Các nhà nghiên cứu đã công bố một lỗ hổng AI browser nghiêm trọng trong trình duyệt Comet AI của Perplexity. Lỗ hổng này cho phép kẻ tấn công thực hiện việc chèn các lệnh độc hại một cách tinh vi thông qua văn bản được giấu kín trong ảnh chụp màn hình.

Sự cố này, được tiết lộ vào ngày 21 tháng 10 năm 2025, là một minh chứng rõ ràng về cách các trình duyệt được tích hợp trí tuệ nhân tạo có thể biến thành những cổng vào nguy hiểm. Chúng tạo điều kiện cho kẻ tấn công truy cập không hợp lệ vào các tài khoản nhạy cảm của người dùng, bao gồm các dịch vụ ngân hàng trực tuyến và hệ thống email cá nhân.

Cơ Chế Tấn Công Mạng Thông Qua Kỹ Thuật Steganography

Phương thức tấn công này khai thác một kỹ thuật ẩn tin được gọi là steganography. Kẻ tấn công nhúng các hướng dẫn độc hại vào nội dung trang web dưới dạng văn bản gần như vô hình, không thể nhận biết bằng mắt thường. Điều này là cốt lõi của lỗ hổng AI browser mới này.

Các nhà nghiên cứu bảo mật tại Brave đã phát triển một bằng chứng về khái niệm (PoC) để minh họa cuộc tấn công này. Họ sử dụng văn bản màu xanh nhạt cực kỳ mờ trên nền màu vàng, khiến các lệnh độc hại được giấu kín không thể được phát hiện bởi mắt người. Điều này tạo ra một lớp ngụy trang hiệu quả, lừa người dùng không cảnh giác.

Khai Thác Lỗ Hổng Qua Nhận Dạng Ký Tự Quang Học (OCR)

Khi người dùng thực hiện hành động chụp ảnh màn hình một trang web có chứa các hướng dẫn ẩn đã được mã hóa này, trình duyệt Comet của Perplexity sẽ kích hoạt công nghệ nhận dạng ký tự quang học (OCR) tích hợp. Hệ thống OCR này có nhiệm vụ quét và trích xuất tất cả văn bản hiện diện trên ảnh chụp màn hình.

Điều đáng lo ngại là quá trình này không phân biệt giữa nội dung hiển thị thông thường và các lệnh độc hại được ngụy trang. Tất cả văn bản được trích xuất, bao gồm cả các chỉ dẫn nguy hiểm, sau đó được đưa trực tiếp vào hệ thống AI mà không trải qua bất kỳ bước lọc hoặc xác thực bảo mật nào. Đây là điểm yếu chính của lỗ hổng AI browser.

Điều này có nghĩa là khi người dùng chụp ảnh màn hình để yêu cầu Comet phân tích hoặc trả lời câu hỏi về một trang web, họ đang vô tình cung cấp cho kẻ tấn công một kênh trực tiếp. Kênh này cho phép truy cập và điều khiển các tính năng trình duyệt mạnh mẽ của trợ lý AI.

Hệ thống AI, do thiếu cơ chế phân biệt, xử lý các hướng dẫn ẩn này như các lệnh hợp lệ, có thẩm quyền. Điều này hoàn toàn bỏ qua bản chất không đáng tin cậy của nội dung trang web gốc. Kết quả là, kẻ tấn công có thể thao túng AI để buộc trình duyệt thực hiện các hành động trái phép, biến một chức năng hữu ích thành một công cụ tiềm tàng cho xâm nhập.

Tác Động Nghiêm Trọng Đến Bảo Mật và Vượt Qua Same-Origin Policy

Hậu quả của một cuộc tấn công thành công là cực kỳ nghiêm trọng, đặc biệt đối với những người dùng thường xuyên giữ các tài khoản quan trọng đã đăng nhập trong suốt quá trình duyệt web. Nếu kẻ tấn công thành công trong việc chèn một lời nhắc (prompt) độc hại vào Comet, AI có thể bị lạm dụng để truy cập trái phép vào tài khoản ngân hàng của người dùng, đánh cắp thông tin email nhạy cảm, xâm nhập vào các hệ thống doanh nghiệp quan trọng, hoặc thậm chí thực hiện việc đánh cắp dữ liệu từ các dịch vụ lưu trữ đám mây.

Toàn bộ quá trình này có thể diễn ra chỉ vì người dùng đã chụp ảnh màn hình của một trang web đã bị xâm phạm. Đây là một lỗ hổng AI browser đáng báo động, vượt xa các mối đe dọa truyền thống.

Một điểm đáng chú ý khác của lỗ hổng AI browser này là khả năng nó hoàn toàn bỏ qua các biện pháp bảo vệ bảo mật web truyền thống, ví dụ như chính sách same-origin policy. Chính sách này được thiết kế để ngăn chặn các trang web truy cập dữ liệu của nhau, đóng vai trò là một rào cản cơ bản trong an ninh mạng. Tuy nhiên, trong trường hợp này, việc AI xử lý lệnh nội bộ đã vô hiệu hóa cơ chế bảo vệ quan trọng này.

Lỗ Hổng AI Browser: Một Vấn Đề Không Cô Lập

Các nhà nghiên cứu bảo mật Artem Chaikin và Shivan Kaul Sahib từ Brave đã khẳng định rằng vấn đề này không phải là một sự cố đơn lẻ hoặc cá biệt. Nghiên cứu sâu rộng của họ đã khám phá ra các lỗ hổng AI browser tương tự trong nhiều trình duyệt agentic browser khác trên thị trường, điển hình là Fellou.

Trong trường hợp của Fellou, vấn đề thậm chí còn đơn giản hơn: chỉ cần yêu cầu AI điều hướng đến một trang web độc hại là đủ để kẻ tấn công có thể chèn các lệnh. Điều này được thực hiện thông qua nội dung trang web hiển thị, chứ không cần ẩn giấu. Điều này nhấn mạnh một rủi ro cơ bản về cách các trình duyệt AI xử lý và tin tưởng vào dữ liệu đầu vào, cho thấy một mô hình tấn công mạng mới nổi.

Để có cái nhìn sâu hơn về kỹ thuật và bằng chứng khai thác, bạn có thể tham khảo bài viết chi tiết từ blog bảo mật của Brave: Unseeable Prompt Injections in AI Browsers. Bài viết này cung cấp phân tích chuyên sâu về bản chất của các cuộc tấn công này và cảnh báo về lỗ hổng AI browser tiềm ẩn.

Khuyến Nghị An Toàn Thông Tin và Giảm Thiểu Rủi Ro Bảo Mật

Để thể hiện trách nhiệm, các nhà nghiên cứu của Brave đã chủ động báo cáo lỗ hổng AI browser của Comet cho Perplexity vào ngày 1 tháng 10 năm 2025. Hành động này nhằm cung cấp cho công ty đủ thời gian để phát triển và triển khai các bản vá cần thiết trước khi thông tin được công khai.

Nghiên cứu này đã làm nổi bật một lỗi thiết kế cơ bản trong cách các trình duyệt AI quản lý ranh giới giữa các lệnh do người dùng cung cấp và nội dung web không đáng tin cậy. Vấn đề phát sinh khi AI thực hiện các hành động thay mặt người dùng mà không có sự kiểm tra đầy đủ.

Cho đến khi các trình duyệt agentic triển khai các rào cản an toàn mạnh mẽ và rõ ràng giữa nội dung và các lệnh điều khiển, các chuyên gia bảo mật đều khuyến nghị rằng người dùng nên coi các công cụ này là có rủi ro bảo mật vốn có. Sự tin cậy quá mức vào khả năng của AI có thể dẫn đến hậu quả không lường trước.

Các biện pháp bảo vệ lý tưởng phải bao gồm việc cách ly hoàn toàn các tính năng duyệt web AI khỏi quy trình duyệt web thông thường. Chúng chỉ nên được kích hoạt một cách có chủ đích và rõ ràng khi người dùng thực sự yêu cầu, thay vì tự động hoặc ngầm định.

Hiện tại, để giảm thiểu rủi ro bảo mật, người dùng được khuyến nghị nghiêm ngặt nên tránh giữ các tài khoản nhạy cảm đã đăng nhập khi sử dụng bất kỳ tính năng nào của trình duyệt agentic. Hoặc, lựa chọn an toàn nhất là tránh sử dụng hoàn toàn các công cụ này cho đến khi các biện pháp bảo vệ an ninh mạng mạnh mẽ và được kiểm định kỹ lưỡng được triển khai rộng rãi, nhằm ngăn chặn các lỗ hổng AI browser tương tự trong tương lai.