Một hình thức mới của các cuộc tấn công Prompt Injection gián tiếp (IPI) đã được phát hiện, nhắm mục tiêu vào trợ lý giọng nói Google Gemini. Kỹ thuật này cho phép kẻ tấn công chiếm quyền điều khiển AI một cách im lặng thông qua các payload độc hại được phân phối qua các ứng dụng nhắn tin hàng ngày như WhatsApp, Slack, Signal, SMS, Instagram và Messenger.
Nghiên cứu này, do Or Yair, Trưởng nhóm Nghiên cứu Bảo mật tại SafeBreach dẫn đầu, là sự tiếp nối từ tiết lộ trước đó của công ty với tên gọi “Invitation Is All You Need”, vốn đã khai thác lời mời trên Google Calendar để chống lại Gemini. Lần này, bề mặt tấn công rộng lớn hơn nhiều, bất kỳ ứng dụng nào có khả năng kích hoạt thông báo trên thiết bị đều trở thành vector phân phối khả thi.
Cơ Chế Khai Thác Lỗ Hổng Prompt Injection Gián Tiếp
Tận Dụng Công Cụ Android Utilities Agent
Cơ chế khai thác cốt lõi của cuộc tấn công Prompt Injection này dựa vào tác nhân Android Utilities của Gemini, đặc biệt là công cụ được thiết kế để đọc các thông báo đến. Công cụ này có nhiệm vụ xử lý dữ liệu không đáng tin cậy từ các ứng dụng của bên thứ ba, tạo điều kiện cho kẻ tấn công có thể nhúng các lệnh độc hại trực tiếp vào một tin nhắn được chế tạo sẵn.
Khi Gemini đọc thông báo đã bị nhiễm độc, nó sẽ âm thầm kết hợp các lệnh của kẻ tấn công vào ngữ cảnh trò chuyện, mà người dùng hoàn toàn không hề hay biết. Quá trình này diễn ra một cách lặng lẽ, khiến nạn nhân không thể nhận ra sự thay đổi trong hành vi của trợ lý AI.
Kỹ Thuật Nhiễm Độc Ngữ Cảnh (Context Poisoning)
Ngay cả khi không cần gọi các công cụ bên ngoài, kỹ thuật IPI dựa trên thông báo này đã tạo ra khả năng nhiễm độc ngữ cảnh. Điều này cho phép kẻ tấn công kiểm soát hoàn toàn đầu ra của Gemini. Một trợ lý AI đã bị thao túng có thể, ví dụ, chuyển tiếp một tin nhắn hệ thống giả mạo:
"There was an error — click here to refresh"
Đây là một mồi nhử lừa đảo (phishing lure) cổ điển, được phân phối thông qua một giao diện AI đáng tin cậy. Mục tiêu là lừa người dùng thực hiện các hành động không mong muốn, từ đó mở rộng phạm vi tấn công.
Vượt Qua Các Biện Pháp Phòng Ngừa Trước Đó
Kỹ Thuật Fake Context Alignment
Sau khi Google đã vá các lỗ hổng zero-day trước đó bằng cách chặn các lời gọi công cụ chuỗi (chained tool invocations) và lời gọi công cụ bị trì hoãn (Delayed Tool Invocation), các nhà nghiên cứu của SafeBreach đã phát triển một kỹ thuật vượt qua mới, được mệnh danh là Fake Context Alignment. Kỹ thuật này tạo ra một ảo ảnh kép.
Một mặt, nó trình bày một kịch bản ủy quyền hợp pháp cho các cơ chế bảo mật backend của Gemini. Mặt khác, nó hiển thị cho nạn nhân một tương tác hoàn toàn lành tính. Sự kết hợp của cả hai kỹ thuật này thành một payload “Ultimate Combo” đã cho phép các nhà nghiên cứu vượt qua tất cả các biện pháp giảm thiểu mới nhất của Google với độ tin cậy cao và gần như không gây ra sự chú ý nào từ người dùng.
Để tìm hiểu chi tiết hơn về kỹ thuật này, bạn có thể tham khảo bài viết từ SafeBreach tại SafeBreach Blog.
Các Kịch Bản Khai Thác Nghiêm Trọng Được Chứng Minh
Với việc Delayed Tool Invocation được kích hoạt lại, các nhà nghiên cứu đã chứng minh một loạt các cuộc khai thác có mức độ nghiêm trọng cao. Sự phát triển của công nghệ nhà thông minh đã tạo điều kiện cho nhiều hình thức khai thác khác nhau.
Kiểm Soát Thiết Bị Nhà Thông Minh Từ Xa
Một trong những kịch bản đáng chú ý là khả năng kiểm soát từ xa các thiết bị được kết nối như cửa sổ, lò sưởi và đèn chiếu sáng thông qua Google Home. Kẻ tấn công có thể ra lệnh cho Gemini thực hiện các hành động này mà người dùng không hề hay biết, gây ra những rủi ro về an toàn và riêng tư trong môi trường sống. Điều này biến nhà thông minh thành một điểm yếu tiềm năng nếu trợ lý AI bị chiếm quyền.
Truyền Phát Video Bí Mật
Ngoài ra, có những chiến thuật đáng báo động như truyền phát video bí mật. Kẻ tấn công có thể buộc ứng dụng hội nghị trực tuyến như Zoom khởi chạy và truyền trực tiếp camera của nạn nhân thông qua một chuyển hướng HTTP 301. Điều này được thực hiện từ một tên miền đã được phê duyệt bởi Safe Browsing, khiến nó khó bị phát hiện hơn. Kỹ thuật này có thể dẫn đến việc xâm phạm quyền riêng tư nghiêm trọng, cho phép kẻ tấn công giám sát nạn nhân mà không bị phát hiện.
Tên miền được phê duyệt bởi Safe Browsing tạo một lớp vỏ bọc đáng tin cậy, che giấu mục đích thực sự của cuộc tấn công. Đây là một biến thể tinh vi của cuộc tấn công Prompt Injection, biến một chức năng hợp pháp của hệ thống thành công cụ giám sát.
Kế Hoạch Kỹ Thuật Xã Hội Quy Mô Lớn
Các kế hoạch kỹ thuật xã hội quy mô lớn đang gia tăng, tạo ra các tin nhắn giả mạo từ các liên hệ đáng tin cậy mà không cần biết trước tên của các liên hệ đó. Kẻ tấn công có thể trích xuất tên người gửi thực từ hàng đợi thông báo. Điều này cho phép chúng xây dựng các tin nhắn lừa đảo cực kỳ thuyết phục, làm tăng khả năng nạn nhân rơi vào bẫy.
Khả năng giả mạo danh tính người gửi là một lợi thế lớn cho kẻ tấn công, làm suy yếu khả năng nhận diện các mối đe dọa của người dùng. Một ví dụ về cuộc tấn công tương tự từng được thấy trong việc chiếm quyền máy chủ IIS, mà bạn có thể đọc thêm tại Cybersecurity News.
Nhiễm Độc Bộ Nhớ Liên Tục (Persistent Memory Poisoning)
Hơn nữa, nhiễm độc bộ nhớ liên tục đã trở thành một mối lo ngại nghiêm trọng. Kỹ thuật này liên quan đến việc tiêm thông tin sai lệch vào bộ nhớ dài hạn của Gemini trên toàn bộ tài khoản Google Workspace của nạn nhân. Điều này ảnh hưởng đến nhiều thiết bị bao gồm máy tính bảng, máy tính và loa thông minh.
Việc thao túng bộ nhớ dài hạn của AI có thể thay đổi vĩnh viễn hành vi và phản hồi của Gemini, khiến nó trở thành một công cụ để phát tán thông tin sai lệch hoặc thực hiện các hành động độc hại theo thời gian. Đây là một hậu quả nghiêm trọng của cuộc tấn công Prompt Injection, có thể có tác động lâu dài đến độ tin cậy của trợ lý AI.
Giám Sát Định Kỳ
Cuối cùng, các chiến thuật giám sát định kỳ cho phép thiết lập các tác vụ lặp lại tự động đọc các tin nhắn gần đây của người dùng hàng ngày. Điều này tiếp tục xâm phạm quyền riêng tư và bảo mật của họ. Bằng cách thiết lập các tác vụ này, kẻ tấn công có thể duy trì quyền truy cập liên tục vào thông tin cá nhân của nạn nhân, biến Gemini thành một công cụ gián điệp tinh vi.
Đây là một ví dụ rõ ràng về việc một lỗ hổng zero-day có thể được khai thác để đạt được sự giám sát liên tục, gây ra những hậu quả nghiêm trọng về quyền riêng tư và an toàn thông tin cá nhân.
Thông Báo và Khắc Phục Lỗ Hổng
SafeBreach đã tiết lộ những phát hiện này cho Chương trình Phần thưởng Lỗ hổng của Google vào ngày 17 tháng 8 năm 2025. Google đã xác nhận vào ngày 14 tháng 11 năm 2025 rằng các cải tiến về bộ phân loại nội dung đã được cập nhật thành công, giúp giảm thiểu các kịch bản tấn công Prompt Injection gián tiếp và Delayed Tool Invocation được mô tả trong nghiên cứu.
Những cải tiến này là một phần quan trọng trong nỗ lực bảo vệ người dùng khỏi các mối đe dọa AI ngày càng tinh vi. Việc triển khai kịp thời các bản vá bảo mật cho thấy Google đã phản ứng nhanh chóng để khắc phục một lỗ hổng zero-day có tiềm năng gây ra thiệt hại đáng kể.
