Cảnh báo: Chatbot AI duyệt web có thể bị lợi dụng làm “trạm trung chuyển” mã độc

Các chatbot AI có khả năng duyệt web có thể bị khai thác làm công cụ trung chuyển mã độc, theo một bản demo do Check Point Research thực hiện. Thay vì để malware kết nối trực tiếp về máy chủ điều khiển (command server) như cách truyền thống, mã độc có thể lợi dụng tính năng truy xuất URL của chatbot để lấy chỉ thị từ một trang web độc hại, sau đó chuyển ngược nội dung đó về máy đã bị nhiễm.

Trong nhiều môi trường doanh nghiệp, lưu lượng truy cập tới các dịch vụ AI lớn đã được xem là “bình thường”. Điều này có thể khiến hoạt động điều khiển và kiểm soát (command-and-control) của hacker bị hòa lẫn vào lưu lượng web thông thường. Cùng cơ chế đó cũng có thể bị tận dụng để đưa dữ liệu ra ngoài hệ thống.

Phía Microsoft đã phản hồi về nghiên cứu này và cho rằng đây là vấn đề liên quan đến giai đoạn sau khi thiết bị đã bị xâm nhập. Hãng nhấn mạnh rằng khi một thiết bị đã bị kiểm soát, kẻ tấn công sẽ tìm cách lợi dụng bất kỳ dịch vụ nào khả dụng, bao gồm cả các dịch vụ AI, đồng thời khuyến nghị doanh nghiệp triển khai chiến lược bảo mật nhiều lớp (defense-in-depth) để ngăn chặn lây nhiễm và hạn chế thiệt hại.

Biến chatbot thành “trạm relay”

Ý tưởng của cuộc tấn công tương đối đơn giản. Malware sẽ gửi yêu cầu tới giao diện web của AI, buộc chatbot tải một URL cụ thể, tóm tắt nội dung trang đó, rồi sau đó trích xuất chỉ thị được nhúng bên trong phần văn bản trả về.

Check Point cho biết họ đã thử nghiệm kỹ thuật này với Grok và Microsoft Copilot thông qua giao diện web. Một điểm đáng chú ý là quy trình này không sử dụng API dành cho nhà phát triển. Trong các kịch bản thử nghiệm, nó thậm chí có thể hoạt động mà không cần khóa API, điều này làm giảm rào cản và tăng nguy cơ bị lạm dụng.

Ở chiều ngược lại, cơ chế này cũng có thể dùng để đánh cắp dữ liệu. Một phương pháp được mô tả là nhúng dữ liệu vào tham số truy vấn (query parameter) của URL, sau đó dựa vào yêu cầu do AI kích hoạt để gửi dữ liệu đó tới hạ tầng của kẻ tấn công. Việc mã hóa cơ bản có thể được áp dụng để che giấu nội dung truyền đi, khiến các biện pháp lọc nội dung đơn giản khó phát hiện hơn.

Vì sao khó phát hiện hơn?

Đây không phải là một loại malware hoàn toàn mới. Về bản chất, nó vẫn là mô hình điều khiển – kiểm soát quen thuộc, chỉ khác ở chỗ được “bọc” trong một dịch vụ mà nhiều doanh nghiệp đang chủ động cho phép sử dụng.

Nếu các dịch vụ AI có tính năng duyệt web được mở mặc định, một hệ thống đã bị nhiễm có thể ẩn mình sau những tên miền vốn được xem là ít rủi ro. Check Point cũng nhấn mạnh rằng hạ tầng kỹ thuật cần thiết cho kiểu tấn công này khá phổ biến. Ví dụ, họ sử dụng WebView2 – thành phần trình duyệt nhúng sẵn trên Windows hiện đại.

Trong kịch bản được mô tả, một chương trình sẽ thu thập thông tin cơ bản về máy, mở một web view ẩn để truy cập dịch vụ AI, kích hoạt yêu cầu tải URL, rồi phân tích phản hồi để trích xuất lệnh tiếp theo. Toàn bộ quá trình này có thể trông giống như hành vi bình thường của một ứng dụng, thay vì một tín hiệu “beacon” rõ ràng từ malware.

Đội ngũ bảo mật nên làm gì?

Các chatbot AI có duyệt web nên được xem như những ứng dụng đám mây có mức độ tin cậy cao nhưng vẫn có thể bị lợi dụng sau khi hệ thống bị xâm nhập. Nếu doanh nghiệp cho phép sử dụng, cần theo dõi các dấu hiệu tự động hóa bất thường như tải URL lặp lại, tần suất prompt bất thường, hoặc lưu lượng truy cập không tương xứng với hành vi người dùng thực tế.

Tính năng duyệt web của AI có thể chỉ nên triển khai trên thiết bị được quản lý chặt chẽ và cho các vai trò cụ thể, thay vì mở rộng trên toàn bộ hệ thống. Hiện đây mới chỉ là bản demo và chưa có số liệu về tỷ lệ thành công trên các môi trường được bảo vệ nghiêm ngặt. Điều cần theo dõi trong thời gian tới là liệu các nhà cung cấp có bổ sung cơ chế phát hiện tự động hóa mạnh hơn trong giao diện web chat hay không, và liệu các đội ngũ phòng thủ có bắt đầu xem các dịch vụ AI như một kênh liên lạc tiềm ẩn sau khi bị xâm nhập hay không.