Hacker biến Google Gemini thành công cụ lừa đảo bằng lệnh ẩn độc hại trong email

13 giờ trướcBài gốc

Kiểu tấn công này tận dụng kỹ thuật chèn lệnh gián tiếp (indirect prompt injection), ẩn bên trong nội dung email và được mô hình trí tuệ nhân tạo (AI) Google Gemini tuân theo khi tạo ra bản tóm tắt.

Chèn lệnh gián tiếp là kỹ thuật tấn công vào mô hình AI bằng cách ẩn các lệnh (chỉ thị) bên trong nội dung do người dùng cung cấp, ví dụ email, tài liệu hay trang web, để đánh lừa mô hình làm theo mà không ai nhận ra.

Cụ thể hơn, thay vì ra lệnh trực tiếp cho mô hình AI, hacker giấu lệnh bên trong một đoạn văn, email hoặc website mà người dùng hoặc hệ thống không phát hiện ra là một lệnh. Khi đọc nội dung đó để tóm tắt hay phân tích, mô hình AI (ở đây là Google Gemini) sẽ vô tình thực thi lệnh ẩn, dẫn đến những hành vi không mong muốn như tạo cảnh báo giả, cung cấp thông tin sai, hay dẫn người dùng đến các trang web độc hại.

Dù các cuộc tấn công tương tự đã được báo cáo từ năm 2024 và Google đã triển khai một số biện pháp bảo vệ để ngăn phản hồi sai lệch, kỹ thuật này vẫn cho thấy tính hiệu quả.

Tấn công thông qua Google Gemini

Một cuộc tấn công chèn lệnh vào Google Gemini đã được nhà nghiên cứu Marco Figueroa tiết lộ thông qua 0din, chương trình treo thưởng phát hiện lỗi (bug bounty) dành cho công cụ AI tạo sinh của hãng Mozilla.

Marco Figueroa là quản lý chương trình treo thưởng phát hiện lỗi với GenAI (AI tạo sinh) tại Mozilla. Là tổ chức phi lợi nhuận nổi tiếng toàn cầu với trình duyệt web Firefox, Mozilla chủ yếu hoạt động trong lĩnh vực phần mềm mã nguồn mở, bảo mật internet và quyền riêng tư của người dùng.

Quy trình tấn công như sau: Hacker tạo một email có chứa lệnh ẩn cho Gemini. Sau đó, kẻ tấn công sẽ giấu hướng dẫn độc hại ở cuối nội dung email bằng cách sử dụng HTML cùng CSS để đặt kích thước phông chữ về 0 và màu chữ thành trắng.

HTML (HyperText Markup Language): Ngôn ngữ đánh dấu dùng để tạo cấu trúc của trang web hoặc email, như tiêu đề, đoạn văn, liên kết, hình ảnh...

CSS (Cascading Style Sheets): Ngôn ngữ dùng để trang trí, định dạng và điều khiển hiển thị của các thành phần HTML, như màu sắc, cỡ chữ, khoảng cách, ẩn hiện…

Email có chứa lệnh ẩn độc hại - Ảnh: 0din

Lệnh độc hại này sẽ không hiển thị trong Gmail, và vì không có liên kết hay file đính kèm nào, nên email gần như chắc chắn sẽ lọt vào hộp thư đến (inbox) của người nhận.

Nếu người nhận mở email và yêu cầu Gemini tạo bản tóm tắt, mô hình AI của Google sẽ phân tích nội dung, gồm cả lệnh ẩn, và thực thi nó.

Kết quả tóm tắt Gemini được cung cấp cho người dùng - Ảnh: 0din

Một ví dụ do Marco Figueroa cung cấp cho thấy Gemini làm theo lệnh ẩn và hiển thị cảnh báo bảo mật rằng mật khẩu Gmail của người dùng đã bị lộ, kèm theo số điện thoại hỗ trợ. Vì nhiều người dùng tin tưởng vào kết quả của Gemini như một phần thuộc bộ công cụ Google Workspace, nên khả năng họ xem cảnh báo giả này là thật là rất cao.

Khuyến nghị và phản hồi từ Google

Marco Figueroa đã đề xuất một số cách phát hiện và giảm thiểu mà đội ngũ an ninh mạng có thể áp dụng để ngăn chặn các cuộc tấn công kiểu này. Một phương án là loại bỏ, vô hiệu hóa hoặc bỏ qua nội dung được định dạng để ẩn trong văn bản.

Một cách khác là triển khai bộ lọc hậu xử lý để quét kết quả đầu ra của Gemini nhằm phát hiện các thông điệp mang tính khẩn cấp, URL hoặc số điện thoại, sau đó gắn cờ để rà soát thêm.

Người dùng cũng nên lưu ý rằng các bản tóm tắt của Gemini không nên được xem là nguồn thông tin đáng tin cậy tuyệt đối, đặc biệt trong các cảnh báo bảo mật.

Trang BC đã liên hệ với Google để hỏi về các biện pháp bảo vệ chống lại kiểu tấn công này. Một phát ngôn viên của Google đã dẫn đến bài viết trên blog công ty liên quan bảo mật chống lại chèn lệnh.

“Chúng tôi liên tục củng cố các biện pháp bảo mật vốn đã mạnh mẽ của mình bằng những bài tập kiểm tra thâm nhập nhằm huấn luyện mô hình AI chống lại những cuộc tấn công mang tính đối kháng như vậy”, người phát ngôn Google chia sẻ với trang BC.

Tấn công đối kháng là thuật ngữ dùng để chỉ các cuộc tấn công có chủ đích nhằm đánh lừa hoặc làm sai lệch hành vi của mô hình AI bằng cách cung cấp dữ liệu đầu vào được thiết kế tinh vi.

Đại diện Google cho biết thêm rằng một số biện pháp phòng ngừa đang trong quá trình triển khai hoặc sắp được gã khổng lồ công nghệ Mỹ áp dụng.

Google cũng nói rằng hiện chưa có bằng chứng nào cho thấy Gemini đã bị khai thác theo cách được mô tả trong báo cáo của Marco Figueroa.

Google Gemini for Workspace là bộ công cụ AI mạnh mẽ được tích hợp trực tiếp vào các ứng dụng phổ biến trong bộ Google Workspace, gồm Gmail, Google Docs, Google Sheets, Google Slides, Google Meet, Google Chat và Google Drive. Mục tiêu chính của Gemini for Workspace là nâng cao năng suất, sự hợp tác và khả năng sáng tạo cho người dùng, đặc biệt là trong môi trường doanh nghiệp.

Các tính năng và lợi ích nổi bật

Hỗ trợ viết và chỉnh sửa nội dung: Gemini có thể giúp bạn soạn thảo email, tài liệu, bài thuyết trình, kế hoạch dự án... nhanh chóng hơn. Nó có thể gợi ý ý tưởng, điều chỉnh giọng điệu, tóm tắt nội dung dài, kiểm tra ngữ pháp và chính tả.

Tóm tắt thông tin: Gemini có khả năng tóm tắt các chuỗi email dài, tài liệu phức tạp hoặc các cuộc họp Google Meet, giúp bạn nắm bắt thông tin quan trọng một cách nhanh chóng.

Tạo hình ảnh và thiết kế: Trong Google Slides, Gemini có thể tạo hình ảnh gốc từ mô tả văn bản, giúp bạn tạo ra các bài thuyết trình trực quan và hấp dẫn hơn.

Xử lý và phân tích dữ liệu: Trong Google Sheets, Gemini có thể giúp tổ chức dữ liệu, tạo bảng tính tùy chỉnh, phân tích xu hướng và đưa ra thông tin chi tiết.

Nâng cao trải nghiệm cuộc họp: Trong Google Meet, Gemini có thể tự động ghi chú cuộc họp, nâng cao chất lượng âm thanh và video, thậm chí tạo hình nền tùy chỉnh.

Quản lý email và tệp tin hiệu quả: Gemini giúp tìm kiếm thông tin liên quan từ email và file đính kèm, cũng như hỗ trợ dọn dẹp hộp thư đến bằng cách xóa hoặc lưu trữ email không cần thiết.

Bảo mật cấp doanh nghiệp: Google cam kết bảo mật và quyền riêng tư dữ liệu của người dùng. Dữ liệu từ Workspace không được sử dụng để đào tạo các mô hình AI của Gemini, đảm bảo thông tin nhạy cảm được giữ riêng tư và an toàn.

Tiết kiệm thời gian và tăng năng suất: Với khả năng tự động hóa các tác vụ lặp đi lặp lại và hỗ trợ sáng tạo, Gemini giúp người dùng tiết kiệm đáng kể thời gian làm việc, cho phép họ tập trung vào những công việc quan trọng hơn.

Tóm lại, Google Gemini for Workspace là trợ lý AI toàn diện, mang sức mạnh của AI tạo sinh vào các ứng dụng làm việc hàng ngày, giúp bạn làm việc hiệu quả và sáng tạo hơn.

AI Trust Score: Gemini 2.5 Pro là mô hình ngôn ngữ lớn đáng tin cậy nhất

Bảng điểm AI Trust Score của công ty khởi nghiệp Tumeryk (Mỹ) cho thấy Google Gemini 2.5 Pro là mô hình ngôn ngữ lớn đáng tin cậy nhất hiện nay, GPT-4o mini của OpenAI xếp thứ hai, DeepSeek-R1 và Qwen thuộc Alibaba có điểm thấp nhất.

Cụ thể hơn, Gemini Pro 2.5 dẫn đầu khi đạt 899/1.000 điểm, GPT-4o mini đứng thứ hai với 869 điểm.

AI Trust Score là hệ thống chấm điểm độ tin cậy của các mô hình ngôn ngữ lớn (nền tảng cốt lõi cho các ứng dụng AI tạo sinh, chẳng hạn chatbot), dựa trên các tiêu chí bảo mật và tuân thủ tiêu chuẩn trong ngành.

Sơn Vân

Nguồn Một Thế Giới : https://1thegioi.vn/hacker-bien-google-gemini-thanh-cong-cu-lua-dao-bang-lenh-an-doc-hai-trong-email-234934.html