Các nhà nghiên cứu bảo mật tại NeuralTrust đã phát hiện một lỗ hổng nghiêm trọng trong trình duyệt Atlas của OpenAI. Lỗ hổng này cho phép kẻ tấn công vượt qua các biện pháp an toàn bằng cách ngụy trang các chỉ thị độc hại dưới dạng địa chỉ web vô hại.

Vấn đề khai thác cách thức omnibox của trình duyệt diễn giải dữ liệu đầu vào từ người dùng. Điều này có thể kích hoạt các hành động độc hại mà không có các kiểm tra bảo mật thích hợp.

Phân tích Kỹ thuật về Lỗ hổng Nghiêm trọng của OpenAI Atlas

Cơ chế Hoạt động của Omnibox

Atlas được trang bị một omnibox đóng vai trò kép: vừa là thanh địa chỉ, vừa là giao diện tìm kiếm.

Khi người dùng nhập văn bản, hệ thống phải quyết định liệu dữ liệu đầu vào đó là một địa chỉ web cần truy cập hay một lệnh ngôn ngữ tự nhiên để tác nhân AI xử lý.

Kỹ thuật Khai thác Prompt Injection

Các nhà nghiên cứu đã phát hiện rằng các chuỗi được tạo ra đặc biệt, trông giống như URL, có thể đánh lừa trình duyệt.

Điều này khiến hệ thống coi chúng là các lệnh đáng tin cậy của người dùng thay vì các địa chỉ web.

Cuộc tấn công hoạt động thông qua việc làm sai lệch URL một cách có chủ ý. Kẻ tấn công tạo ra các chuỗi thoạt nhìn giống địa chỉ web hợp pháp nhưng chứa lỗi cố ý, ngăn chúng được nhận dạng là URL hợp lệ.

Khi Atlas không thể xác thực các chuỗi này là địa chỉ web phù hợp, nó sẽ tự động diễn giải toàn bộ dữ liệu đầu vào như một lời nhắc cho tác nhân AI.

Vì dữ liệu đầu vào này đến thông qua omnibox, hệ thống coi đó là ý định người dùng có độ tin cậy cao. Điều này bỏ qua nhiều cơ chế an toàn thông thường vốn sẽ sàng lọc các lệnh độc hại.

Các Kịch bản Xâm nhập Mạng và Tác động

Lỗ hổng nghiêm trọng này mở ra cánh cửa cho nhiều phương pháp khai thác nguy hiểm, dẫn đến khả năng xâm nhập mạng.

Giả mạo Liên kết và Tấn công Phishing

Trong một kịch bản, kẻ tấn công đặt các chuỗi URL bị lỗi đằng sau các nút “Copy link” tưởng chừng vô hại trên các trang web.

Người dùng không nghi ngờ sao chép và dán các chuỗi này vào omnibox của Atlas, kích hoạt tác nhân AI thực thi các chỉ thị được nhúng thay vì điều hướng đến đích mong đợi.

Kỹ thuật này có thể chuyển hướng nạn nhân đến các trang web lừa đảo (phishing) được thiết kế để đánh cắp thông tin đăng nhập. Để hiểu thêm về phishing, bạn có thể tham khảo tại CISA.gov.

Thực thi Lệnh Phá hoại

Đáng lo ngại hơn là các lệnh phá hoại được nhúng trong các URL giả mạo này. Kẻ tấn công có thể tạo ra các chỉ thị điều hướng tác nhân để truy cập Google Drive và xóa các loại tệp cụ thể.

Vì trình duyệt diễn giải các lệnh này là yêu cầu xác thực của người dùng, tác nhân có thể thực hiện việc xóa tệp bằng phiên đã xác thực của nạn nhân mà không cần xác nhận bổ sung. Đây là một tác động rất nghiêm trọng của lỗ hổng nghiêm trọng này.

Phát hiện và Đề xuất Giảm thiểu Rủi ro

Thời gian Phát hiện và Bối cảnh Rủi ro

NeuralTrust Security Research đã xác định và xác thực lỗ hổng nghiêm trọng này vào ngày 24 tháng 10 năm 2025, đồng thời công bố phát hiện của họ trong cùng ngày. Xem chi tiết tại NeuralTrust Blog.

Lỗ hổng này đại diện cho một thách thức bảo mật lớn hơn đối với các trình duyệt tác nhân (agentic browsers), nơi ranh giới giữa dữ liệu đầu vào đáng tin cậy của người dùng và nội dung bên ngoài không đáng tin cậy trở nên nguy hiểm.

Chiến lược Bảo vệ và Cập nhật Bản vá Bảo mật

Các chuyên gia bảo mật khuyến nghị một số chiến lược giảm thiểu rủi ro cho các nhà phát triển trình duyệt tác nhân. Điều này bao gồm việc triển khai các tiêu chuẩn phân tích cú pháp URL nghiêm ngặt hơn để loại bỏ sự mơ hồ.

Cần yêu cầu người dùng chọn rõ ràng giữa chế độ điều hướng và chế độ lệnh, xử lý lời nhắc omnibox là không đáng tin cậy theo mặc định, và thêm các bước xác nhận trước khi thực hiện các hành động liên trang (cross-site actions).

Các nhà phát triển cũng nên loại bỏ các chỉ thị ngôn ngữ tự nhiên khỏi các đầu vào giống URL và tiến hành thử nghiệm toàn diện với các payload URL bị lỗi.

Biện pháp Phòng ngừa cho Tổ chức và Nhà Phát triển

NeuralTrust tiếp tục mở rộng phạm vi kiểm tra cho các trường hợp biên của omnibox và có kế hoạch công bố thêm các vectơ tấn công cũng như chiến lược giảm thiểu. Việc giải quyết lỗ hổng nghiêm trọng này đòi hỏi nỗ lực liên tục.

Các tổ chức đang vận hành trình duyệt tác nhân cần ưu tiên thực hiện các biện pháp phòng thủ này để bảo vệ người dùng khỏi các cuộc tấn công prompt injection.

Việc không chú ý đến lỗ hổng nghiêm trọng này có thể dẫn đến hậu quả nghiêm trọng về bảo mật.