Các trình duyệt tích hợp Trí tuệ Nhân tạo (AI browsers) đang ngày càng phổ biến – và điều đó đồng nghĩa chúng ta phải đối mặt với một mối nguy mới mang tên “Prompt Injection”.
Các mô hình ngôn ngữ lớn (LLMs) – công nghệ đứng sau các chatbot AI như ChatGPT, Claude hay Gemini – được thiết kế để thực thi theo “prompts” (tức các câu lệnh hoặc câu hỏi do người dùng đưa ra khi tìm kiếm thông tin hoặc cần trợ giúp). Trong ngữ cảnh chatbot, các câu hỏi bạn đặt cho AI chính là “prompt”. Vấn đề nằm ở chỗ: các mô hình này chưa đủ khả năng phân biệt giữa lệnh ẩn do nhà phát triển quy định (ví dụ: “không được viết mã độc ransomware”) và yêu cầu đến từ phía người dùng.
Để minh họa rủi ro này, nhà phát triển trình duyệt Brave – vốn có trợ lý AI riêng mang tên Leo – đã tiến hành thử nghiệm. Họ chứng minh rằng trình duyệt AI hoàn toàn có thể bị “lừa” đọc và thực thi các prompt độc hại gây hại cho người dùng. Kết quả đã gióng lên hồi chuông cảnh báo, như Brave viết trong blog:
“Khi người dùng ngày càng tin tưởng trình duyệt AI và giao phó dữ liệu nhạy cảm trong các phiên đăng nhập – như ngân hàng, y tế hay các dịch vụ trọng yếu khác – rủi ro sẽ tăng lên gấp bội. Điều gì xảy ra nếu mô hình tự động sinh ra hành vi ngoài ý muốn? Tệ hơn nữa, nếu một website tưởng chừng vô hại hoặc một bình luận trên mạng xã hội lại có thể đánh cắp thông tin đăng nhập hoặc dữ liệu cá nhân chỉ bằng cách chèn các lệnh ẩn cho trợ lý AI?”
Prompt Injection là gì?
Prompt Injection về bản chất là kỹ thuật kẻ tấn công “đánh lừa” AI thông qua các câu lệnh được ngụy trang trong dữ liệu hoặc hội thoại bình thường, nhằm ép AI thực hiện hành vi ngoài ý định ban đầu.
Điểm khác biệt so với tấn công truyền thống là “vũ khí” ở đây là ngôn ngữ, chứ không phải mã lệnh. Kẻ tấn công không cần khai thác lỗ hổng phần mềm hay xâm nhập máy chủ, mà chỉ cần thao túng câu chữ đủ tinh vi.
Với trình duyệt AI, một phần dữ liệu đầu vào chính là nội dung của các website mà nó truy cập. Điều này mở ra khả năng ẩn prompt độc hại trong chính nội dung web – chẳng hạn chèn chỉ thị bằng chữ trắng trên nền trắng mà mắt thường không nhận ra, nhưng AI lại coi đó là lệnh trong ngữ cảnh xử lý.
AI browser vs Agentic browser
-
AI Browser: Là trình duyệt tích hợp AI để hỗ trợ người dùng – ví dụ trả lời câu hỏi, tóm tắt bài viết, đưa ra gợi ý hoặc hỗ trợ tìm kiếm. Chúng vẫn cần sự can thiệp và phê duyệt thủ công từ người dùng.
-
Agentic Browser: Là thế hệ mới của trình duyệt AI, có khả năng tự động hóa quy trình nhiều bước, gần như một “trợ lý trực tuyến” thực thụ. Chúng có thể điền form, đặt vé, thanh toán hoặc đặt lịch hẹn mà không cần nhiều sự tham gia của người dùng.
Ví dụ: Khi bạn ra lệnh cho agentic browser “Tìm chuyến bay rẻ nhất đi Paris vào tháng tới và đặt vé”, nó sẽ tự động so sánh giá, điền thông tin hành khách, thực hiện thanh toán – miễn là đã có đủ dữ liệu trong prompt bạn cung cấp.
Và đây chính là điểm yếu chết người: Nếu agentic browser gặp website được kẻ tấn công dựng sẵn, nó có thể bị “lừa” để lấy cắp hoặc sử dụng thông tin thanh toán của bạn cho mục đích trái phép. Bạn hoàn toàn có thể mất tiền cho kỳ nghỉ của kẻ khác.
Trong nghiên cứu, Brave phát hiện Perplexity’s Comet tồn tại lỗ hổng cho phép khai thác Indirect Prompt Injection – tức prompt độc hại được chèn trong nội dung ngoài (web, PDF…) mà AI sẽ xử lý khi hoàn thành yêu cầu người dùng. Dù Perplexity đã hai lần thử vá, nhưng lỗ hổng này vẫn chưa được triệt tiêu.
Một người dùng trên X đã cảnh báo:
“Bạn có thể bị prompt injection và mất sạch tiền trong tài khoản ngân hàng chỉ bằng việc doomscrolling trên Reddit.”
Làm thế nào để dùng Agentic Browser an toàn?
Để giảm thiểu rủi ro, chuyên gia bảo mật khuyến nghị:
-
Hạn chế quyền truy cập: Chỉ cấp quyền với dữ liệu/ứng dụng thật sự cần thiết. Luôn kiểm tra phạm vi quyền hạn mà agentic browser có thể truy cập.
-
Xác thực nguồn gốc: Không để trình duyệt tự động tương tác với các website lạ. Luôn kiểm tra URL và cảnh giác với các yêu cầu nhập liệu bất thường.
-
Cập nhật phần mềm thường xuyên: Đảm bảo luôn dùng phiên bản mới nhất để nhận bản vá bảo mật chống prompt injection.
-
Tăng cường xác thực và giám sát: Sử dụng xác thực đa yếu tố cho các tài khoản liên kết, theo dõi nhật ký hoạt động để phát hiện sớm hành vi bất thường.
-
Nâng cao nhận thức: Hiểu rõ prompt injection là gì và cách nó hoạt động – ý thức chính là tuyến phòng thủ đầu tiên.
-
Hạn chế tự động hóa giao dịch nhạy cảm: Với các hành động rủi ro cao (thanh toán, chuyển tiền), luôn yêu cầu xác nhận thủ công. Ví dụ: giới hạn số tiền tối đa được chi mà không cần xác nhận.
-
Báo cáo hành vi đáng ngờ: Nếu agentic browser yêu cầu quyền bất thường hoặc có hành vi lạ, cần báo ngay cho nhà phát triển hoặc đội ngũ an ninh.