Một nghiên cứu từ Đại học Washington (UW) công bố ngày 26/4 tại Hội thảo Agents in the Wild ở Rio de Janeiro cho thấy các trình duyệt web tích hợp AI agent (tác nhân AI) đang mở ra những lỗ hổng bảo mật nghiêm trọng. Nhóm nghiên cứu đã kiểm tra bảy trình duyệt agentic phổ biến và phát hiện bốn trong số đó cho phép kẻ tấn công vượt qua chính sách 'same-origin' (cùng nguồn gốc) – một cơ chế bảo mật cơ bản của web hiện đại, vốn ngăn các trang web khác nhau truy cập dữ liệu của nhau.
Bốn trình duyệt AI dễ bị tấn công: ChatGPT Atlas, Chrome với Gemini, Claude for Chrome và Perplexity Comet
Các nhà nghiên cứu đã thực hiện một cuộc tấn công mạng bằng chứng khái niệm (proof-of-concept) thành công trên trình duyệt ChatGPT Atlas. Họ thiết lập một trang web độc hại có thể đánh cắp thông tin từ một trang web khác được nhúng trong đó – giống như một quảng cáo trên trang email có thể lấy trộm dữ liệu nhạy cảm từ email của người dùng. Ngoài ChatGPT Atlas, ba trình duyệt khác cũng có điều kiện tương tự cho các cuộc tấn công: Chrome với Gemini, Claude for Chrome và Perplexity Comet. Các trình duyệt cấp ít quyền hơn cho agent nhìn chung an toàn hơn.
Chính sách same-origin: Lá chắn bảo mật 30 năm bị đe dọa
Chính sách same-origin, được giới thiệu từ năm 1995, là biện pháp bảo mật thiết yếu của web hiện đại. Nó ngăn các trang web khác nhau tương tác với nhau – ngay cả khi một trang được nhúng trong trang khác. Nhờ chính sách này, người dùng có thể mở một trang web không an toàn trong một tab và đăng nhập vào tài khoản ngân hàng ở tab khác mà thông tin vẫn được cách ly. Tuy nhiên, các trình duyệt agentic cho phép AI agent truy cập ở mức độ gần giống người dùng, khiến chúng dễ bị lừa theo những cách mà con người thường không mắc phải.
Hai kiểu tấn công chính: Prompt injection và Memory poisoning
Nghiên cứu chỉ ra hai rủi ro chính. Thứ nhất là 'prompt injection' (tiêm lệnh): Một trang web độc hại có thể chứa văn bản ẩn trong mã nguồn, đưa ra chỉ thị cho agent. Ví dụ, agent truy cập một trang an toàn cần tóm tắt, nhưng một trang độc hại nhúng trong đó có thể yêu cầu agent tự động điền thông tin người dùng vào biểu mẫu. Thứ hai là 'memory poisoning' (đầu độc bộ nhớ): AI agent thường lưu trữ và tổng hợp thông tin để sử dụng sau, khiến nội dung bộ nhớ dễ bị tấn công. Một số agent pha trộn thông tin từ các nguồn khác nhau, làm suy yếu khả năng bảo vệ.
Cảnh báo từ chuyên gia: 'Trình duyệt agent chưa sẵn sàng cho công chúng'
David Kohlbrenner, trợ lý giáo sư tại Trường Khoa học Máy tính & Kỹ thuật Paul G. Allen (UW), cho biết: 'Các agent trình duyệt chưa sẵn sàng cho công chúng. Ngay cả khi bạn là người dùng tương đối am hiểu, nếu các agent này có quyền truy cập vào trình duyệt chứa thông tin đăng nhập – email, tài khoản ngân hàng – bạn không nên tin rằng chúng thực sự bảo vệ thông tin của bạn.' Franziska Roesner, giáo sư cùng trường, nhấn mạnh: 'Sau 30 năm xây dựng chính sách same-origin, đây là một bước lùi lớn cho bảo mật trình duyệt.'
Phản hồi từ các công ty: Google, Microsoft, Brave hợp tác; OpenAI và Perplexity từ chối
Nhóm nghiên cứu đã gửi báo cáo tới các công ty đứng sau các trình duyệt agentic. Anthropic và Firefox không phản hồi; Perplexity và OpenAI từ chối báo cáo. Trong khi đó, Google, Microsoft và Brave có những trao đổi tích cực. Hiện chưa có giải pháp rõ ràng để khắc phục các vấn đề mà vẫn duy trì khả năng của trình duyệt. Trình duyệt ít rủi ro nhất được thử nghiệm, Firefox AI Mode, cũng có khả năng hạn chế nhất.
Theo Technology Org
Ảnh: Tumisu / Pixabay
