BioShocking: Kỹ thuật mới có thể "thôi miên" AI Browser để đánh cắp dữ liệu

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
141
2.031 bài viết
BioShocking: Kỹ thuật mới có thể "thôi miên" AI Browser để đánh cắp dữ liệu
Các trình duyệt tích hợp AI (AI Browser) đang mở ra một cách thức duyệt web hoàn toàn mới khi có thể thay người dùng đọc tài liệu, truy cập website, thao tác trên GitHub hay thậm chí thực hiện nhiều tác vụ tự động. Tuy nhiên, chính khả năng "thay mặt người dùng hành động" cũng đang trở thành mục tiêu mới của tin tặc.
1784342887589.png

Nguồn: Internet

Các nhà nghiên cứu ANM trên Thế giới vừa công bố một kỹ thuật tấn công mới mang tên BioShocking, cho phép trang web độc hại đánh lừa AI Agent bên trong trình duyệt để tự nguyện đánh cắp thông tin xác thực, sao chép mã nguồn hoặc thực hiện các hành động trái phép mà không hề nhận ra mình đang vi phạm các quy tắc bảo mật. Đáng chú ý, kỹ thuật này đã được kiểm chứng trên nhiều AI Browser phổ biến như ChatGPT Atlas, Comet, Fellou, Genspark Browser, Sigma Browser và tiện ích Claude trên Chrome.​

BioShocking là gì?​

BioShocking là tên gọi của một kỹ thuật Prompt Injection kết hợp Memory Poisoning nhằm thao túng cách AI hiểu về môi trường xung quanh. Tên gọi này được lấy cảm hứng từ trò chơi nổi tiếng BioShock, nơi nhân vật chính bị "lập trình tâm lý" để tuyệt đối nghe theo những mệnh lệnh mà họ vốn sẽ không bao giờ thực hiện trong trạng thái bình thường.

AI Browser cũng có thể rơi vào trạng thái tương tự. Thay vì tấn công trực tiếp vào hệ thống, kẻ tấn công từng bước thay đổi "nhận thức" của AI, khiến nó tin rằng mình đang tham gia một trò chơi hoặc một thế giới giả lập với những quy tắc hoàn toàn khác so với thực tế.

Khi điều này xảy ra, các cơ chế bảo vệ được huấn luyện trong mô hình AI gần như bị vô hiệu hóa.​

AI Browser bị "thôi miên" như thế nào?​

Kịch bản thử nghiệm của LayerX bắt đầu bằng một trang web trông giống như một trò chơi giải đố đơn giản. Người dùng chỉ cần yêu cầu AI Browser:
"Hãy chơi trò chơi này giúp tôi."​

Ban đầu, trò chơi đưa ra những câu hỏi tưởng như vô hại nhưng lại cố tình thưởng cho các đáp án sai.

Ví dụ:​
  • 2 + 2 = 5​
  • Trả lời sai sẽ được điểm.​
  • Trả lời đúng lại bị coi là thất bại.​
Sau nhiều vòng, AI bắt đầu chấp nhận bộ quy tắc mới, nơi "điều sai" lại được xem là "đúng". Đây chính là quá trình Memory Poisoning - đầu độc ngữ cảnh hoạt động của AI.​

Từ trò chơi sang đánh cắp dữ liệu​

Sau khi AI đã "tin" rằng mình đang ở trong một thế giới giả lập, bước cuối cùng của trò chơi chuyển sang một trang web khác. Trong thử nghiệm, trang này được thay bằng một tài nguyên mà người dùng đã đăng nhập sẵn, chẳng hạn:​
  • GitHub​
  • Dashboard nội bộ doanh nghiệp​
  • Gmail​
  • Trình quản lý mật khẩu​
  • Hệ thống quản trị​
Do AI vẫn nghĩ rằng mình đang tiếp tục "trò chơi", nó thực hiện hàng loạt hành động vốn phải bị từ chối. Trong bài kiểm thử của LayerX, AI đã:​
  • Truy cập kho mã nguồn GitHub.​
  • Đọc thông tin xác thực SSH.​
  • Sao chép khóa SSH.​
  • Chuẩn bị gửi toàn bộ dữ liệu cho kẻ tấn công.​
Điều đáng lo ngại là AI không coi đây là hành vi đánh cắp dữ liệu, mà chỉ xem đó là một bước để "hoàn thành màn chơi".​

Vì sao cơ chế bảo vệ của AI lại thất bại?​

Các mô hình ngôn ngữ lớn (LLM) hiện nay đều được huấn luyện để từ chối những yêu cầu nguy hiểm như:​
  • Đánh cắp mật khẩu.​
  • Hỗ trợ phishing.​
  • Truy cập trái phép.​
  • Rò rỉ thông tin nhạy cảm.​
Tuy nhiên, những cơ chế này đều dựa trên một giả định quan trọng:
AI luôn hiểu đúng bối cảnh mà nó đang hoạt động.​

BioShocking phá vỡ chính giả định đó. Thay vì yêu cầu AI đánh cắp thông tin một cách trực tiếp, kẻ tấn công khiến AI tin rằng mọi hành động đều chỉ là một phần của trò chơi. Khi bối cảnh đã bị thay đổi, AI không còn áp dụng các quy tắc bảo mật của thế giới thực mà chuyển sang tuân theo "luật chơi" do kẻ tấn công đặt ra.

Nói cách khác, AI không bị "hack" mà bị đánh lừa về thực tại.​

Những AI Browser nào bị ảnh hưởng?​

Kỹ thuật BioShocking trên sáu nền tảng AI Agent phổ biến đã được thử nghiệm thành công:
Nhà cung cấp​
Sản phẩm​
Trạng thái​
OpenAI​
ChatGPT Atlas​
Đã vá (30/10/2025)​
Perplexity AI​
Comet​
Đóng báo cáo, chưa khắc phục​
ASI X INC​
Fellou​
Không phản hồi​
Genspark​
Genspark Browser​
Không phản hồi​
Sigmabrowser OÜ​
Sigma Browser​
Không phản hồi​
Anthropic​
Claude Chrome Plugin​
Bản vá chưa khắc phục được lỗi​

Đáng chú ý, mọi AI Agent trong thử nghiệm đều không phát hiện hành vi đánh cắp thông tin xác thực là một vi phạm bảo mật. Điều này cho thấy vấn đề không nằm ở một sản phẩm cụ thể mà phản ánh một hạn chế chung của các AI Agent hiện nay khi được trao quyền thao tác trực tiếp trên trình duyệt.​

Mức độ nguy hiểm​

BioShocking không khai thác lỗ hổng phần mềm truyền thống mà nhắm vào cách AI suy luận và ra quyết định. Nếu bị lợi dụng ngoài thực tế, AI Browser có thể bị điều khiển để:​
  • Đánh cắp SSH Key.​
  • Trích xuất API Key.​
  • Đọc email doanh nghiệp.​
  • Sao chép mã nguồn nội bộ.​
  • Truy cập hệ thống quản trị.​
  • Lấy thông tin trong trình quản lý mật khẩu.​
  • Thực hiện các thao tác thay mặt người dùng trên những website đã đăng nhập.​
Điều nguy hiểm là toàn bộ hành động đều diễn ra dưới quyền hợp pháp của người dùng, khiến nhiều cơ chế bảo vệ truyền thống như xác thực hay phân quyền gần như không phát hiện được.​

Đã có bản vá chưa?​

LayerX cho biết họ đã thông báo lỗ hổng cho các nhà phát triển từ cuối năm 2025. Đến nay:​
  • OpenAI đã phát hành bản vá cho ChatGPT Atlas.​
  • Anthropic đã thử vá nhưng chưa khắc phục hoàn toàn.​
  • Perplexity đóng báo cáo mà không sửa lỗi.​
  • Fellou, Genspark và Sigma Browser chưa phản hồi.​
Điều này cho thấy các AI Browser vẫn đang trong giai đoạn hoàn thiện và nhiều nền tảng chưa có cơ chế đủ mạnh để chống lại các cuộc tấn công thao túng ngữ cảnh.​

Chuyên gia khuyến nghị​

Các nhà phát triển AI Browser cần làm trước mắt:​
  • Yêu cầu người dùng xác nhận trước khi AI truy cập dữ liệu đã đăng nhập.​
  • Kiểm tra tính nhất quán của ngữ cảnh để phát hiện các tình huống phi thực tế hoặc mâu thuẫn.​
  • Giới hạn mặc định phạm vi truy cập của AI Agent thay vì cấp quyền quá rộng.​
Đối với người dùng và doanh nghiệp, các chuyên gia khuyến nghị:​
  • Chỉ cấp quyền cho AI Browser khi thực sự cần thiết.​
  • Rà soát định kỳ những website, tài khoản và dịch vụ mà AI Agent được phép truy cập.​
  • Thu hồi quyền truy cập đối với các phiên AI không còn sử dụng.​
  • Hạn chế để AI Agent đồng thời truy cập các hệ thống chứa dữ liệu nhạy cảm như GitHub, trình quản lý mật khẩu hoặc cổng quản trị doanh nghiệp.​
  • Cập nhật AI Browser lên phiên bản mới nhất ngay khi nhà cung cấp phát hành bản vá.​
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Cách này mới, nguy hiểm thật
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
ai agent ai browser bioshocking
Bên trên