-
09/04/2020
-
122
-
1.301 bài viết
HashJack: Chiêu tấn công mới biến trình duyệt AI thành trợ thủ đánh cắp dữ liệu
Sự bùng nổ của trình duyệt và trợ lý tích hợp trí tuệ nhân tạo đang thay đổi cách người dùng tương tác với web. Cùng với những tiện ích về trải nghiệm, các rủi ro mới cũng xuất hiện theo những cách mà cộng đồng an ninh mạng chưa từng dự liệu. HashJack, kỹ thuật tấn công vừa được các nhà nghiên cứu tại Cato Networks công bố, trở thành minh chứng rõ ràng. Chỉ với một đoạn ký tự nằm sau dấu thăng (#) trên URL, tin tặc có thể thao túng hành vi của mô hình AI và mở đường cho các chiến dịch đánh cắp dữ liệu ngay trên thiết bị của người dùng.
Trong kiến trúc web truyền thống, phần fragment của URL được xử lý hoàn toàn ở phía máy khách và không bao giờ gửi lên máy chủ. Các lớp bảo vệ như tường lửa, IDS/IPS hay hệ thống giám sát nhật ký đều không quan sát được khu vực này. Fragment vốn được xem là vô hại vì không tham gia vào luồng xử lý của ứng dụng. Tuy nhiên, khi trình duyệt tích hợp một mô hình AI có khả năng đọc toàn bộ ngữ cảnh hiển thị, bao gồm cả fragment, giả định an toàn này lập tức sụp đổ. AI diễn giải toàn bộ dữ liệu như một phần nội dung hợp lệ, không phân biệt đâu là thành phần của trang và đâu là dữ liệu người dùng tự đính kèm.
Nguy cơ trở nên rõ rệt khi mô hình được trao quyền thực thi hành động. Một số trình duyệt AI hiện nay không chỉ tóm tắt nội dung hay trả lời câu hỏi, mà còn có khả năng mở liên kết mới, gửi yêu cầu HTTP nền, điền biểu mẫu hoặc trích xuất dữ liệu. Nếu kẻ tấn công nhúng vào fragment một lời nhắc mà mô hình hiểu là chỉ thị tác vụ, chuỗi hành động độc hại có thể được triển khai trực tiếp trên thiết bị người dùng, hoàn toàn âm thầm và không thay đổi bất kỳ thành phần nào của trang web hợp pháp.
Thử nghiệm trên nhiều nền tảng AI browser cho thấy mức độ rủi ro khác nhau. Gemini trong Chrome thường tự động viết lại fragment thành truy vấn tìm kiếm, hạn chế khả năng nhúng payload độc hại. Copilot trong Edge bổ sung bước xác nhận của người dùng trước khi mở đường dẫn do AI đề xuất, tạo thêm một lớp bảo vệ. Trong khi đó, Comet của Perplexity lại dễ bị khai thác hơn nhiều. Khả năng gửi yêu cầu nền khiến mô hình có thể vô tình tải dữ liệu từ trang hiện tại và chuyển ngược về máy chủ do kẻ tấn công kiểm soát mà không cần bất kỳ tương tác nào từ người dùng.
Điều đáng lo nhất là HashJack phá vỡ những giả định bảo mật tồn tại nhiều thập kỷ. Backend không nhìn thấy hành vi bất thường và các giải pháp SASE hay proxy doanh nghiệp không phân tích fragment vì không được nhận luồng dữ liệu này. Trình duyệt, vốn được xem là endpoint cuối cùng, chuyển giao quyền xử lý ngữ cảnh cho mô hình có khả năng diễn giải linh hoạt nhưng đôi khi thiếu kiểm soát. Lần đầu tiên, một phần URL từng bị coi là vô hại lại trở thành phương tiện tấn công mang tính logic thuần túy.
Rủi ro còn mở rộng sang lĩnh vực lừa đảo xã hội. Người dùng có thể truy cập đúng trang ngân hàng, nhưng trợ lý AI trên trình duyệt lại “hướng dẫn” họ thực hiện giao dịch sai lệch hoặc chủ động thu thập dữ liệu tài chính để tự động điền thông tin. Niềm tin của người dùng vào AI vì nó “hiểu” trang hơn họ chính là yếu tố mà kẻ tấn công khai thác.
Đây là bước chuyển lớn của bề mặt tấn công web. Thay vì nhắm trực tiếp vào ứng dụng, kẻ tấn công khai thác tầng diễn giải của mô hình AI. Khi AI trở thành cầu nối giữa người dùng và hệ thống, mọi sai sót trong logic xử lý đều có khả năng gây thiệt hại nghiêm trọng, đặc biệt khi trình duyệt AI hướng đến tự động hóa những tác vụ trước đây chỉ do con người quyết định.
Về phía nhà cung cấp, Microsoft và Perplexity đã nhanh chóng phát hành bản sửa lỗi nhằm ngăn AI đọc và thực thi nội dung trong URL fragment như chỉ thị tác vụ. Google lại xem đây là hành vi thiết kế có chủ đích và chưa đánh giá như lỗ hổng bảo mật, đồng thời cam kết sẽ tiếp tục theo dõi và đánh giá rủi ro. Quan điểm khác biệt này tạo nên một cuộc tranh luận rộng hơn về ranh giới giữa tiện ích và rủi ro trong AI, khi các công cụ hỗ trợ có quyền truy cập sâu vào dữ liệu người dùng nhưng chưa được kiểm soát đầy đủ.
HashJack đặt ra lời cảnh báo rõ ràng: vấn đề không phải website bị tấn công, mà là trợ lý AI được trao quá nhiều quyền mà thiếu lớp bảo vệ. Khi AI trở thành người “phiên dịch” thao tác trên trình duyệt và hành động thay người dùng, một mảnh URL nhỏ cũng có thể biến thành lệnh xâm nhập. Bảo mật AI vì vậy không chỉ dừng ở mô hình ngôn ngữ, mà phải bao trùm toàn bộ kiến trúc trình duyệt và quyền đặc thù mà AI được cấp phát.
Trong kiến trúc web truyền thống, phần fragment của URL được xử lý hoàn toàn ở phía máy khách và không bao giờ gửi lên máy chủ. Các lớp bảo vệ như tường lửa, IDS/IPS hay hệ thống giám sát nhật ký đều không quan sát được khu vực này. Fragment vốn được xem là vô hại vì không tham gia vào luồng xử lý của ứng dụng. Tuy nhiên, khi trình duyệt tích hợp một mô hình AI có khả năng đọc toàn bộ ngữ cảnh hiển thị, bao gồm cả fragment, giả định an toàn này lập tức sụp đổ. AI diễn giải toàn bộ dữ liệu như một phần nội dung hợp lệ, không phân biệt đâu là thành phần của trang và đâu là dữ liệu người dùng tự đính kèm.
Nguy cơ trở nên rõ rệt khi mô hình được trao quyền thực thi hành động. Một số trình duyệt AI hiện nay không chỉ tóm tắt nội dung hay trả lời câu hỏi, mà còn có khả năng mở liên kết mới, gửi yêu cầu HTTP nền, điền biểu mẫu hoặc trích xuất dữ liệu. Nếu kẻ tấn công nhúng vào fragment một lời nhắc mà mô hình hiểu là chỉ thị tác vụ, chuỗi hành động độc hại có thể được triển khai trực tiếp trên thiết bị người dùng, hoàn toàn âm thầm và không thay đổi bất kỳ thành phần nào của trang web hợp pháp.
Thử nghiệm trên nhiều nền tảng AI browser cho thấy mức độ rủi ro khác nhau. Gemini trong Chrome thường tự động viết lại fragment thành truy vấn tìm kiếm, hạn chế khả năng nhúng payload độc hại. Copilot trong Edge bổ sung bước xác nhận của người dùng trước khi mở đường dẫn do AI đề xuất, tạo thêm một lớp bảo vệ. Trong khi đó, Comet của Perplexity lại dễ bị khai thác hơn nhiều. Khả năng gửi yêu cầu nền khiến mô hình có thể vô tình tải dữ liệu từ trang hiện tại và chuyển ngược về máy chủ do kẻ tấn công kiểm soát mà không cần bất kỳ tương tác nào từ người dùng.
Điều đáng lo nhất là HashJack phá vỡ những giả định bảo mật tồn tại nhiều thập kỷ. Backend không nhìn thấy hành vi bất thường và các giải pháp SASE hay proxy doanh nghiệp không phân tích fragment vì không được nhận luồng dữ liệu này. Trình duyệt, vốn được xem là endpoint cuối cùng, chuyển giao quyền xử lý ngữ cảnh cho mô hình có khả năng diễn giải linh hoạt nhưng đôi khi thiếu kiểm soát. Lần đầu tiên, một phần URL từng bị coi là vô hại lại trở thành phương tiện tấn công mang tính logic thuần túy.
Rủi ro còn mở rộng sang lĩnh vực lừa đảo xã hội. Người dùng có thể truy cập đúng trang ngân hàng, nhưng trợ lý AI trên trình duyệt lại “hướng dẫn” họ thực hiện giao dịch sai lệch hoặc chủ động thu thập dữ liệu tài chính để tự động điền thông tin. Niềm tin của người dùng vào AI vì nó “hiểu” trang hơn họ chính là yếu tố mà kẻ tấn công khai thác.
Đây là bước chuyển lớn của bề mặt tấn công web. Thay vì nhắm trực tiếp vào ứng dụng, kẻ tấn công khai thác tầng diễn giải của mô hình AI. Khi AI trở thành cầu nối giữa người dùng và hệ thống, mọi sai sót trong logic xử lý đều có khả năng gây thiệt hại nghiêm trọng, đặc biệt khi trình duyệt AI hướng đến tự động hóa những tác vụ trước đây chỉ do con người quyết định.
Về phía nhà cung cấp, Microsoft và Perplexity đã nhanh chóng phát hành bản sửa lỗi nhằm ngăn AI đọc và thực thi nội dung trong URL fragment như chỉ thị tác vụ. Google lại xem đây là hành vi thiết kế có chủ đích và chưa đánh giá như lỗ hổng bảo mật, đồng thời cam kết sẽ tiếp tục theo dõi và đánh giá rủi ro. Quan điểm khác biệt này tạo nên một cuộc tranh luận rộng hơn về ranh giới giữa tiện ích và rủi ro trong AI, khi các công cụ hỗ trợ có quyền truy cập sâu vào dữ liệu người dùng nhưng chưa được kiểm soát đầy đủ.
HashJack đặt ra lời cảnh báo rõ ràng: vấn đề không phải website bị tấn công, mà là trợ lý AI được trao quá nhiều quyền mà thiếu lớp bảo vệ. Khi AI trở thành người “phiên dịch” thao tác trên trình duyệt và hành động thay người dùng, một mảnh URL nhỏ cũng có thể biến thành lệnh xâm nhập. Bảo mật AI vì vậy không chỉ dừng ở mô hình ngôn ngữ, mà phải bao trùm toàn bộ kiến trúc trình duyệt và quyền đặc thù mà AI được cấp phát.
Tổng hợp