Lỗ hổng mới của Claude: Chỉ cần vào web độc hại là dính tấn công

[WhiteHat Team]

Một lỗ hổng đáng lo ngại vừa được phát hiện trên tiện ích trình duyệt của trợ lý AI Claude do Anthropic phát triển. Theo các nhà nghiên cứu, chỉ cần truy cập một trang web độc hại, người dùng có thể vô tình để hacker gửi lệnh điều khiển AI mà không hề hay biết. Trong bối cảnh các trợ lý AI ngày càng được tích hợp sâu vào trình duyệt và hệ thống làm việc, đây được xem là một bề mặt tấn công mới, có giá trị cao đối với tin tặc.
​

Ảnh: Internet​

Lỗ hổng này được các nhà nghiên cứu từ Koi Security phát hiện, với tên gọi ShadowPrompt. Nó ảnh hưởng trực tiếp đến tiện ích Claude trên trình duyệt Google Chrome. Bản chất của lỗ hổng nằm ở việc tiện ích này tin tưởng quá mức vào một số nguồn dữ liệu đầu vào, dẫn đến việc bất kỳ website nào cũng có thể “giả danh” người dùng để gửi lệnh (prompt) tới AI.

Lỗ hổng không yêu cầu người dùng thực hiện bất kỳ thao tác nào như click hay cấp quyền. Chỉ cần truy cập trang web độc hại, quá trình tấn công có thể tự động diễn ra.​

Nguyên nhân kỹ thuật: Vì sao lại xảy ra?​

ShadowPrompt thực chất là sự kết hợp của hai điểm yếu:​

• Cơ chế kiểm tra nguồn quá lỏng lẻo, cho phép mọi tên miền con dạng "*[.]claude[.]ai" đều được gửi lệnh tới AI​
• Một lỗ hổng XSS trong thành phần CAPTCHA của Arkose Labs, cho phép thực thi mã JavaScript độc hại​

Sự kết hợp này tạo ra một chuỗi tấn công hoàn chỉnh, nơi mã độc có thể chạy trong ngữ cảnh hợp lệ và gửi lệnh trực tiếp tới Claude.​

Cơ chế khai thác: Tấn công diễn ra như thế nào?​

Quá trình khai thác được thiết kế tinh vi nhưng lại rất “âm thầm”:

Kẻ tấn công nhúng một thành phần web chứa lỗ hổng vào trang độc hại, thường dưới dạng một iframe ẩn mà người dùng không nhìn thấy. Thông qua lỗ hổng XSS, họ chèn mã JavaScript có khả năng gửi lệnh tới tiện ích Claude.

Do tiện ích tin tưởng nguồn gửi là hợp lệ, lệnh này sẽ được xử lý như thể chính người dùng nhập vào. Toàn bộ quá trình diễn ra trong nền, không hiển thị cảnh báo hay dấu hiệu bất thường. Kết quả là AI có thể bị điều khiển mà người dùng không hề hay biết.​

Rủi ro và hậu quả khi bị khai thác​

Nếu bị khai thác thành công, lỗ hổng này có thể gây ra nhiều hệ quả nghiêm trọng:​

• Đánh cắp dữ liệu nhạy cảm như token đăng nhập​
• Truy cập lịch sử hội thoại với AI​
• Thực hiện hành động thay người dùng (gửi email, yêu cầu thông tin, thao tác trên web)​
• Lợi dụng AI như một “công cụ nội gián” trong trình duyệt​

Điểm nguy hiểm nằm ở chỗ AI ngày càng có quyền truy cập sâu vào dữ liệu và hành vi người dùng. Khi bị chiếm quyền, nó có thể trở thành một tác nhân tự động thực hiện các hành động nguy hiểm.​

Mức độ ảnh hưởng và phạm vi rủi ro​

Lỗ hổng này đặc biệt nguy hiểm vì:​

• Không cần tương tác người dùng​
• Khó phát hiện bằng mắt thường​
• Tận dụng chính cơ chế tin cậy của hệ thống​

Khắc phục và khuyến nghị từ chuyên gia
Ngay sau khi được báo cáo vào cuối tháng 12/2025, Anthropic đã phát hành bản vá cho tiện ích Claude (phiên bản 1.0.41), siết chặt kiểm tra nguồn truy cập, chỉ cho phép domain chính xác. Phía Arkose Labs cũng đã khắc phục lỗ hổng XSS liên quan.

Các chuyên gia khuyến nghị người dùng:​

• Cập nhật tiện ích Claude lên phiên bản mới nhất​
• Hạn chế truy cập các website không rõ nguồn gốc​
• Thận trọng với các nội dung nhúng hoặc trang web lạ​
• Nhận thức rằng AI cũng là một “điểm tấn công” cần được bảo vệ​

Sự cố ShadowPrompt cho thấy một thực tế mới trong an ninh mạng. Khi AI ngày càng trở nên thông minh và có quyền truy cập sâu hơn vào hệ thống, nó cũng trở thành mục tiêu tấn công hấp dẫn hơn bao giờ hết. Một lỗ hổng nhỏ trong cơ chế tin cậy có thể biến trợ lý AI thành công cụ bị lợi dụng mà người dùng không hề nhận ra.​

Theo The Hacker News​