Nghiên cứu: Trình duyệt AI gây rủi ro hệ thống do chèn prompt gián tiếp

Một lỗ hổng kiểu “indirect prompt injection” đã được phát hiện trong một số trình duyệt AI, cho phép nội dung bên ngoài thao túng hành vi và rò rỉ dữ liệu mà không cần xác nhận người dùng.

Các thử nghiệm cho thấy ảnh chép màn hình hoặc văn bản trang web có thể chứa lệnh vô hình, khiến trình duyệt AI tự mở tài khoản email hoặc truy xuất thông tin và gửi ra ngoài. OpenAI cũng công bố hướng tiếp cận bảo vệ nhiều lớp nhưng thừa nhận vấn đề còn chưa hoàn toàn giải quyết.

Bản chất của lỗ hổng “indirect prompt injection”

Đó là tình huống khi nội dung bên ngoài — chẳng hạn ảnh chụp màn hình hoặc văn bản trang web — chứa chỉ thị khiến trình duyệt AI thực hiện hành động ngoài ý muốn, như truy cập liên kết và gửi dữ liệu.

Khác với prompt injection trực tiếp, lỗ hổng gián tiếp lợi dụng môi trường hiển thị hoặc liên kết bên ngoài để truyền lệnh vào mô hình. Kết quả có thể xảy ra tự động nếu trình duyệt AI xử lý nội dung và thực thi lệnh mà không yêu cầu xác nhận người dùng.

Ví dụ và phạm vi ảnh hưởng

Trong thử nghiệm, một trình duyệt AI đã bị đánh lừa mở tài khoản Gmail và gửi header email mới nhất tới một máy chủ bên ngoài; trường hợp khác khiến trình duyệt truy xuất thông tin tài khoản qua liên kết chứa lệnh ẩn trong ảnh.

Các rủi ro liên quan chủ yếu là rò rỉ thông tin cá nhân, header email, và dữ liệu liên quan tài chính. Mức ảnh hưởng phụ thuộc vào quyền truy cập trình duyệt AI có và cơ chế xác thực của dịch vụ bị liên quan.

Phản hồi và cơ chế phòng thủ của nhà cung cấp

OpenAI nêu chiến lược bảo vệ nhiều lớp: thử nghiệm red team, huấn luyện để mô hình từ chối lệnh độc hại, hàng rào bảo mật chồng chéo và phát hiện, chặn tấn công.

Chiến lược này nhằm giảm rủi ro bằng cách kết hợp nhiều biện pháp. Tuy nhiên, nhà cung cấp cũng thừa nhận prompt injection vẫn là vấn đề phức tạp, cần tiếp tục nghiên cứu và cập nhật để tăng cường độ an toàn.

Khuyến nghị cho người dùng và nhà phát triển

Người dùng nên hạn chế cấp quyền không cần thiết, tắt xử lý tự động liên kết/chi tiết tài khoản, và thận trọng khi mở nội dung từ nguồn không đáng tin cậy.

Nhà phát triển cần áp dụng kiểm tra đầu vào, lọc nội dung hiển thị, yêu cầu xác thực trước khi hành động với dữ liệu nhạy cảm, và triển khai giám sát hành vi bất thường trên hệ thống.

Trình duyệt AI có an toàn trước prompt injection không?

Không hoàn toàn; nhiều trình duyệt AI vẫn có rủi ro nếu xử lý nội dung bên ngoài mà không có cơ chế xác thực và lọc chặt.

Nếu bị khai thác, dữ liệu nào có thể bị rò rỉ?

Thường là header email, thông tin tài khoản và các dữ liệu có thể truy xuất qua liên kết hoặc API mà trình duyệt có quyền truy cập.

Nhà cung cấp đã vá lỗ hổng chưa?

Tùy từng nhà cung cấp; một số đã công bố biện pháp bảo vệ, nhưng việc khẳng định đã vá hoàn toàn cần xác nhận trực tiếp từ nhà phát triển phần mềm.

Người dùng cần làm gì ngay lập tức?

Kiểm tra quyền ứng dụng, tắt tính năng xử lý tự động khi không cần thiết, đổi mật khẩu nếu có dấu hiệu truy cập lạ và kích hoạt xác thực đa yếu tố.