ChatGPT dính lỗ hổng “zero-click”, dữ liệu Gmail có thể bị đánh cắp chỉ từ email ẩn

[WhiteHat Team]

Một lỗ hổng bảo mật vừa được các nhà nghiên cứu công bố đối với người dùng ChatGPT và đặc biệt là công cụ Deep Research agent. Đây là một dạng tấn công zero-click, nghĩa là người dùng không cần bấm hay thao tác gì, dữ liệu cá nhân trong Gmail vẫn có thể bị đánh cắp.

​

Theo Radware, lỗ hổng được phát hiện vào ngày 18/6/2025 khi nhóm nghiên cứu tiến hành kiểm thử bảo mật trên ChatGPT’s Deep Research agent. Cơ chế tấn công xuất phát từ một email có chứa mã độc ẩn bên trong HTML. Các dòng lệnh nguy hiểm này được che giấu bằng kỹ thuật như chữ trắng trên nền trắng hoặc font siêu nhỏ (hoàn toàn vô hình với mắt thường). Khi người dùng yêu cầu Deep Research đọc và phân tích hộp thư Gmail, công cụ này cũng sẽ xử lý email độc hại như bình thường và “rơi vào bẫy” được cài sẵn.

Nguyên nhân chính nằm ở kỹ thuật gián tiếp tiêm lệnh (indirect prompt injection). Hacker không tấn công trực diện vào người dùng, mà lợi dụng chính cách AI đọc dữ liệu để “thao túng” nó, buộc hệ thống thực hiện hành vi ngoài ý muốn.

Trong thử nghiệm, kịch bản tấn công diễn ra theo từng bước:

• Kẻ tấn công gửi email chứa mã HTML ẩn lệnh.
• Khi Deep Research quét hộp thư, email này sẽ được xử lý cùng các thư khác.
• Lệnh ẩn bên trong chỉ thị cho AI tìm thông tin cá nhân nhạy cảm (ví dụ: họ tên, địa chỉ trong email từ phòng nhân sự).
• Sau đó, AI bị lừa để mã hóa dữ liệu bằng Base64, nghe có vẻ “an toàn” nhưng thực chất là cách để che giấu dữ liệu bị đánh cắp.
• Tiếp đến, công cụ sẽ gửi thông tin này tới máy chủ do hacker kiểm soát, dưới danh nghĩa “hệ thống xác thực tuân thủ” hợp pháp.

Điểm đáng chú ý là toàn bộ quá trình xảy ra trên hạ tầng cloud của OpenAI, chứ không hề hiển thị trên trình duyệt hay máy tính người dùng. Chính điều này khiến tường lửa doanh nghiệp, phần mềm bảo mật đầu cuối hay chính trình duyệt hoàn toàn không phát hiện ra.

Các nhà nghiên cứu đánh giá lỗ hổng này đặc biệt nguy hiểm vì:

• Người dùng không cần thao tác gì: Chỉ cần AI đọc phải email độc hại là dữ liệu đã bị rò rỉ.
• Khó phát hiện: Tấn công diễn ra ở phía máy chủ OpenAI, không có dấu hiệu nào trên màn hình người dùng.
• Phạm vi rộng: Gmail chỉ là ví dụ, nhưng kịch bản có thể áp dụng cho Google Drive, Dropbox, Outlook, Teams, Notion, GitHub… bất cứ nơi nào Deep Research được kết nối.
• Mức độ thiệt hại tiềm tàng lớn: Từ thông tin cá nhân, hợp đồng, hồ sơ nhân sự cho đến dữ liệu doanh nghiệp quan trọng đều có thể bị khai thác.

OpenAI đã triển khai bản vá vào đầu tháng 8/2025 và chính thức đánh dấu lỗ hổng này đã được xử lý vào ngày 3/9/2025. Tuy nhiên, sự cố để lại nhiều bài học quan trọng cho cả người dùng lẫn các tổ chức:

• Luôn cẩn trọng khi tích hợp AI với các hệ thống chứa dữ liệu nhạy cảm.
• Theo dõi hành vi của AI: Cần có cơ chế giám sát để phát hiện khi AI thực hiện hành động không đúng với mục đích ban đầu của người dùng.
• Nâng cao nhận thức: Hiểu rằng AI có thể bị thao túng bởi những đoạn văn bản ẩn, không chỉ bởi mã độc truyền thống.
• Cập nhật hệ thống thường xuyên: Đảm bảo sử dụng các phiên bản mới nhất đã được vá lỗi.
• Xem xét áp dụng kiểm soát nhiều lớp, kết hợp cả giải pháp phía nhà cung cấp dịch vụ lẫn chính sách nội bộ doanh nghiệp.

Lỗ hổng “zero-click” trong ChatGPT Deep Research là minh chứng rõ ràng cho thấy AI không chỉ mang lại sức mạnh mà còn mở ra những bề mặt tấn công hoàn toàn mới. Khi AI có thể truy cập dữ liệu cá nhân và doanh nghiệp theo yêu cầu người dùng, việc hacker tìm cách thao túng chúng để chiếm đoạt thông tin là điều khó tránh khỏi. Đừng mặc định coi AI an toàn tuyệt đối, mà cần xây dựng lớp giám sát và kiểm soát chặt chẽ đi kèm, để đảm bảo công nghệ phục vụ con người thay vì trở thành công cụ cho tội phạm mạng.

WhiteHat​