Google vừa ghi nhận một lỗ hổng bảo mật nghiêm trọng Prompt Injection liên quan đến AI Gemini – công nghệ đang được tích hợp trong tính năng tóm tắt email trên Gmail. Lỗ hổng này không chỉ ảnh hưởng đến người dùng cá nhân mà còn tiềm ẩn rủi ro lớn cho các doanh nghiệp đang sử dụng Google Workspace. Theo các chuyên gia bảo mật, kẻ tấn công có thể khai thác AI để tự động tạo ra các nội dung phishing thuyết phục, lợi dụng lòng tin vào AI để đánh cắp thông tin người dùng.
Lỗ hổng Prompt Injection trong Google Gemini là gì?
Lỗ hổng được phát hiện liên quan đến kỹ thuật tấn công prompt injection gián tiếp. Hacker có thể chèn mã độc vào nội dung email dưới dạng HTML hoặc CSS ẩn – ví dụ như font chữ siêu nhỏ, màu trắng trên nền trắng – khiến người dùng không thể nhìn thấy. Khi tính năng tóm tắt email bằng AI Gemini của Gmail được kích hoạt, AI sẽ “nghe lệnh” từ những đoạn mã ẩn này và sinh ra nội dung tóm tắt mang tính chất lừa đảo.
Các nội dung được AI sinh ra có thể bao gồm cảnh báo giả mạo, hướng dẫn người dùng liên hệ với số điện thoại giả do hacker kiểm soát, từ đó đánh cắp dữ liệu quan trọng. Điều nguy hiểm là người dùng thường tin tưởng vào bản tóm tắt do AI cung cấp, dẫn đến khả năng bị lừa cao hơn so với email phishing truyền thống.
Không chỉ Gmail, kỹ thuật này còn có thể áp dụng trên Google Docs, Slides, Drive, biến các nền tảng SaaS của Google thành kênh phát tán phishing quy mô lớn nếu một tài khoản bị xâm nhập.
Rủi ro thực tế và biện pháp bảo mật
Hiện Google đã triển khai một số biện pháp phòng ngừa như lọc nội dung ẩn, kiểm tra các yếu tố nguy hiểm (số điện thoại, URL, cảnh báo khẩn cấp) trong nội dung do AI sinh ra. Tuy nhiên, lỗ hổng cơ bản trong cơ chế xử lý prompt của AI Gemini vẫn tồn tại. Google cũng đang đào tạo lại mô hình với dữ liệu tấn công và bổ sung các lớp bảo vệ (security guardrails) để giảm thiểu rủi ro.
Các chuyên gia cảnh báo doanh nghiệp nên thận trọng khi tích hợp các tính năng AI vào quy trình làm việc, đặc biệt ở các hệ thống tiếp xúc với người dùng cuối. Việc vô hiệu hóa hoặc loại bỏ các nội dung ẩn trong email, kết hợp giám sát và xác thực đầu ra của AI, là những giải pháp quan trọng để hạn chế nguy cơ bị tấn công.
Dù chưa ghi nhận vụ khai thác quy mô lớn, nhưng rủi ro của lỗ hổng này được đánh giá rất nghiêm trọng. Người dùng cần nâng cao cảnh giác, không hoàn toàn tin tưởng vào nội dung do AI tạo ra, đặc biệt với các thông điệp yêu cầu cung cấp thông tin cá nhân hoặc liên hệ hỗ trợ khẩn cấp.