu thô để phát hiện hành vi bất thường trước khi thiệt hại lan rộng.
Ghi đè liên kết
Đọc chi tiết tại đây: https://gbhackers.com/ascii-smuggling-attack-in-gemini-tricks-ai/
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview