Biểu tượng của OpenAI và ChatGPT. Ảnh tư liệu: AFP/TTXVN
Đây là dạng tấn công không yêu cầu người dùng thực hiện bất kỳ hành động nào như nhấp vào liên kết, mở tập tin hay tương tác có chủ đích, nhưng vẫn có thể chiếm quyền truy cập tài khoản và rò rỉ dữ liệu nhạy cảm.
Theo phóng viên TTXVN tại Tel Aviv, ông Mikhail Bergori, đồng sáng lập kiêm Giám đốc công nghệ của Zenity, đã trực tiếp diễn giải cách thức một tin tặc chỉ cần có địa chỉ email của người dùng là có thể hoàn toàn kiểm soát các cuộc trò chuyện — bao gồm cả nội dung trong quá khứ lẫn tương lai, thay đổi mục đích trò chuyện, thậm chí điều khiển ChatGPT hành động theo ý của tin tặc.
Trong phần trình bày, các nhà nghiên cứu cho thấy ChatGPT bị tấn công có thể biến thành một “tác nhân độc hại” hoạt động ngầm chống lại người dùng. Tin tặc có thể khiến chatbot gợi ý người dùng tải về phần mềm chứa virus, đưa ra lời khuyên kinh doanh sai lệch, hoặc truy cập các tệp tin lưu trữ trên Google Drive nếu tài khoản của người dùng được kết nối. Toàn bộ quá trình diễn ra mà người dùng không hề hay biết. Lỗ hổng chỉ được vá hoàn toàn sau khi Zenity thông báo cho OpenAI.
Ngoài ChatGPT, Zenity còn mô phỏng nhiều cuộc tấn công tương tự nhằm vào các nền tảng trợ lý AI phổ biến khác. Tại Copilot Studio của Microsoft, các nhà nghiên cứu đã phát hiện cách thức rò rỉ toàn bộ cơ sở dữ liệu CRM.
Đối với Salesforce Einstein, tin tặc có thể tạo các yêu cầu dịch vụ giả mạo để chuyển hướng toàn bộ liên lạc của khách hàng về các địa chỉ email do họ kiểm soát.
Google Gemini và Microsoft 365 Copilot cũng bị biến thành các “tác nhân thù địch”, thực hiện các chiêu thức lừa đảo và làm rò rỉ thông tin nhạy cảm thông qua email và sự kiện lịch.
Trong một ví dụ khác, công cụ phát triển phần mềm Cursor khi tích hợp với Jira MCP cũng bị lợi dụng để đánh cắp thông tin đăng nhập của lập trình viên thông qua các “ticket” giả mạo.
Zenity cho biết một số công ty như OpenAI và Microsoft đã nhanh chóng phát hành bản vá sau khi được cảnh báo. Tuy nhiên, cũng có những công ty từ chối xử lý, cho rằng hành vi được phát hiện là “chức năng thiết kế” chứ không phải lỗ hổng bảo mật.
Theo ông Mikhail Bergori, thách thức lớn hiện nay là các trợ lý AI không chỉ thực hiện các tác vụ đơn giản, mà đang trở thành “thực thể kỹ thuật số” đại diện cho người dùng — có thể mở thư mục, gửi tập tin và truy cập email. Ông cảnh báo điều này giống như một “thiên đường” cho tin tặc, khi có quá nhiều điểm có thể bị khai thác.
Ông Ben Kaliger, đồng sáng lập kiêm CEO của Zenity, nhấn mạnh rằng nghiên cứu của công ty cho thấy các phương pháp bảo mật hiện tại không còn phù hợp với cách các trợ lý AI đang vận hành. Ông kêu gọi các tổ chức cần thay đổi cách tiếp cận, đầu tư vào các giải pháp chuyên biệt để có thể kiểm soát và giám sát hoạt động của các “tác nhân” này.
Zenity được thành lập năm 2021. Hiện công ty có khoảng 110 nhân viên trên toàn cầu, trong đó 70 người làm việc tại văn phòng Tel Aviv. Khách hàng của Zenity bao gồm nhiều công ty thuộc danh sách Fortune 100, thậm chí cả Fortune 5.