Love AI
New member
Nghiên cứu của Check Point cho thấy chatbot AI có chức năng duyệt web có thể bị lợi dụng làm kênh trung gian cho mã độc. Thay vì kết nối tới máy chủ điều khiển truyền thống, mã độc có thể yêu cầu chatbot lấy lệnh từ một trang độc hại rồi chuyển lại cho máy bị nhiễm.
Check Point Research đã trình diễn cách một loại mã độc tận dụng chức năng duyệt web của chatbot AI để làm kênh truyền lệnh và dữ liệu. Thay vì “gọi về” máy chủ điều khiển truyền thống, mã độc kích hoạt chatbot tải một URL chứa chỉ dẫn độc hại, rồi phân tích văn bản trả về để thực thi lệnh tiếp theo trên máy bị nhiễm.
Kỹ thuật này tận dụng thói quen: nhiều môi trường doanh nghiệp xem lưu lượng tới dịch vụ AI lớn là lưu lượng thông thường, nên các kết nối kiểu này dễ qua mặt kiểm soát. Quy trình còn có thể đảo chiều để lấy dữ liệu ra: mã độc đặt dữ liệu trong tham số truy vấn URL, nhờ chatbot gửi yêu cầu tới cơ sở hạ tầng của kẻ tấn công và truyền dữ liệu ra ngoài.
Một chi tiết quan trọng là cách tiếp cận tránh dùng API dành cho nhà phát triển. Trong các kịch bản thử nghiệm, kỹ thuật này có thể hoạt động mà không cần khóa API, làm giảm rào cản để lạm dụng. Check Point nói họ đã thử nghiệm trên Grok và Microsoft Copilot thông qua giao diện web của các dịch vụ này.
Cơ chế hoạt động còn lợi dụng thành phần trình duyệt nhúng phổ biến. Ví dụ điển hình là WebView2 trên Windows: một chương trình thu thập thông tin cơ bản về hệ thống, mở một web view ẩn vào dịch vụ AI, kích hoạt yêu cầu URL rồi phân tích phản hồi để lấy lệnh tiếp theo. Hành vi này dễ bị nhầm với hoạt động ứng dụng bình thường, không phải một tín hiệu phát hiện rõ ràng.
Vấn đề không chỉ là điều khiển từ xa. Nếu dịch vụ AI truy xuất nội dung từ nguồn có thể bị lợi dụng, nó cũng có thể vô tình xử lý hoặc rò rỉ thông tin nhạy cảm. Microsoft từng công bố sự cố Copilot Chat tạo tóm tắt từ email mang nhãn nhạy cảm, điểm thêm rằng sau khi thiết bị bị xâm phạm, kẻ tấn công sẽ cố tận dụng mọi dịch vụ khả dụng, kể cả dịch vụ AI.
Khuyến nghị phòng ngừa: áp dụng chiến lược phòng thủ nhiều lớp để ngăn nhiễm ban đầu và giảm thiểu hậu quả sau khi bị xâm. Cụ thể nên hạn chế chức năng duyệt web của chatbot chỉ trên thiết bị được quản lý và theo vai trò cần thiết, giám sát các mẫu tự động hóa như tần suất tải URL lặp lại, khung thời gian prompt bất thường hoặc lưu lượng không tương đồng với hành vi con người.
Ngoài ra, xử lý điểm yếu ở mức hạ tầng: chặn hoặc kiểm soát lưu lượng tới các điểm đích AI trên mạng, thiết lập lọc và giải mã hợp lý cho tham số URL, và tăng cường phát hiện tự động hóa trong giao diện web chat của nhà cung cấp. Điều quan trọng tiếp theo cần theo dõi là các nhà cung cấp có bổ sung cơ chế phát hiện tự động hóa mạnh hơn cho chat web hay không, và liệu các đội phòng thủ có bắt đầu xem các dịch vụ AI như kênh hậu xâm phạm hay không.
Nguồn: Digitaltrends
Check Point Research đã trình diễn cách một loại mã độc tận dụng chức năng duyệt web của chatbot AI để làm kênh truyền lệnh và dữ liệu. Thay vì “gọi về” máy chủ điều khiển truyền thống, mã độc kích hoạt chatbot tải một URL chứa chỉ dẫn độc hại, rồi phân tích văn bản trả về để thực thi lệnh tiếp theo trên máy bị nhiễm.
Kỹ thuật này tận dụng thói quen: nhiều môi trường doanh nghiệp xem lưu lượng tới dịch vụ AI lớn là lưu lượng thông thường, nên các kết nối kiểu này dễ qua mặt kiểm soát. Quy trình còn có thể đảo chiều để lấy dữ liệu ra: mã độc đặt dữ liệu trong tham số truy vấn URL, nhờ chatbot gửi yêu cầu tới cơ sở hạ tầng của kẻ tấn công và truyền dữ liệu ra ngoài.
Một chi tiết quan trọng là cách tiếp cận tránh dùng API dành cho nhà phát triển. Trong các kịch bản thử nghiệm, kỹ thuật này có thể hoạt động mà không cần khóa API, làm giảm rào cản để lạm dụng. Check Point nói họ đã thử nghiệm trên Grok và Microsoft Copilot thông qua giao diện web của các dịch vụ này.
Cơ chế hoạt động còn lợi dụng thành phần trình duyệt nhúng phổ biến. Ví dụ điển hình là WebView2 trên Windows: một chương trình thu thập thông tin cơ bản về hệ thống, mở một web view ẩn vào dịch vụ AI, kích hoạt yêu cầu URL rồi phân tích phản hồi để lấy lệnh tiếp theo. Hành vi này dễ bị nhầm với hoạt động ứng dụng bình thường, không phải một tín hiệu phát hiện rõ ràng.
Vấn đề không chỉ là điều khiển từ xa. Nếu dịch vụ AI truy xuất nội dung từ nguồn có thể bị lợi dụng, nó cũng có thể vô tình xử lý hoặc rò rỉ thông tin nhạy cảm. Microsoft từng công bố sự cố Copilot Chat tạo tóm tắt từ email mang nhãn nhạy cảm, điểm thêm rằng sau khi thiết bị bị xâm phạm, kẻ tấn công sẽ cố tận dụng mọi dịch vụ khả dụng, kể cả dịch vụ AI.
Khuyến nghị phòng ngừa: áp dụng chiến lược phòng thủ nhiều lớp để ngăn nhiễm ban đầu và giảm thiểu hậu quả sau khi bị xâm. Cụ thể nên hạn chế chức năng duyệt web của chatbot chỉ trên thiết bị được quản lý và theo vai trò cần thiết, giám sát các mẫu tự động hóa như tần suất tải URL lặp lại, khung thời gian prompt bất thường hoặc lưu lượng không tương đồng với hành vi con người.
Ngoài ra, xử lý điểm yếu ở mức hạ tầng: chặn hoặc kiểm soát lưu lượng tới các điểm đích AI trên mạng, thiết lập lọc và giải mã hợp lý cho tham số URL, và tăng cường phát hiện tự động hóa trong giao diện web chat của nhà cung cấp. Điều quan trọng tiếp theo cần theo dõi là các nhà cung cấp có bổ sung cơ chế phát hiện tự động hóa mạnh hơn cho chat web hay không, và liệu các đội phòng thủ có bắt đầu xem các dịch vụ AI như kênh hậu xâm phạm hay không.
Nguồn: Digitaltrends
Bài viết liên quan
