ChatGPT Atlas, trình duyệt tác nhân AI (agentic browser) được OpenAI ra mắt gần đây, đang gặp phải một lỗi bảo mật nghiêm trọng. Các nhà nghiên cứu vừa phát hiện ra một phương pháp tấn công “Prompt Injection” (tạm dịch: “tiêm nhiễm lệnh nhắc”) tinh vi, có khả năng âm thầm biến các tác nhân AI (AI agents) thành công cụ mạnh mẽ để thao túng người dùng và thực hiện các cuộc tấn công mạng. Lỗi này liên quan đến thanh địa chỉ Omnibox – khu vực dùng chung để nhập địa chỉ web và truy vấn tìm kiếm – của trình duyệt, làm dấy lên cảnh báo về tình trạng bảo mật chưa hoàn thiện của các trình duyệt AI mới.
ChatGPT Atlas và lỗ hổng Prompt Injection trong Omnibox
Lỗ hổng này được gọi là “lỗi biên giới” (boundary error). Cuộc tấn công tận dụng lỗ hổng này bằng cách giấu các lệnh và hướng dẫn độc hại bên trong một URL được thiết kế sai lệch. URL này bắt đầu với tiền tố “https:” và bề ngoài trông giống như một địa chỉ web thông thường. Tuy nhiên, Atlas không coi phần còn lại của URL là một địa chỉ web mà lại diễn giải nó thành các lệnh ngôn ngữ tự nhiên dành cho tác nhân AI tích hợp bên trong.
Vì được nhúng trong một địa chỉ web (khu vực được trình duyệt coi là đáng tin cậy), các lệnh độc hại này được hệ thống của Atlas xử lý như các lệnh chính hãng từ một người dùng hợp pháp và được thực thi với các đặc quyền nâng cao, không qua kiểm duyệt. Kẻ tấn công có thể khai thác sơ hở này để vô hiệu hóa các chính sách an toàn của trình duyệt, đe dọa trực tiếp đến quyền riêng tư và bảo mật dữ liệu cá nhân của người dùng.
Các nhà nghiên cứu đã chứng minh hậu quả thực tế mà các cuộc tấn công prompt-injection dựa trên Omnibox có thể gây ra. Ví dụ, kẻ tấn công có thể lừa người dùng dán một URL độc hại vào omnibox, dẫn đến việc mở các trang Google giả mạo hoặc các nội dung lừa đảo (phishing) khác. Nghiêm trọng hơn, chúng có thể nhúng các lệnh phá hoại, lợi dụng tác nhân AI để xóa các tệp quan trọng của người dùng trong các dịch vụ lưu trữ đám mây như Google Drive.
Nguy cơ và đề xuất giải pháp cho các trình duyệt AI tác nhân
Vấn đề nằm ở chỗ, các trình duyệt dựa trên nhân Chromium (như Atlas) thường xử lý các lệnh nhập vào Omnibox là đầu vào đáng tin cậy của người dùng. Điều này cho phép kẻ tấn công vượt qua các lớp kiểm tra bảo mật bổ sung vốn được áp dụng cho các trang web bên ngoài. Vector tấn công mới này mở ra một con đường cho tội phạm mạng nhằm lật đổ ý định của người dùng và thực hiện các hành động “xuyên tên miền” (cross-domain actions) mà người dùng không hề hay biết.
NeuralTrust cho rằng loại lỗi “biên giới” này là điểm yếu phổ biến đối với các trình duyệt AI tác nhân (agentic AI browsers) đang dần xuất hiện. Các nhà nghiên cứu đề xuất rằng các trình duyệt mới này cần áp dụng các quy tắc nghiêm ngặt hơn khi phân tích cú pháp (parsing) URL. Đồng thời, họ cũng kiến nghị các trình duyệt nên hiển thị thông báo hỏi rõ ràng người dùng xem họ có ý định sử dụng thanh địa chỉ để điều hướng web hay để đưa ra hướng dẫn bằng ngôn ngữ tự nhiên cho chatbot hay không.
Hiện tại, các nhà nghiên cứu đang tiếp tục thử nghiệm thêm các trình duyệt AI khác để xác định xem chúng có dễ bị tổn thương trước cùng một kiểu tấn công prompt-injection như ChatGPT Atlas hay không. Tấn công này là một lời cảnh tỉnh rõ ràng: khi AI được tích hợp sâu vào các giao diện cốt lõi của trình duyệt, các lỗ hổng bảo mật mới sẽ phát sinh ngay tại ranh giới tương tác giữa con người, trình duyệt và mô hình AI. Điều này đòi hỏi ngành công nghiệp phải nhanh chóng thiết lập các tiêu chuẩn an toàn mới.
