Các nhà nghiên cứu đã phát hiện một lỗ hổng zero-day nghiêm trọng, không yêu cầu tương tác người dùng (zero-click), trong Deep Research agent của ChatGPT. Lỗ hổng này cho phép kẻ tấn công âm thầm đánh cắp dữ liệu Gmail nhạy cảm mà không cần bất kỳ sự tương tác nào từ phía người dùng.
Cuộc tấn công tinh vi này khai thác các kỹ thuật service-side exfiltration, khiến nó vô hình trước các biện pháp phòng thủ bảo mật truyền thống và đại diện cho một sự leo thang đáng kể trong các mối đe dọa bảo mật đối với agent AI.
Lỗ Hổng Zero-Click Trong ChatGPT Deep Research
Theo báo cáo từ Radware, lỗ hổng zero-day này khai thác ChatGPT Deep Research agent, một công cụ nghiên cứu tự động có khả năng duyệt các trang web và truy cập các dịch vụ được kết nối như Gmail để tạo các báo cáo toàn diện.
Không như các cuộc tấn công client-side trước đó thường dựa vào việc người dùng xem nội dung độc hại, lỗ hổng nghiêm trọng này hoạt động hoàn toàn trong cơ sở hạ tầng đám mây của OpenAI, khiến việc phát hiện gần như không thể.
Cơ Chế Khai Thác Lỗ Hổng Zero-Day
Kỹ Thuật Email Độc Hại Tiềm Ẩn
Cuộc tấn công bắt đầu khi một tội phạm mạng gửi một email tưởng chừng vô hại, chứa các chỉ dẫn HTML ẩn. Các kỹ thuật như phông chữ siêu nhỏ, văn bản trắng trên nền trắng và các mẹo bố cục được sử dụng để che giấu các chỉ dẫn này.
Những lệnh vô hình này hướng dẫn agent xác định vị trí thông tin nhạy cảm cụ thể trong hộp thư đến của nạn nhân và truyền nó đến một máy chủ do kẻ tấn công kiểm soát.
Tác Động Từ Agent
Khi người dùng sau đó yêu cầu Deep Research agent phân tích email của họ, agent vô tình thực thi các chỉ dẫn độc hại này.
Các nhà nghiên cứu đã đạt tỷ lệ thành công 100% bằng cách tạo ra các kỹ thuật kỹ thuật xã hội tinh vi, giúp qua mặt các hạn chế an toàn tích hợp của agent.
Các email độc hại sử dụng nhiều chiến thuật thao túng tâm lý: khẳng định quyền hạn giả mạo bằng cách tuyên bố “full authorization”, ngụy trang máy chủ của kẻ tấn công thành “compliance validation systems” hợp pháp, và tạo ra sự khẩn cấp thông qua các mối đe dọa về thiếu sót báo cáo.
Vượt Qua Lớp Bảo Mật Bằng Base64
Kỹ thuật tinh vi nhất liên quan đến việc mã hóa Base64 dữ liệu bị đánh cắp. Các nhà nghiên cứu đã ngụy trang điều này thành một “biện pháp bảo mật” để bảo vệ thông tin trong quá trình truyền tải.
Mã hóa này xảy ra trước khi các lớp bảo mật của OpenAI có thể kiểm tra nội dung, cho phép trích xuất các thông tin nhận dạng cá nhân (PII) nhạy cảm như tên và địa chỉ mà không kích hoạt các cơ chế an toàn. Đây là một phần quan trọng trong cơ chế khai thác lỗ hổng zero-day này.
So Sánh Tấn Công Server-side và Client-side
Lỗ hổng zero-day này đại diện cho một sự phát triển nguy hiểm so với các lỗ hổng agent AI trước đây. Các cuộc tấn công client-side truyền thống yêu cầu người dùng xem hình ảnh hoặc nội dung do kẻ tấn công kiểm soát trong trình duyệt của họ.
Thách Thức Với Các Công Cụ Bảo Mật Truyền Thống
Tấn công client-side có thể bị phát hiện bởi các công cụ bảo mật doanh nghiệp như web gateway và hệ thống giám sát endpoint. Ngược lại, phương pháp server-side mới hoạt động độc quyền trong cơ sở hạ tầng của OpenAI, sử dụng khả năng duyệt web tích hợp của agent.
Các kiểm soát bảo mật doanh nghiệp không thể giám sát hoặc chặn các yêu cầu này vì chúng bắt nguồn từ các máy chủ đáng tin cậy của OpenAI, chứ không phải từ thiết bị của người dùng. Điều này tạo ra một điểm mù đáng kể cho các tổ chức dựa vào agent AI để xử lý dữ liệu nhạy cảm.
Khả Năng Rò Rỉ Dữ Liệu Rộng Hơn
Ngoài ra, tấn công server-side cung cấp cho kẻ tấn công các tùy chọn rò rỉ rộng hơn. Trong khi các rò rỉ dựa trên hình ảnh client-side thường bị hạn chế đối với các tên miền đáng tin cậy cụ thể, các nhà nghiên cứu không thấy có hạn chế tương tự đối với các URL mà Deep Research agent có thể truy cập trực tiếp.
Điều này cho phép đánh cắp dữ liệu đến bất kỳ đích nào do kẻ tấn công chọn, làm tăng thêm nguy cơ của lỗ hổng zero-day này.
Đánh Giá Rủi Ro và Khuyến Nghị An Toàn Thông Tin
Lỗ hổng này làm nổi bật các rủi ro bảo mật nghiêm trọng khi các agent AI ngày càng tích hợp sâu hơn với các hệ thống dữ liệu cá nhân và doanh nghiệp.
Các tổ chức sử dụng ChatGPT Deep Research với quyền truy cập email cần triển khai giám sát bổ sung và cân nhắc hạn chế quyền của agent cho đến khi các bản vá được triển khai. Đây là một ví dụ điển hình về khai thác zero-day cần được quan tâm đặc biệt trong bối cảnh an ninh mạng hiện nay.
