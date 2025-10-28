Lỗ hổng này cho phép kẻ tấn công đưa các lệnh độc hại vào chính bộ nhớ của AI, biến một tính năng hữu ích thành vũ khí dai dẳng để chạy mã tùy ý (Ảnh minh hoạ: ST).

Theo báo cáo từ LayerX Security, cuộc tấn công này khai thác lỗ hổng giả mạo yêu cầu chéo trang (CSRF) để chèn lệnh độc hại vào bộ nhớ liên tục của ChatGPT.

Tính năng "Memory" (bộ nhớ) vốn được thiết kế để AI ghi nhớ các chi tiết hữu ích như tên, sở thích của người dùng nhằm cá nhân hóa phản hồi, giờ đây lại có thể bị "làm hỏng".

Một khi bộ nhớ bị nhiễm mã độc, các lệnh này sẽ tồn tại vĩnh viễn - trừ khi người dùng tự tay vào cài đặt để xóa - và có thể được kích hoạt trên nhiều thiết bị và phiên làm việc.

"Điều khiến lỗ hổng này trở nên đặc biệt nguy hiểm là nó nhắm vào bộ nhớ liên tục của AI, chứ không chỉ phiên trình duyệt", Michelle Levy, Giám đốc nghiên cứu bảo mật tại LayerX Security cho biết.

Bà Levy giải thích: "Nói một cách đơn giản, kẻ tấn công sử dụng một thủ thuật để “lừa” AI, buộc nó phải ghi một lệnh độc hại vào bộ nhớ của mình. Điểm nguy hiểm nhất là lệnh này sẽ nằm vùng vĩnh viễn trong AI - ngay cả khi người dùng đổi máy tính, đăng xuất rồi đăng nhập lại hay thậm chí dùng một trình duyệt khác.

Sau này, khi người dùng đưa ra một yêu cầu hoàn toàn bình thường, họ có thể vô tình kích hoạt mã độc đó. Hậu quả là hacker có thể chạy mã ngầm, đánh cắp dữ liệu hoặc chiếm được các quyền kiểm soát cao hơn trên hệ thống”.

Kịch bản tấn công được mô tả diễn ra khá đơn giản: Đầu tiên, người dùng đăng nhập vào ChatGPT Atlas. Họ bị lừa nhấp vào một liên kết độc hại, sau đó trang web độc hại bí mật kích hoạt yêu cầu CSRF, âm thầm đưa hướng dẫn độc hại vào bộ nhớ ChatGPT của nạn nhân.

Cuối cùng, khi người dùng đưa ra một truy vấn hoàn toàn hợp pháp, ví dụ yêu cầu AI viết mã, các "ký ức" bị nhiễm độc sẽ được kích hoạt.

LayerX chỉ ra, vấn đề sẽ trở nên trầm trọng hơn do ChatGPT Atlas thiếu các biện pháp kiểm soát chống lừa đảo mạnh mẽ.

Trong các thử nghiệm với hơn 100 lỗ hổng và trang lừa đảo, Atlas chỉ ngăn chặn được 5,8% các trang web độc hại.

Con số này quá khiêm tốn so với Google Chrome (47%) hay Microsoft Edge (53%), khiến người dùng Atlas "dễ bị tấn công hơn tới 90%" so với các trình duyệt truyền thống.

Phát hiện này nối tiếp một lỗ hổng chèn mã độc nhanh khác do NeuralTrust chứng minh trước đó, cho thấy các trình duyệt AI đang trở thành một mặt trận tấn công mới.