Mới đây, tại hội nghị bảo mật Black Hat 2025 diễn ra ở Las Vegas, hai chuyên gia an ninh mạng Michael Bargury và Tamir Ishay Sharbat đã trình bày một kỹ thuật tấn công mới mang tên AgentFlayer. Đây là minh chứng rõ ràng rằng, nếu không cẩn trọng, ChatGPT có thể vô tình trở thành “kẻ phản bội” tiết lộ toàn bộ dữ liệu nhạy cảm của bạn cho hacker.
Chiêu thức tấn công AgentFlayer hoạt động như thế nào?
Phương pháp này khai thác một điểm yếu nằm ở khả năng kết nối của ChatGPT với các dịch vụ bên ngoài như Google Drive, GitHub hay các kho lưu trữ dữ liệu trực tuyến khác. Cụ thể, kẻ tấn công thực hiện các bước sau:
Tạo tài liệu “đầu độc” : Hacker chuẩn bị một file văn bản hoặc bảng tính, lưu trữ trên dịch vụ đám mây hợp pháp. Trong tài liệu này, họ chèn mã lệnh độc hại nhưng được ẩn đi bằng các thủ thuật như:
-
Chuyển màu chữ thành trắng trên nền trắng để mắt thường khó phát hiện.
-
Đặt nội dung mã trong các vùng khó nhìn hoặc bên trong các thành phần tưởng chừng vô hại.
Dụ người dùng truy cập : Tài liệu sẽ được chia sẻ với mục đích “hợp pháp” như báo cáo, tài liệu tham khảo hay hướng dẫn kỹ thuật. Một khi người dùng mở tài liệu và ChatGPT được cấp quyền truy cập, đoạn mã ẩn này có thể bắt đầu hoạt động.
Kích hoạt và trích xuất dữ liệu : Khi ChatGPT đọc nội dung, mã độc sẽ ra lệnh cho AI gửi dữ liệu nhạy cảm (API key, lịch sử trò chuyện, tài khoản dịch vụ, thông tin cá nhân…) tới máy chủ của kẻ tấn công — mà người dùng hoàn toàn không hay biết.
Vì sao đây là mối nguy nghiêm trọng?
Điểm đáng sợ ở AgentFlayer là mức độ đơn giản nhưng hiệu quả cao. Một đoạn văn bản trắng trên nền trắng không khác gì “tàng hình” trước mắt người dùng. Trong khi đó, ChatGPT — vốn không được thiết kế để tự nhận diện mã độc ẩn trong văn bản — sẽ vô tình trở thành công cụ vận chuyển dữ liệu ra ngoài.
Hơn nữa:
-
Người dùng thường chủ quan khi tài liệu đến từ nguồn tưởng như đáng tin cậy.
-
Quyền truy cập dịch vụ bên ngoài (Drive, GitHub) nếu đã cấp một lần thì ChatGPT sẽ tiếp tục dùng mà không cần xin phép lại.
-
Quy trình tấn công khó bị phát hiện bởi không tạo ra hành vi đáng ngờ rõ ràng, như tải file lạ hay cài phần mềm.
Bài học cho người dùng AI
Từ nghiên cứu trên, có thể rút ra một số cảnh báo quan trọng khi sử dụng ChatGPT hoặc bất kỳ công cụ AI nào có khả năng truy cập dữ liệu cá nhân:
1. Không mở tài liệu từ nguồn không rõ ràng
Ngay cả khi file được lưu trữ trên nền tảng uy tín như Google Drive hay GitHub, bạn vẫn cần xác minh nguồn gửi. Hacker hoàn toàn có thể lợi dụng những nền tảng này để tăng độ tin cậy cho file độc.
2. Kiểm tra kỹ nội dung “trống”
Nếu phát hiện văn bản trắng trên nền trắng, hoặc khoảng trắng bất thường trong tài liệu, hãy cẩn thận. Đó có thể là “vỏ bọc” của đoạn mã độc.
3. Giới hạn quyền truy cập của ChatGPT
Chỉ cấp quyền kết nối đến dịch vụ lưu trữ khi thực sự cần thiết. Sau khi sử dụng xong, hãy thu hồi quyền để giảm rủi ro.
4. Theo dõi hoạt động và nhật ký truy cập
Nhiều dịch vụ như Google Drive, GitHub cho phép xem lịch sử truy cập. Điều này giúp phát hiện sớm những truy cập lạ, đặc biệt là từ ứng dụng hoặc dịch vụ AI.
Trí tuệ nhân tạo đang và sẽ tiếp tục thay đổi cách chúng ta làm việc, nhưng đồng thời cũng mở ra những mặt trận an ninh mạng mới. Trường hợp vừa kể chỉ là một ví dụ cho thấy kẻ xấu luôn tìm ra cách sáng tạo để khai thác các công cụ hợp pháp vào mục đích xấu.
Sự tiện lợi của ChatGPT chỉ thực sự an toàn khi người dùng biết cách bảo vệ mình. Đây là lời nhắc nhở rằng, trong thế giới số, đôi khi mối nguy nằm ở những chi tiết nhỏ bé và “vô hình” nhất. Một đoạn văn bản trắng trên nền trắng có thể chính là “cửa hậu” mở toang cho hacker xâm nhập toàn bộ dữ liệu của bạn.
