Trí tuệ nhân tạo (AI) đang định hình lại cách người dùng tương tác với Internet. Các trình duyệt được tích hợp AI không chỉ đơn thuần hiển thị trang web mà còn có khả năng đọc nội dung, thực hiện các hành động và hoàn thành tác vụ cho người dùng. Sự xuất hiện của những công cụ này đồng thời mang đến những **lỗ hổng agentic LLM** mới.
Những công cụ này, thường được gọi là **Agentic LLM Browsers**, cho phép người dùng đưa ra các lệnh đơn giản như “đặt lịch họp” hoặc “tóm tắt email”. Trình duyệt sau đó sẽ tự động xử lý phần còn lại của quy trình. Mặc dù tiện lợi, điều này đang tạo ra một chi phí bảo mật nghiêm trọng mà hiện tại mới bắt đầu được nhìn nhận rõ ràng.
Giải mã Agentic LLM Browsers và Rủi ro Bảo mật Tiềm ẩn
Bản chất hoạt động của Agentic LLM Browsers
Các Agentic LLM Browsers hoạt động bằng cách kết nối mô hình AI trực tiếp với các hệ thống nội bộ của trình duyệt. Điều này cấp cho AI khả năng nhấn nút, điền biểu mẫu và tương tác với các tập tin. Quá trình này diễn ra mà không yêu cầu người dùng phê duyệt từng bước hành động.
Các ví dụ nổi bật bao gồm **Comet** của Perplexity, **Atlas** của OpenAI, **Microsoft Edge Copilot** và **Brave Leo AI**. Mỗi sản phẩm có cấu trúc khác nhau nhưng đều chia sẻ một vấn đề chung.
Để hoạt động hiệu quả, chúng phải phá vỡ các bức tường bảo mật mà các trình duyệt truyền thống đã mất hàng thập kỷ để xây dựng. Đây là điểm mấu chốt tạo nên **rủi ro bảo mật** mới.
Thách thức Bảo mật Cốt lõi
Các nhà nghiên cứu tại **Varonis Threat Labs** đã xác định các **lỗ hổng kiến trúc** xuyên suốt các trình duyệt agentic này. Nghiên cứu của họ chỉ ra rằng chính những lựa chọn thiết kế làm cho các công cụ này mạnh mẽ cũng khiến chúng dễ bị khai thác. Tìm hiểu thêm về những lỗ hổng này tại Varonis Blog.
Bằng cách liên kết mô hình AI với các tiến trình trình duyệt cục bộ thông qua các extension có đặc quyền và kênh nội bộ, các trình duyệt này đã tạo ra một đường dẫn kiểm soát. Các khuôn khổ bảo mật hiện có không được thiết kế để xử lý loại đường dẫn này.
Bề mặt tấn công bị phơi bày rất rộng. Một **lỗ hổng web** như Cross-Site Scripting (XSS), mà trong trình duyệt tiêu chuẩn chỉ ảnh hưởng đến một trang web, giờ đây có thể trao cho kẻ tấn công quyền kiểm soát hoàn toàn phiên duyệt web.
Lỗ hổng Kiến trúc và Tấn công Indirect Prompt Injection
Giao thức Giao tiếp Đặc quyền
Yếu tố nguy hiểm nhất trong các Agentic LLM Browsers là kênh giao tiếp đáng tin cậy giữa backend AI và các thành phần nội bộ của trình duyệt. Kênh này hoạt động như một cầu nối, cho phép AI thực hiện các hành động với quyền hạn cao.
Chẳng hạn, **Comet** sử dụng một tính năng gọi là externally_connectable. Tính năng này cho phép các domain được phê duyệt, như perplexity.ai, gửi lệnh trực tiếp đến một extension nền mạnh mẽ.
Extension này mang quyền gỡ lỗi (debugger permission), cấp quyền kiểm soát lập trình hoàn toàn đối với trình duyệt. Quyền này bao gồm khả năng nhấp, cuộn, gõ và đọc nội dung trên bất kỳ tab đang mở nào.
Extension này chạy ngầm và không thể tắt thông qua cài đặt trình duyệt tiêu chuẩn. Nếu kẻ tấn công thực thi **JavaScript độc hại** trên bất kỳ domain được phê duyệt nào, chúng có thể sử dụng nguồn đáng tin cậy đó để đẩy các lệnh trái phép qua cùng một kênh.
Varonis Threat Labs đã xác nhận trong quá trình thử nghiệm rằng **XSS** trên một domain đáng tin cậy có thể cho phép kẻ tấn công gọi công cụ **GetContent**. Từ đó, chúng có thể kéo các tệp cục bộ từ máy của người dùng.
Kỹ thuật Tấn công Indirect Prompt Injection
Một phương pháp được gọi là **Indirect Prompt Injection** cho phép một trang web độc hại nhúng các hướng dẫn ẩn vào chế độ xem của AI. Những hướng dẫn này người dùng không bao giờ nhìn thấy, nhưng AI tuân theo mà không nghi ngờ.
Các lệnh này có thể buộc tác nhân AI đọc các tệp riêng tư, gửi email dưới danh nghĩa người dùng, điều hướng đến các trang lừa đảo (phishing pages). Thậm chí, chúng có thể âm thầm tải **mã độc** xuống thiết bị.
Điều này vượt xa thiệt hại của bất kỳ cuộc **tấn công mạng** trình duyệt truyền thống nào. Hậu quả của những **lỗ hổng agentic LLM** này rất nghiêm trọng.
Mở rộng Phạm vi Tấn công XSS
Các cuộc tấn công này khó bị phát hiện vì tác nhân AI hoạt động bằng cách sử dụng thông tin đăng nhập thực của người dùng. Hoạt động độc hại trông giống hệt hành vi trình duyệt bình thường.
Điều này cung cấp cho kẻ tấn công đủ thời gian để hoạt động mà không bị phát hiện. Khả năng giám sát và phát hiện **tấn công mạng** của các hệ thống bảo mật truyền thống bị suy yếu đáng kể.
Ví dụ điển hình về Lỗ hổng
Phân tích Lỗ hổng trong Comet của Perplexity
Như đã đề cập, **Comet** sử dụng tính năng externally_connectable. Khi một domain đáng tin cậy bị xâm phạm bởi **XSS**, kẻ tấn công có thể lợi dụng kênh này để gửi lệnh tới extension có đặc quyền của trình duyệt.
Điều này cho phép kẻ tấn công thực hiện các hành động trái phép trên trình duyệt, bao gồm cả việc truy cập và trích xuất dữ liệu nhạy cảm từ các tệp cục bộ của người dùng. Đây là một ví dụ rõ ràng về cách các **lỗ hổng agentic LLM** có thể bị khai thác.
Rủi ro tương tự trên Microsoft Edge Copilot
Microsoft Edge Copilot cũng đối mặt với **rủi ro bảo mật** tương tự. Các nhà nghiên cứu đã chứng minh khả năng gọi công cụ Edge.Context.GetDocumentBody trong một vòng lặp liên tục. Việc này cho phép thu thập dữ liệu trang trực tiếp và chuyển tiếp nó đến một máy chủ bên ngoài.
Một công cụ đọc cơ bản biến thành một công cụ giám sát trực tiếp. Khả năng này minh họa mức độ nguy hiểm khi AI được cấp quyền truy cập sâu vào dữ liệu trình duyệt mà không có các cơ chế kiểm soát chặt chẽ.
Chiến lược Phòng ngừa và Giảm thiểu Rủi ro
Đối với Đội ngũ Bảo mật
Các đội ngũ bảo mật cần giám sát các tiến trình trình duyệt để phát hiện các hành vi đọc tệp bất ngờ. Ngoài ra, cần chú ý đến các kết nối đi ra bất thường hoặc các hành động trình duyệt có quyền hạn cấp người dùng mà không có hướng dẫn rõ ràng từ phía người dùng.
Việc phát hiện sớm các dấu hiệu này là rất quan trọng để ngăn chặn các cuộc **tấn công mạng** khai thác **lỗ hổng agentic LLM**.
Đối với Nhà Phát triển
Các nhà phát triển nên thực thi các chính sách **least-privilege** (nguyên tắc đặc quyền tối thiểu) cho tất cả các extension có quyền hạn nâng cao. Họ cũng cần xác thực nghiêm ngặt mọi dữ liệu bên ngoài mà AI xử lý.
Việc kiểm tra và xác nhận đầu vào kỹ lưỡng là bước thiết yếu để giảm thiểu các vector tấn công tiềm tàng.
Đối với Người dùng Cá nhân
Người dùng cá nhân nên luôn giữ trình duyệt được cập nhật lên phiên bản mới nhất. Varonis đã xác nhận rằng một **lỗ hổng prompt injection** được phát hiện thông qua tiêu đề trang nhúng đã được vá trong thời gian nghiên cứu.
Cập nhật thường xuyên là biện pháp phòng thủ cơ bản nhưng hiệu quả nhất chống lại các **rủi ro bảo mật** đã biết.
Đối với Tổ chức
Các tổ chức được khuyến khích triển khai các công cụ phát hiện dựa trên dữ liệu (data-aware detection tools). Các công cụ này có thể xác định hoạt động trình duyệt có vẻ hợp pháp trên bề mặt nhưng thiếu ý định thực sự của người dùng.
Việc kết hợp **threat intelligence** và phân tích hành vi có thể giúp phát hiện những hoạt động tinh vi khai thác **lỗ hổng agentic LLM**.
