Một lỗ hổng bảo mật nghiêm trọng trong AI Gemini của Google đã được phát hiện, cho phép tội phạm mạng thao túng bản tóm tắt email và lừa người dùng rơi vào các vụ lừa đảo phishing tinh vi. Lỗ hổng này khai thác tính năng tóm tắt email của Gemini trong Gmail Workspace, có thể khiến hàng triệu người dùng có nguy cơ bị đánh cắp thông tin đăng nhập và tấn công kỹ thuật xã hội.
Cách thức hoạt động của cuộc tấn công
Nhà nghiên cứu bảo mật Marco Figueroa đã phát hiện ra lỗ hổng này, khai thác một kỹ thuật gọi là prompt injection. Kẻ tấn công tạo ra các email chứa văn bản vô hình bằng cách sử dụng thao túng HTML và CSS, đặt kích thước font bằng không và màu sắc thành màu trắng. Trong khi người nhận không thể nhìn thấy nội dung ẩn này, AI Gemini lại xử lý nó khi tạo bản tóm tắt email. Văn bản độc hại chứa các hướng dẫn khiến Gemini hiển thị các cảnh báo bảo mật giả mạo hoặc thông báo khẩn cấp trong kết quả tóm tắt.
Cuộc tấn công này vượt qua các bộ lọc spam truyền thống vì nó không dựa vào các liên kết hoặc tệp đính kèm đáng nghi. Thay vào đó, nó thao túng khả năng xử lý ngôn ngữ tự nhiên của AI để tạo ra những cảnh báo có vẻ hợp pháp. Trong các ví dụ được ghi lại, các prompt ẩn đã hướng dẫn Gemini cảnh báo người dùng rằng mật khẩu Gmail của họ đã bị xâm phạm và cung cấp số điện thoại hỗ trợ giả mạo.
Chi tiết phương thức tấn công:
- Kỹ thuật: Tiêm prompt sử dụng văn bản HTML/CSS vô hình
- Mục tiêu: Người dùng Gmail Workspace sử dụng tính năng tóm tắt AI Gemini
- Phương pháp vượt qua: Tránh bộ lọc spam bằng cách không sử dụng liên kết hoặc tệp đính kèm
- Khả năng hiển thị: Văn bản ẩn sử dụng kích thước font bằng không và màu trắng
- Khám phá: Nhà nghiên cứu bảo mật Marco Figueroa
Sự lừa dối có vẻ hợp pháp
Lỗ hổng này đặc biệt nguy hiểm vì các cảnh báo giả mạo có vẻ như đến trực tiếp từ hệ thống AI của Google. Người dùng tin tưởng vào bản tóm tắt của Gemini có thể không đặt câu hỏi về các cảnh báo dường như xuất phát từ dịch vụ chính thức của Google. Vụ lừa đảo này khai thác sự phụ thuộc ngày càng tăng vào nội dung do AI tạo ra và giả định của người dùng rằng những bản tóm tắt này an toàn và đáng tin cậy.
Kỹ thuật văn bản vô hình đủ tinh vi để nạn nhân không thấy gì đáng nghi trong email gốc. Họ chỉ gặp phải nội dung độc hại khi yêu cầu bản tóm tắt AI, khiến vector tấn công này gần như không thể phát hiện được nếu không có kiến thức kỹ thuật.
Phản hồi của Google và tình trạng hiện tại
Google đã thừa nhận mối lo ngại về bảo mật khi được các nhà nghiên cứu liên hệ nhưng tuyên bố họ chưa quan sát thấy bằng chứng về việc lỗ hổng này bị khai thác ngoài thực tế. Công ty đã đề cập đến các biện pháp phòng thủ hiện có chống lại các cuộc tấn công prompt injection và nhấn mạnh những nỗ lực tăng cường bảo mật đang diễn ra. Một đại diện của Google đã đề cập rằng các biện pháp bảo vệ bổ sung đang được triển khai, mặc dù không cung cấp chi tiết cụ thể.
Gã khổng lồ công nghệ này đã nhấn mạnh các bài tập red-teaming được thiết kế để huấn luyện các mô hình AI chống lại các cuộc tấn công đối nghịch. Tuy nhiên, phát hiện này cho thấy rằng các biện pháp bảo vệ hiện tại có thể không đủ để ngăn chặn tất cả các hình thức thao túng prompt.
Chiến lược bảo vệ và nhận thức người dùng
Các chuyên gia bảo mật khuyến nghị một số biện pháp phòng thủ cho các tổ chức sử dụng Gemini trong môi trường Workspace. Hệ thống email nên lọc ra hoặc vô hiệu hóa nội dung văn bản ẩn trước khi AI xử lý. Ngoài ra, các bộ lọc hậu xử lý có thể quét đầu ra AI để tìm các yếu tố đáng nghi như số điện thoại bất ngờ, cảnh báo khẩn cấp, hoặc thông báo bảo mật không liên quan đến nội dung hiển thị của email.
Đối với người dùng cá nhân, sự hoài nghi vẫn là biện pháp phòng thủ tốt nhất. Bất kỳ cảnh báo bảo mật khẩn cấp nào xuất hiện trong bản tóm tắt AI đều nên được xem xét cẩn thận, đặc biệt nếu chúng có vẻ không liên quan đến mục đích rõ ràng của email. Người dùng cũng nên chú ý đến các dấu hiệu điển hình của phishing, chẳng hạn như lỗi chính tả như GMail thay vì Gmail hoặc yêu cầu gọi số điện thoại để được hỗ trợ từ Google.
Các Biện Pháp Bảo Vệ Được Khuyến Nghị:
- Loại bỏ hoặc vô hiệu hóa nội dung văn bản ẩn trước khi xử lý bằng AI
- Triển khai các bộ lọc hậu xử lý cho các đầu ra đáng nghi
- Quét tìm các URL, số điện thoại hoặc cảnh báo bảo mật bất thường
- Giáo dục nhân viên về các hạn chế của tóm tắt AI
- Duy trì thái độ hoài nghi đối với các cảnh báo khẩn cấp do AI tạo ra
Tác động rộng hơn đối với bảo mật AI
Lỗ hổng này làm nổi bật những thách thức bảo mật ngày càng tăng khi các công cụ AI trở nên tích hợp nhiều hơn vào quy trình làm việc hàng ngày. Sự cố này chứng minh cách kẻ tấn công đang điều chỉnh các kỹ thuật phishing truyền thống để khai thác các tính năng mới được hỗ trợ bởi AI. Khi các tổ chức ngày càng dựa vào AI cho năng suất và ra quyết định, việc đảm bảo những hệ thống này không thể bị thao túng trở nên quan trọng để duy trì an ninh mạng.
Phát hiện này đóng vai trò như một lời nhắc nhở rằng bản tóm tắt AI, mặc dù tiện lợi, không nên thay thế việc xem xét cẩn thận các thông tin liên lạc quan trọng. Người dùng phải cân bằng giữa lợi ích hiệu quả từ hỗ trợ AI với sự thận trọng và thực hành xác minh phù hợp.