Phát hiện lỗ hổng nghiêm trọng trong trình duyệt ChatGPT Atlas: Cài lệnh ẩn và chiếm quyền điều khiển

Các nhà nghiên cứu cảnh báo lỗ hổng nghiêm trọng trong trình duyệt ChatGPT Atlas có thể cho phép tin tặc chèn lệnh ẩn vào bộ nhớ AI, khiến dữ liệu và quyền kiểm soát của người dùng bị đe dọa nghiêm trọng.

Các nhà nghiên cứu an ninh mạng vừa cảnh báo về một lỗ hổng mới trong trình duyệt ChatGPT Atlas – công cụ web tích hợp trí tuệ nhân tạo của OpenAI – có thể bị tin tặc khai thác để chèn mã độc và ra lệnh ẩn trong bộ nhớ của hệ thống.

Theo ông Or Eshed, đồng sáng lập và Giám đốc điều hành của LayerX Security, lỗ hổng này có thể cho phép kẻ tấn công xâm nhập thiết bị, chiếm quyền truy cập hoặc cài phần mềm độc hại. Vấn đề bắt nguồn từ lỗi giả mạo yêu cầu liên trang (CSRF), cho phép kẻ xấu chèn chỉ thị độc hại vào bộ nhớ thường trực (persistent memory) của ChatGPT.

Khi bộ nhớ bị “nhiễm độc”, những lệnh này có thể tồn tại xuyên suốt nhiều phiên làm việc hoặc thiết bị, khiến người dùng dễ bị tấn công ngay cả khi đang sử dụng ChatGPT cho mục đích hợp pháp.

Bộ nhớ AI – điểm yếu bị lợi dụng

Tính năng “Memory” được OpenAI ra mắt vào tháng 2/2024, cho phép ChatGPT “ghi nhớ” thông tin hữu ích của người dùng để cá nhân hóa trải nghiệm trò chuyện — từ tên, sở thích cho đến thói quen sinh hoạt.

Tuy nhiên, chính khả năng này lại trở thành cửa ngõ cho tấn công bảo mật: nếu bị xâm nhập, các lệnh độc hại có thể lưu lại lâu dài trong bộ nhớ AI, chỉ bị xóa nếu người dùng chủ động vào phần cài đặt và xóa thủ công.

Michelle Levy, trưởng bộ phận nghiên cứu bảo mật tại LayerX, cho biết: “Điểm nguy hiểm của lỗ hổng này là nó không chỉ ảnh hưởng đến phiên duyệt web mà còn tấn công vào bộ nhớ của AI. Một khi bị chèn lệnh độc, các chỉ thị này có thể tồn tại qua nhiều phiên, nhiều thiết bị, thậm chí cả khi dùng trình duyệt khác.”

Trong quá trình thử nghiệm, các chuyên gia nhận thấy chỉ cần ChatGPT truy cập lại vùng nhớ đã bị chèn lệnh, hệ thống có thể tự động kích hoạt tải mã độc, tăng quyền truy cập hoặc rò rỉ dữ liệu, mà không bị các lớp bảo mật thông thường phát hiện.

Cách thức tấn công

Cuộc tấn công diễn ra qua bốn bước chính:

1. Người dùng đăng nhập vào ChatGPT Atlas.
2. Họ bị dụ truy cập vào một liên kết độc hại (qua email, mạng xã hội, hoặc tin nhắn giả mạo).
3. Trang web này kích hoạt yêu cầu CSRF để chèn lệnh ẩn vào bộ nhớ ChatGPT, lợi dụng trạng thái đăng nhập sẵn của người dùng.
4. Khi người dùng gửi truy vấn hợp pháp cho ChatGPT, các lệnh bị cài sẵn sẽ tự động thực thi, gây ra các hành vi tấn công.

ChatGPT Atlas yếu thế trước các trình duyệt truyền thống

Theo LayerX, ChatGPT Atlas thiếu cơ chế chống lừa đảo mạnh mẽ, khiến người dùng dễ bị tấn công hơn đến 90%so với các trình duyệt phổ biến như Google Chrome hay Microsoft Edge.

Trong các thử nghiệm trên hơn 100 lỗ hổng web thực tế, Edge chặn được 53%, Chrome 47%, trong khi ChatGPT Atlas chỉ ngăn được khoảng 5,8% các trang web độc hại.

Mối đe dọa mở rộng

Lỗ hổng này mở ra nhiều kịch bản tấn công nghiêm trọng. Ví dụ, khi một lập trình viên yêu cầu ChatGPT hỗ trợ viết mã, AI có thể tự động chèn thêm lệnh ẩn trong đoạn code mà không bị phát hiện.

Trước đó, nhóm NeuralTrust cũng từng chứng minh một cuộc tấn công “prompt injection” trên ChatGPT Atlas, cho phép vượt qua giới hạn bảo mật bằng cách ngụy trang lệnh độc trong một URL tưởng như vô hại.

“Trình duyệt AI” – mặt trận mới của an ninh mạng

Ông Or Eshed nhận định: “Các trình duyệt AI đang kết hợp giữa ứng dụng, danh tính và trí tuệ nhân tạo – tạo thành một bề mặt tấn công hoàn toàn mới. Lỗ hổng ‘Tainted Memories’ (ký ức bị nhiễm độc) giống như chuỗi cung ứng mới: nó di chuyển cùng người dùng, ảnh hưởng đến công việc và biến tự động hóa AI thành công cụ kiểm soát ngầm.”

Ông cảnh báo thêm rằng trình duyệt AI sẽ trở thành hạ tầng trọng yếu của doanh nghiệp trong tương lai, và cần được bảo vệ tương tự như các hệ thống lõi về năng suất và dữ liệu.