7 lỗ hổng khiến ChatGPT dễ bị tấn công

Các chuyên gia an ninh mạng của Tenable - Công ty an ninh mạng Hoa Kỳ đã phát hiện 7 lỗ hổng trong ChatGPT và công cụ SearchGPT có thể bị tin tặc lợi dụng để vượt qua bộ lọc an toàn, cài mã độc, thậm chí đánh cắp dữ liệu cá nhân trong lịch sử trò chuyện của người dùng.

7 lỗ hổng phơi bày điểm yếu trong cơ chế hoạt động của ChatGPT

Theo báo cáo bảo mật của Tenable, nhóm nghiên đã phát hiện 7 lỗ hổng nghiêm trọng trong cách ChatGPT xử lý dữ liệu từ các nguồn bên ngoài, bao gồm: Khi chatbot duyệt web, tóm tắt nội dung trang, tìm kiếm thông tin hoặc mở các đường dẫn mà người dùng yêu cầu.

Lỗi bảo mật của ChatGPT cho phép đánh cắp dữ liệu tràn lan.

Những vấn đề này chủ yếu xuất phát từ cách ChatGPT và SearchGPT tương tác với nội dung web, dẫn đến nguy cơ tin tặc có thể điều khiển hành vi của chatbot mà người dùng không hề hay biết. Các chuyên gia cho biết, nhóm đã xây dựng các kịch bản thử nghiệm cho phép “bẻ cong” quy trình xử lý của ChatGPT, từ đó trích xuất dữ liệu riêng tư, vượt qua cơ chế an toàn và tạo ra các chuỗi tấn công hoàn chỉnh.

Theo nhóm chuyên gia, một trong những lỗ hổng nguy hiểm nhất là prompt injection gián tiếp, khi kẻ tấn công cài cắm chỉ thị độc hại vào các trang web đáng tin cậy như blog, bài viết hoặc phần bình luận. Khi ChatGPT được yêu cầu tóm tắt trang đó, công cụ sẽ vô tình đọc và thực thi mệnh lệnh ẩn, ví dụ như gửi người dùng đến một đường dẫn độc hại hoặc sao chép nội dung bí mật ra bên ngoài.

Ngoài ra, các chuyên gia phát hiện, ChatGPT đặt niềm tin quá lớn vào các liên kết thuộc tên miền bing.com, vốn được dùng trong quá trình tìm kiếm. Lợi dụng điều này, tin tặc có thể tạo ra các trang web độc hại, đăng tải lên Bing, sau đó trích xuất đường dẫn chuyển hướng (tracking link) từ công cụ này để qua mặt bộ lọc an toàn của ChatGPT.

Hành vi đó khiến chatbot tin rằng liên kết là hợp lệ, qua đó đọc và xử lý nội dung độc hại như thể đến từ nguồn đáng tin cậy.

Một điểm yếu khác liên quan đến cơ chế lưu trữ hội thoại và bộ nhớ dài hạn. Khi ChatGPT tiếp xúc với một trang chứa mã độc, các chỉ thị độc hại có thể được lưu lại trong bộ nhớ, khiến chatbot tự động thực thi chúng trong các cuộc trò chuyện sau.

Nhóm chuyên gia mô tả đây là hiện tượng “tự tiêm độc chính mình” - một dạng khai thác nguy hiểm đặc trưng cho các mô hình ngôn ngữ lớn.

Từ “một cú nhấp chuột” đến “không cần nhấp chuột”

Tenable cho biết, các lỗ hổng này có thể bị lợi dụng theo nhiều cách khác nhau, bao gồm cả tấn công zero-click (không cần hành động từ người dùng) và one-click (chỉ cần một cú nhấp chuột).

Trong trường hợp zero-click, người dùng chỉ cần đặt câu hỏi thông thường. Nếu trong kết quả tìm kiếm có một trang bị cài mã độc, ChatGPT có thể tự động truy cập, tải nội dung và thực thi các chỉ thị ẩn mà không cần người dùng xác nhận. Điều này đặc biệt nguy hiểm vì nạn nhân thậm chí không biết mình đã bị tấn công.

Với tấn công one-click, tin tặc có thể khai thác tính năng tạo truy vấn qua liên kết do ChatGPT cung cấp. Khi người dùng bấm vào một liên kết trông có vẻ vô hại, chatbot sẽ tự động thực hiện lệnh trong phần tham số của liên kết. Nếu kẻ tấn công chèn mã độc vào đó, ChatGPT sẽ ngay lập tức bị tiêm lệnh mà không hề có cảnh báo.

Một trong những ví dụ mà nhóm nghiên cứu nêu ra là việc ẩn lệnh độc trong phần bình luận của blog công nghệ. Khi người dùng yêu cầu ChatGPT tóm tắt bài viết, công cụ này sẽ truy cập trang, đọc nội dung và thực hiện cả chỉ thị độc được giấu trong mã HTML. Chỉ một hành động nhỏ cũng có thể mở ra đường dẫn đến trang lừa đảo hoặc làm rò rỉ dữ liệu người dùng.

Nhóm chuyên gia cảnh báo rằng, những dạng tấn công như vậy đặc biệt nguy hiểm với người dùng phổ thông, vì chúng không đòi hỏi kiến thức kỹ thuật cao. Trong môi trường doanh nghiệp, rủi ro còn lớn hơn, do chatbot thường được tích hợp vào hệ thống nội bộ, nơi chứa dữ liệu nhạy cảm. Nếu bị lợi dụng, ChatGPT có thể trở thành “cửa sau” để truy cập thông tin quan trọng của tổ chức. Tenable cho biết, họ đã thực hiện các thử nghiệm trên ChatGPT-4o và nhận thấy phần lớn các lỗ hổng vẫn tồn tại ở phiên bản mới hơn ChatGPT-5.

Cảnh báo về mức độ nghiêm trọng

Trong báo cáo, Tenable nhấn mạnh rằng, mức độ nguy hiểm của sự cố không chỉ nằm ở từng lỗ hổng riêng lẻ, mà ở khả năng kết hợp chúng thành chuỗi tấn công hoàn chỉnh. Khi được ghép nối, các điểm yếu này tạo thành một đường tấn công khép kín, từ tiêm lệnh, né tránh cơ chế an toàn, đánh cắp dữ liệu cho tới duy trì quyền truy cập lâu dài vào hệ thống của người dùng.

Các lỗ hổng ở mức trung bình và cao, khi kết hợp với nhau, có thể trở thành vấn đề mang tính nghiêm trọng. Từng lỗ hổng riêng rẽ đã đáng lo ngại, nhưng khi hợp thành chuỗi, chúng cho phép kẻ tấn công kiểm soát toàn bộ quá trình, từ xâm nhập đến khai thác dữ liệu.

Người dùng cần cẩn thận hơn khi truy cập các đường dẫn trên mạng.

Tenable cũng khẳng định, phát hiện này bổ sung vào danh sách ngày càng dài các cảnh báo về bảo mật trong lĩnh vực trí tuệ nhân tạo, đặc biệt là các mô hình ngôn ngữ lớn. Kể từ khi ChatGPT ra mắt công chúng vào năm 2022, giới nghiên cứu liên tục chỉ ra rằng, các hệ thống AI không dễ bảo vệ như phần mềm truyền thống.

Những kiểu tấn công như prompt injection hay jailbreak hoạt động dựa trên cách AI hiểu ngôn ngữ, khiến việc ngăn chặn trở nên phức tạp hơn nhiều.

Dù chưa ghi nhận trường hợp khai thác trên diện rộng, báo cáo của Tenable được xem như lời cảnh báo mạnh mẽ về rủi ro bảo mật của trí tuệ nhân tạo. Khi các hệ thống như ChatGPT ngày càng được tích hợp sâu vào công việc, giáo dục và dịch vụ công, việc duy trì kiểm soát và giám sát bảo mật cần được đặt lên hàng đầu./.