-
09/04/2020
-
123
-
1.481 bài viết
Lỗ hổng ChatGPT cho phép trích xuất dữ liệu quy mô lớn từ Gmail, Outlook và GitHub
Các nhà nghiên cứu an ninh mạng vừa phát hiện một chuỗi lỗ hổng nghiêm trọng trong hệ thống connector và cơ chế quản lý bộ nhớ của ChatGPT, mở ra con đường nguy hiểm cho phép kẻ tấn công âm thầm đánh cắp dữ liệu nhạy cảm từ hàng loạt nền tảng phổ biến như Gmail, Outlook, Google Drive, OneDrive, Jira, Slack, Microsoft Teams và GitHub.
Theo phân tích kỹ thuật, chỉ cần chiếm quyền kiểm soát một phiên trò chuyện duy nhất, kẻ tấn công có thể biến ChatGPT thành công cụ tự động thu thập và rò rỉ dữ liệu trên diện rộng. Nguyên nhân nằm ở cách mô hình được thiết kế để tương tác sâu với các dịch vụ bên ngoài và lưu trữ “memory” nhằm phục vụ cá nhân hóa trải nghiệm người dùng. Khi những tính năng hợp pháp này bị thao túng, chúng trở thành các kênh trích xuất dữ liệu hiệu quả mà người dùng gần như không có khả năng nhận biết.
Trong kịch bản tấn công được mô tả, đối tượng xấu lợi dụng connector để buộc mô hình tự động đọc email, tài liệu, lịch sử trò chuyện và các bộ nhớ đã lưu, vốn thường chứa thông tin cá nhân, bối cảnh công việc, dữ liệu tài chính hoặc thậm chí thông tin y tế. Khi bị “đầu độc” bằng các chỉ thị ẩn, ChatGPT có xu hướng ưu tiên thực thi các mệnh lệnh do kẻ tấn công cài cắm thay vì phục vụ yêu cầu hợp pháp của người dùng, từ đó tự động hóa toàn bộ quá trình thu thập và rò rỉ dữ liệu.
Luồng tấn công
Các nhà nghiên cứu đã mô tả nhiều biến thể tấn công với mức độ tương tác khác nhau. Nguy hiểm nhất là các cuộc tấn công zero-click phía máy chủ, trong đó chỉ thị độc hại được nhúng trực tiếp vào nội dung email. Khi người dùng yêu cầu ChatGPT xử lý hộp thư Gmail, mô hình sẽ đọc email, diễn giải các mệnh lệnh ẩn bên trong và thực hiện trích xuất dữ liệu mà người dùng không hề nhìn thấy hay tương tác với email đó. Ở cấp độ thấp hơn, các cuộc tấn công one-click khai thác file chia sẻ, nơi một tài liệu đã được vũ khí hóa có thể khiến mô hình tự động rò rỉ dữ liệu từ các tài khoản được kết nối hoặc từ chính hệ thống bộ nhớ nội bộ.
Tấn công phía máy chủ Zeroclick
Đáng lo ngại hơn, nhóm nghiên cứu chứng minh khả năng duy trì quyền kiểm soát lâu dài thông qua việc lạm dụng cơ chế memory. Chỉ cần một file độc hại duy nhất, kẻ tấn công có thể cài đặt các “quy tắc ngầm” tồn tại bền vững trong bộ nhớ của ChatGPT, kích hoạt hành vi trích xuất dữ liệu ở mọi cuộc trò chuyện về sau mà không cần thêm bất kỳ tương tác nào. Ở kịch bản nguy hiểm nhất, các chỉ thị này còn có thể khiến mô hình tự thu thập địa chỉ email từ nội dung hộp thư và tự động phát tán tài liệu độc hại sang các nạn nhân mới, mở ra nguy cơ lây lan ở quy mô tổ chức thông qua hệ sinh thái AI kết nối.
Để che giấu hành vi tấn công trước người dùng, kẻ tấn công sử dụng nhiều kỹ thuật ngụy trang tinh vi như văn bản trắng trên nền trắng, font chữ siêu nhỏ, chuỗi nội dung kéo dài, các đoạn miễn trừ trách nhiệm hoặc phần chân tài liệu. Những yếu tố này gần như vô hình với người dùng nhưng lại rất dễ được mô hình AI diễn giải và thực thi.
Một kỹ thuật đáng chú ý khác là phương pháp rò rỉ dữ liệu thông qua URL được thiết kế sẵn. Thay vì sửa đổi URL động, kẻ tấn công chuẩn bị trước một tập hợp URL cố định, mỗi URL đại diện cho một ký tự, chữ số hoặc khoảng trắng. Bằng cách kích hoạt truy cập các URL này theo trình tự, mô hình có thể mã hóa và gửi đi chuỗi dữ liệu nhạy cảm từng ký tự một, vẫn tuân thủ về mặt hình thức các quy tắc chống chỉnh sửa URL.
Rò rỉ dựa trên URL
Nhóm nghiên cứu cho biết họ đã báo cáo có trách nhiệm toàn bộ chuỗi lỗ hổng cho OpenAI thông qua nền tảng bug bounty vào cuối tháng 9/2025, kèm theo các phân tích chi tiết. Trước thời điểm báo cáo, tất cả các kịch bản tấn công được thử nghiệm đều đạt tỷ lệ thành công 100%. OpenAI sau đó xác nhận vấn đề và triển khai bản vá vào ngày 16/12/2025, nhằm vô hiệu hóa các chuỗi khai thác cụ thể được mô tả trong nghiên cứu.
Tổng hợp