Sự xuất hiện của các mô hình AI như Gemini, Claude, ChatGPT hay Alexa Plus đang mở ra kỷ nguyên mới cho nhà thông minh. Người dùng giờ đây có thể điều khiển đèn, điều hòa, khóa cửa hay nhiều thiết bị khác chỉ bằng một câu lệnh tự nhiên.
Tuy nhiên, cùng với sự tiện lợi đó là một mối đe dọa hoàn toàn mới mang tên Promptware – hình thức tấn công khai thác chính cách AI hiểu và thực thi các chỉ dẫn.
Khác với virus hay mã độc truyền thống, Promptware không nhắm vào hệ điều hành hay phần mềm mà "lừa" AI thực hiện những hành động ngoài ý muốn. Đây được nhiều chuyên gia đánh giá là một trong những rủi ro đáng chú ý nhất đối với các hệ thống AI và nhà thông minh trong tương lai.
Promptware là gì?
Promptware (hay Prompt Injection) là kỹ thuật chèn các câu lệnh độc hại vào những nội dung tưởng như vô hại để AI tự động đọc và thực thi.
Các lệnh này có thể được giấu trong email, tài liệu, lời nhắc lịch, tin nhắn hoặc thậm chí là tên tệp. Khi AI quét và xử lý những nội dung này, nó có thể vô tình coi chúng là chỉ thị hợp lệ và thực hiện các hành động mà người dùng chưa từng yêu cầu.
Nếu AI được kết nối với hệ thống nhà thông minh, hậu quả có thể nghiêm trọng hơn nhiều, chẳng hạn như:
- Bật hoặc tắt hệ thống sưởi, điều hòa.
- Điều khiển đèn hoặc các thiết bị điện.
- Mở khóa cửa thông minh.
- Gửi vị trí của người dùng.
- Thay đổi các quy tắc tự động hóa trong ngôi nhà.
Điểm đáng lo ngại là nhiều cuộc tấn công Promptware không cần người dùng bấm vào liên kết hay mở tệp đính kèm.
Tính năng tích hợp Google Home của Gemini rất hữu ích, nhưng các tùy chọn lệnh có thể tiềm ẩn một số rủi ro.
Promptware có thể hoạt động mà không cần người dùng nhấp chuột
Tại hội nghị an ninh mạng Black Hat mùa hè năm nay, nhóm nghiên cứu của Đại học Tel Aviv do Ben Nassi dẫn đầu đã trình diễn một hình thức Prompt Injection nhắm vào Gemini.
Các nhà nghiên cứu đã giấu những câu lệnh đặc biệt trong email và lời nhắc lịch. Khi Gemini đọc hoặc tóm tắt nội dung, AI có thể bị đánh lừa để kích hoạt các thiết bị trong hệ sinh thái Google Home, chẳng hạn như mở cửa sổ thông minh, bật bình nước nóng hoặc gửi vị trí của người dùng.
Đáng chú ý, đây là kiểu tấn công Zero Click , nghĩa là người dùng không cần mở liên kết, tải tệp hay xác nhận bất kỳ thao tác nào. Chỉ cần AI đọc nội dung chứa lệnh ẩn là đủ để kích hoạt cuộc tấn công.
May mắn là Google đã được thông báo về các lỗ hổng này từ đầu năm 2025 và đã triển khai các bản vá nhằm ngăn chặn chúng trước khi bị khai thác trên diện rộng. Google cho biết hãng vẫn đang hợp tác chặt chẽ với cộng đồng nghiên cứu bảo mật thông qua chương trình AI Vulnerability Reward Program để phát hiện và xử lý các lỗ hổng tương tự.
Vì sao Promptware được xem là nguy hiểm?
Nghiên cứu trên cho thấy AI có thể bị thao túng bằng những dữ liệu tưởng như vô hại. Điều đáng lo ngại hơn là Promptware gần như không giống các loại mã độc truyền thống.
Phần mềm diệt virus hay tường lửa thông thường khó có thể phát hiện được những câu lệnh được giấu bên trong email, tài liệu hoặc lịch làm việc. Trong khi đó, AI ngày càng được tích hợp sâu hơn vào điện thoại, máy tính và hệ thống nhà thông minh. Điều này đồng nghĩa với việc nếu AI bị đánh lừa, hậu quả sẽ không chỉ dừng lại ở việc tạo ra câu trả lời sai mà còn có thể dẫn tới các hành động ngoài đời thực.
Các chuyên gia dự đoán Promptware sẽ ngày càng phổ biến khi Alexa Plus, Gemini for Home hay Siri thế hệ mới được tích hợp nhiều quyền điều khiển thiết bị hơn.
Một báo cáo của CrowdStrike công bố vào tháng 7/2026 cũng đã mô tả thêm nhiều hình thức Prompt Injection mới. Trong đó có kiểu tấn công lợi dụng việc người dùng sao chép các hướng dẫn thiết lập nhà thông minh từ Internet để vô tình đưa mã lệnh độc hại vào AI. Một hình thức khác chia cuộc tấn công thành nhiều giai đoạn, âm thầm cài cắm quy tắc trước rồi chỉ kích hoạt khi xuất hiện điều kiện phù hợp.
5 cách giúp hạn chế nguy cơ Promptware
Mặc dù Promptware là kiểu tấn công hoàn toàn mới, người dùng vẫn có thể giảm đáng kể rủi ro nếu duy trì một số thói quen bảo mật dưới đây.
Luôn cập nhật hệ điều hành và ứng dụng AI
Việc cập nhật phần mềm từ lâu đã là lớp bảo vệ đầu tiên trước các lỗ hổng bảo mật. Trong thời đại AI, các bản cập nhật còn bổ sung nhiều cơ chế bảo vệ mới dành riêng cho những tính năng AI trên điện thoại và máy tính.
Vì vậy, hãy luôn cài đặt phiên bản mới nhất của hệ điều hành cũng như các ứng dụng AI mà bạn sử dụng. Nếu có thể, nên bật chế độ cập nhật tự động để nhận bản vá sớm nhất.
Không mở tin nhắn từ nguồn lạ
Không phải mọi cuộc tấn công Promptware đều là Zero Click. Một số vẫn yêu cầu người dùng mở email, tài liệu hoặc xác nhận một thao tác nào đó để AI có thể đọc nội dung chứa lệnh độc hại.
Do đó, hãy tránh mở các email hoặc tin nhắn đến từ nguồn không quen thuộc. Nếu nghi ngờ, tốt nhất nên xóa hoặc báo cáo thay vì tò mò mở ra xem.
Google cũng nhận định Prompt Injection có nhiều điểm tương đồng với các cuộc tấn công phishing: kẻ xấu luôn liên tục tìm kiếm những cách mới để đánh lừa người dùng và AI.
Hạn chế để AI tóm tắt những nội dung chưa được kiểm chứng
Ngày càng nhiều dịch vụ cho phép AI tự động tóm tắt email, tài liệu, tin nhắn hay lời mời lịch. Tuy nhiên, AI chỉ có thể bị Promptware đánh lừa khi nó đọc những nội dung này.
Vì vậy, nếu tài liệu đến từ nguồn chưa thực sự đáng tin cậy, tốt nhất nên tự đọc thay vì yêu cầu AI phân tích hoặc tóm tắt.
Tắt AI ở những nơi không thật sự cần thiết
Email, lịch làm việc, ứng dụng nhắn tin hay các công cụ quản lý công việc đều đang tích hợp AI. Nếu không có nhu cầu sử dụng, hãy cân nhắc tắt các tính năng AI tại những nơi này để giảm khả năng AI tiếp xúc với Promptware.
Trong trường hợp vẫn muốn sử dụng AI, hãy ưu tiên chế độ chỉ hoạt động khi có yêu cầu trực tiếp từ người dùng (Human-in-the-Loop). Điều này giúp AI không tự động xử lý các nội dung chưa được kiểm chứng.
Kiểm tra kỹ trước khi sao chép và dán
Một số Promptware được giấu trong tiêu đề email, tên tệp hoặc các đoạn mã mà người dùng thường sao chép nhanh. Trước khi copy và paste bất kỳ nội dung nào từ Internet hoặc email vào AI, hãy dành vài giây kiểm tra xem phần cuối của văn bản có chứa những câu lệnh bất thường hay không.
Đây là một thói quen nhỏ nhưng có thể giúp ngăn chặn nhiều hình thức Prompt Injection trong tương lai.
Sự phát triển của AI đang thay đổi cách con người tương tác với các thiết bị thông minh, nhưng đồng thời cũng tạo ra những hình thức tấn công hoàn toàn mới.
Promptware là ví dụ điển hình khi kẻ tấn công không còn nhắm trực tiếp vào hệ điều hành hay phần mềm, mà thay vào đó tìm cách thao túng chính AI để thực hiện hành động ngoài ý muốn.
Dù Google và nhiều hãng công nghệ đã nhanh chóng vá các lỗ hổng được phát hiện, Promptware vẫn được xem là mối đe dọa cần theo dõi khi AI ngày càng được trao nhiều quyền kiểm soát hơn trong nhà thông minh.
Ở thời điểm hiện tại, cách phòng vệ hiệu quả nhất vẫn là duy trì thói quen bảo mật tốt: thường xuyên cập nhật thiết bị, hạn chế để AI tự động xử lý nội dung từ nguồn không đáng tin cậy và luôn kiểm tra kỹ dữ liệu trước khi đưa vào các công cụ AI.
Hướng dẫn AI
Học IT
AI
Hàm Excel