Nếu bạn nghĩ rằng tội phạm mạng phải chiếm quyền kiểm soát các chatbot AI bị xâm nhập mới có thể lợi dụng chúng cho mục đích xấu, thì bạn đã nhầm.
Một số chatbot AI hiện nay được thiết kế quá thân thiện và dễ sử dụng, đến mức chính chúng có thể hỗ trợ người dùng tạo ra email lừa đảo (phishing), thậm chí sinh ra mã độc hại dưới dạng HTML và JavaScript.
Vài tuần trước, chúng tôi đã đề cập đến các biện pháp mà Anthropic áp dụng nhằm ngăn chặn Claude AI bị khai thác để phục vụ các chiến dịch tấn công mạng. Tuy nhiên, theo một cuộc điều tra gần đây của Reuters, Grok – nền tảng AI do công ty xAI của Elon Musk phát triển – đã sẵn sàng giúp phóng viên tạo và tinh chỉnh một email lừa đảo nhắm tới người cao tuổi.
Reuters ghi nhận:
“Grok đã tạo ra nội dung lừa đảo sau khi được yêu cầu viết email phishing nhắm vào người già. Không cần gợi ý thêm, chatbot này còn chủ động đề xuất cách điều chỉnh để thông điệp mang tính cấp bách hơn.”
Đầu năm 2025, các báo cáo đã chỉ ra rằng email spear phishing được hỗ trợ bởi AI có hiệu quả ngang ngửa với email do chuyên gia soạn thảo, và có thể qua mặt hơn 50% nạn nhân mục tiêu. Nhưng kể từ đó, sự phát triển của AI đã bùng nổ, khiến các nhà nghiên cứu lo ngại về khả năng phát hiện nội dung phishing được sinh ra bởi AI.
Phishing từ lâu đã là bước khởi đầu của vô số chiến dịch tấn công mạng. Với hàng tỷ email lừa đảo được gửi đi mỗi ngày, việc AI tham gia cuộc chơi càng khiến vấn đề nghiêm trọng hơn: nó giúp tội phạm tạo ra nhiều biến thể khác nhau, làm giảm hiệu quả của các hệ thống phát hiện theo mẫu, đồng thời tinh chỉnh thông điệp để đánh trúng tâm lý nạn nhân. Và lý do Reuters tập trung vào người cao tuổi là hoàn toàn dễ hiểu.
Báo cáo năm 2024 của FBI Internet Crime Complaint Center (IC3) cho thấy: người Mỹ từ 60 tuổi trở lên đã nộp 147.127 đơn khiếu nại, với tổng thiệt hại gần 4,9 tỷ USD do lừa đảo trực tuyến – tăng 43% về thiệt hại và 46% về số vụ việc so với năm 2023.
Ngoài Grok, nhóm phóng viên còn thử nghiệm với năm chatbot AI phổ biến khác: ChatGPT, Meta AI, Claude, Gemini và DeepSeek. Ban đầu, phần lớn chúng đều đưa ra cảnh báo rằng nội dung không được sử dụng trong thực tế. Tuy nhiên, do đặc tính “muốn làm hài lòng người dùng”, cuối cùng các rào cản này đều bị vượt qua.
Fred Heiding – nhà nghiên cứu tại Đại học Harvard và là chuyên gia về phishing – đã giúp Reuters kiểm nghiệm hiệu quả của những email này. Kết quả cho thấy, khi áp dụng cách tiếp cận nhắm đúng đối tượng dễ bị lừa, khoảng 11% người cao tuổi đã bấm vào liên kết trong email.
Một cuộc điều tra khác của Cybernews chỉ ra rằng Yellow.ai – nhà cung cấp AI cho các doanh nghiệp lớn như Sony, Logitech, Hyundai, Domino’s cùng hàng trăm thương hiệu khác – có thể bị thuyết phục để sinh ra mã HTML và JavaScript độc hại, thậm chí cho phép kẻ tấn công vượt qua cơ chế kiểm tra và chèn mã trái phép vào hệ thống.
Trong một thử nghiệm riêng của Reuters, Gemini còn tạo ra email phishing với tuyên bố “chỉ phục vụ mục đích giáo dục”, nhưng lại bổ sung “thông tin hữu ích” rằng thời gian dễ đánh trúng người cao tuổi là từ thứ Hai đến thứ Sáu, trong khung 9:00 – 15:00 giờ địa phương.
Những báo cáo gây lo ngại như vậy thường buộc các công ty AI phải bổ sung thêm lớp kiểm soát (guardrail) cho chatbot. Tuy nhiên, điều này lại phơi bày một nghịch lý: khi các nhà cung cấp siết chặt giới hạn để bảo vệ người dùng, họ có nguy cơ đẩy người dùng tìm đến những mô hình cạnh tranh ít ràng buộc về an toàn hơn.
Mỗi lần một nền tảng tìm cách chặn các prompt nguy hiểm hoặc giới hạn nội dung sinh ra, sẽ luôn có nhóm người dùng chọn dịch chuyển sang công cụ khác ít biện pháp bảo vệ hơn. Cuộc giằng co giữa nhu cầu sử dụng và trách nhiệm an toàn có lẽ sẽ tiếp tục là tâm điểm trong tranh luận giữa giới phát triển, nhà nghiên cứu và các nhà hoạch định chính sách.
Lời khuyên chuyên gia bảo mật
Chúng tôi không chỉ đưa tin về các vụ lừa đảo mà còn trực tiếp hỗ trợ phát hiện và phòng tránh chúng.
Rủi ro an ninh mạng không nên dừng lại ở một dòng. Nếu bạn gặp nội dung khả nghi, hãy kiểm tra ngay bằng Malwarebytes Scam Guard – tính năng bảo vệ trên di động của chúng tôi. Chỉ cần chụp màn hình, dán nội dung đáng ngờ, hoặc nhập số điện thoại/tin nhắn, hệ thống sẽ cho bạn biết đó là lừa đảo hay hợp pháp.
Hãy tải Malwarebytes Mobile Security cho iOS hoặc Android để trải nghiệm ngay hôm nay.
