99% người dùng trình duyệt Google Chrome có thể gặp rủi ro này

3 giờ trướcBài gốc

Hàng triệu người dùng trình duyệt Google Chrome đang gặp rủi ro. Ảnh minh họa

Theo nghiên cứu của LayerX, một kiểu tấn công mới mang tên “Man-in-the-Prompt” đang lợi dụng sự kết hợp giữa các tiện ích mở rộng trình duyệt, và nền tảng AI để xâm nhập, đánh cắp dữ liệu của người dùng.

Điểm nguy hiểm của dạng tấn công này là bất kỳ tiện ích mở rộng nào, dù không được cấp quyền đặc biệt, đều có khả năng truy cập vào trường nhập liệu của các trợ lý AI trên trình duyệt.

Các nhà nghiên cứu cho biết, kẻ tấn công có thể chèn lời nhắc ẩn vào giao diện AI, sau đó đánh lừa hệ thống thực hiện những hành động ngoài ý muốn hoặc lấy cắp thông tin nhạy cảm. Trợ lý AI trong trường hợp này bị biến thành công cụ hỗ trợ hacker xâm nhập, và khai thác dữ liệu của doanh nghiệp.

Thực tế, trường nhập liệu của trợ lý AI thường nằm trong Mô hình Đối tượng Tài liệu (DOM) của trang web, nên bất kỳ tiện ích mở rộng nào có quyền truy cập vào DOM đều có thể đọc hoặc ghi trực tiếp vào trường này.

Theo đại diện Google, việc AI tạo sinh được áp dụng rộng rãi đã vô tình tạo ra một mối đe dọa mới, nhắm vào việc thao túng các hệ thống AI, gây hậu quả nghiêm trọng trên diện rộng.

Người dùng nên kiểm tra lại các tiện ích mở rộng đang cài đặt trên trình duyệt Google Chrome. Ảnh: TIỂU MINH

Vấn đề lớn nhất hiện nay là các tiện ích mở rộng trình duyệt chưa được trang bị các biện pháp bảo mật đủ mạnh để ngăn chặn kiểu tấn công này. LayerX, SquareX và nhiều đơn vị bảo mật khác đều thừa nhận: “Khi nói đến tiện ích mở rộng trình duyệt, những biện pháp bảo mật mạnh mẽ đều không tồn tại.”

Để hạn chế bị tấn công, người dùng cần chú ý khi cài đặt và sử dụng các tiện ích mở rộng, đặc biệt là khi kết hợp với các công cụ AI. Việc kiểm tra nguồn gốc, quyền truy cập của tiện ích, cũng như cập nhật các bản vá bảo mật mới nhất là điều cần thiết để giảm thiểu nguy cơ bị tấn công.