Nghiên cứu bảo mật của Cato CTRL đã phát hiện một kỹ thuật tấn công inject prompt gián tiếp mới mang tên HashJack. Đây là một lỗ hổng bảo mật nghiêm trọng, vũ khí hóa các trang web hợp pháp để thao túng các trợ lý trình duyệt AI. Kỹ thuật này tận dụng một điểm yếu thiết kế cơ bản trong cách các trình duyệt AI xử lý các URL fragment, cho phép kẻ tấn công thực hiện một loạt các cuộc tấn công mà không cần xâm phạm bất kỳ trang web nào.

Cơ chế khai thác lỗ hổng HashJack

Kỹ thuật HashJack khai thác cách các trình duyệt AI tương tác với các URL fragment. Cụ thể, nó che giấu các chỉ thị độc hại sau ký hiệu “#” trong các URL đáng tin cậy. Khi một người dùng truy cập một URL có cấu trúc như vậy, trình duyệt AI sẽ gửi toàn bộ URL, bao gồm cả phần fragment chứa payload độc hại, đến trợ lý AI của nó để xử lý.

Điểm mấu chốt của sự nguy hiểm này nằm ở bản chất của URL fragment. Theo chuẩn HTTP, các fragment này hoàn toàn là phía máy khách (client-side) và không bao giờ được gửi đến máy chủ web. Điều này tạo ra một “điểm mù” nghiêm trọng cho các hệ thống phòng thủ truyền thống.

Các giải pháp bảo mật mạng như hệ thống phát hiện xâm nhập (IDS) và tường lửa, vốn được thiết kế để phân tích lưu lượng truy cập đi và đến máy chủ, không thể nhìn thấy các payload độc hại ẩn trong URL fragment. Tương tự, các bản ghi máy chủ (server logs) cũng chỉ ghi lại URL cơ sở sạch mà không có phần fragment.

Do đó, kỹ thuật này cho phép kẻ tấn công vượt qua các biện pháp bảo vệ mạng hiện có một cách hiệu quả. Ngay cả những người dùng có ý thức bảo mật cao cũng khó lòng phát hiện được mối nguy hiểm, vì các gợi ý và phản hồi từ trợ lý AI xuất hiện hoàn toàn tự nhiên, như thể chúng là một phần hợp pháp của trang web mà họ đang truy cập.

Phản ứng từ các nhà cung cấp trình duyệt AI

Sau khi được Cato CTRL báo cáo, các nhà cung cấp trình duyệt AI lớn đã có những phản hồi khác nhau đối với lỗ hổng HashJack:

• Google đã phân loại vấn đề là “Won’t Fix (Intended Behaviour)”. Điều này ngụ ý rằng Google coi hành vi xử lý URL fragment của trình duyệt AI là có chủ đích, mặc dù đã thừa nhận báo cáo về tiềm năng lạm dụng.
• Microsoft đã có phản ứng nhanh chóng và chủ động. Họ đã áp dụng bản vá lỗi trong vòng hai tháng kể từ khi nhận được thông báo về lỗ hổng, cho thấy sự ưu tiên cao đối với việc khắc phục rủi ro này.

Sự khác biệt trong phản ứng này nhấn mạnh sự phức tạp trong việc xác định ranh giới giữa tính năng và lỗ hổng trong môi trường AI, đặc biệt là khi liên quan đến các hành vi đã được thiết kế từ trước.

Sáu kịch bản tấn công mạng HashJack được xác định

Theo báo cáo chi tiết từ Cato Networks, các nhà nghiên cứu đã phác thảo sáu kịch bản nguy hiểm chính được kích hoạt bởi HashJack. Các kịch bản này làm nổi bật khả năng đa dạng của kỹ thuật này trong việc gây ra các thiệt hại đáng kể và thao túng người dùng:

• Phishing Call-back: Kẻ tấn công có thể inject các số điện thoại hỗ trợ giả mạo vào phản hồi của AI. Người dùng tin tưởng sẽ gọi đến các số này, vô tình liên lạc với kẻ tấn công thay vì bộ phận hỗ trợ chính thức, dẫn đến rò rỉ thông tin hoặc các cuộc tấn công lừa đảo tiếp theo.
• Rò rỉ dữ liệu (Data Exfiltration): Kịch bản này đặc biệt nguy hiểm với các trình duyệt có khả năng tác nhân (agentic browsers) như Comet của Perplexity. Trong quá trình thử nghiệm, trình duyệt Comet đã tự động gửi dữ liệu người dùng nhạy cảm, bao gồm tên tài khoản, lịch sử giao dịch và chi tiết liên hệ, đến các điểm cuối do kẻ tấn công kiểm soát mà không có sự tương tác trực tiếp của người dùng.
• Thông tin sai lệch (Misinformation): Bằng cách inject các prompt độc hại, kẻ tấn công có thể khiến trợ lý AI tạo ra các thông tin giả mạo, ví dụ như tin tức tài chính sai lệch. Điều này có thể thao túng nhận thức, ảnh hưởng đến quyết định tài chính hoặc gây hoang mang dư luận.
• Hướng dẫn cài đặt mã độc (Malware Guidance): Trợ lý AI có thể bị lừa cung cấp hướng dẫn từng bước chi tiết về cách cài đặt mã độc. Người dùng, tin tưởng vào nguồn thông tin của AI, có thể vô tình thực thi các lệnh độc hại, dẫn đến việc hệ thống bị xâm nhập và lây nhiễm malware.
• Gây hại y tế (Medical Harm): Một trong những kịch bản đáng lo ngại nhất là việc trợ lý AI có thể cung cấp thông tin sai lệch về y tế, chẳng hạn như liều lượng thuốc nguy hiểm. Nếu người dùng tuân theo những hướng dẫn này, hậu quả có thể rất nghiêm trọng đối với sức khỏe.
• Đánh cắp thông tin xác thực (Credential Theft): Kẻ tấn công có thể inject các liên kết đăng nhập giả mạo hoặc yêu cầu thông tin xác thực thông qua phản hồi của AI. Người dùng sẽ tin rằng họ đang tương tác với một trang web hợp pháp và nhập thông tin đăng nhập của mình, từ đó bị đánh cắp tài khoản.

Khả năng tác nhân của trình duyệt Comet của Perplexity tỏ ra đặc biệt đáng lo ngại vì nó không chỉ cung cấp thông tin mà còn có thể tự động thực hiện các hành động thay mặt người dùng dựa trên phản hồi AI bị thao túng, khuếch đại rủi ro tấn công mạng.

Phân tích tác động và rủi ro từ HashJack

HashJack đại diện cho một sự thay đổi đáng kể trong bối cảnh mối đe dọa AI và an ninh mạng. Khác với các cuộc tấn công phishing truyền thống dựa vào việc tạo ra các trang web giả mạo để lừa đảo người dùng, kỹ thuật này lạm dụng sự tin tưởng của người dùng vào các tên miền hợp pháp.

Bất kỳ trang web nào, dù có độ tin cậy cao đến đâu, cũng có thể bị “vũ khí hóa” mà không cần bị xâm phạm. Kẻ tấn công chỉ cần chia sẻ một URL được chế tạo đặc biệt chứa fragment độc hại. Điều này làm cho việc phát hiện và ngăn chặn trở nên khó khăn hơn nhiều đối với người dùng cuối và các hệ thống phòng thủ truyền thống.

Khi các trợ lý trình duyệt AI ngày càng được tích hợp sâu rộng và có quyền truy cập vào dữ liệu nhạy cảm hơn cũng như khả năng kiểm soát hệ thống, nguy cơ thao túng ngữ cảnh thông qua các kỹ thuật như HashJack sẽ tiếp tục gia tăng. Điều này đặt ra một thách thức lớn cho các nhà phát triển công nghệ và chuyên gia bảo mật trong việc thiết kế các hệ thống an toàn.

Các chuyên gia bảo mật kêu gọi các nhà cung cấp trình duyệt AI cần ưu tiên và triển khai các biện pháp phòng thủ mạnh mẽ, bao gồm cơ chế lọc và xác thực prompt nâng cao, trước khi việc áp dụng rộng rãi các công nghệ này khiến các cuộc tấn công tương tự trở nên không thể tránh khỏi trong các kịch bản thực tế.

Để tìm hiểu thêm chi tiết về kỹ thuật HashJack và nghiên cứu của Cato CTRL, bạn có thể tham khảo bài viết gốc của Cato Networks tại Cato CTRL HashJack: First Known Indirect Prompt Injection.