Các lỗ hổng nghiêm trọng trong ChatGPT đã cho phép kẻ tấn công thực hiện các tấn công zero-click để chiếm đoạt dữ liệu nhạy cảm từ các dịch vụ liên kết như Gmail, Outlook và GitHub mà không cần tương tác từ người dùng.
Hai lỗ hổng này, được đặt tên là ShadowLeak và ZombieAgent, khai thác các tính năng Connectors và Memory của AI để thực hiện các cuộc tấn công không cần tương tác, duy trì quyền truy cập và thậm chí lan truyền mã độc.
ChatGPT Connectors và Memory: Cổng truy cập nguy hiểm
Tính năng Connectors của OpenAI cho phép ChatGPT tích hợp với các hệ thống bên ngoài. Các dịch vụ này bao gồm Gmail, Jira, GitHub, Teams và Google Drive, giúp tăng cường khả năng hoạt động của AI chỉ với vài cú nhấp chuột.
Tính năng Memory, được bật theo mặc định, lưu trữ các cuộc trò chuyện và dữ liệu người dùng. Điều này nhằm mục đích cá nhân hóa phản hồi, cho phép AI đọc, chỉnh sửa hoặc xóa các mục đã lưu trữ.
Mặc dù nâng cao tiện ích, các khả năng này cũng cấp quyền truy cập rộng rãi vào dữ liệu cá nhân và doanh nghiệp. Điều này làm tăng đáng kể rủi ro từ các biện pháp bảo vệ không đầy đủ.
Cơ chế tấn công ShadowLeak và ZombieAgent
Kẻ tấn công gửi email hoặc chia sẻ tệp chứa các hướng dẫn độc hại ẩn. Các hướng dẫn này được ngụy trang bằng văn bản trắng, phông chữ cực nhỏ hoặc ở chân trang, hoàn toàn vô hình đối với người dùng thông thường.
Tấn công Zero-click phía máy chủ
Trong biến thể tấn công zero-click phía máy chủ, ChatGPT sẽ quét hộp thư đến trong quá trình thực hiện các tác vụ định kỳ. Ví dụ như tóm tắt email, thực thi payload và làm rò rỉ dữ liệu thông qua các máy chủ của OpenAI trước khi người dùng kịp nhận ra bất kỳ điều gì bất thường.
Tấn công một cú nhấp chuột và chuỗi tấn công
Phiên bản tấn công một cú nhấp chuột được kích hoạt khi nạn nhân tải lên các tệp đã bị nhiễm độc. Điều này cho phép các cuộc tấn công chuỗi tiếp theo vào các kho lưu trữ hoặc ổ đĩa được kết nối.
Bỏ qua giới hạn sửa đổi URL động
OpenAI đã chặn các sửa đổi URL động. Tuy nhiên, các nhà nghiên cứu đã vượt qua giới hạn này bằng cách sử dụng các URL được xây dựng trước cho từng ký tự (a-z, 0-9, $ cho khoảng trắng).
ChatGPT chuẩn hóa các chuỗi nhạy cảm, ví dụ từ “Zvika Doe” thành “zvikadoe”. Sau đó, nó tuần tự mở các liên kết tĩnh như compliance.hr-service.net/get-public-joke/z. Quá trình này giúp rò rỉ dữ liệu mà không cần xây dựng lại URL.
Phương pháp phía dịch vụ này tránh được các biện pháp phòng thủ phía máy khách, trình duyệt và khả năng hiển thị giao diện người dùng.
Kỹ thuật tấn công kéo dài và lan truyền
Duy trì quyền truy cập
Để duy trì quyền truy cập, kẻ tấn công tiêm các quy tắc thay đổi bộ nhớ thông qua các tệp. Cụ thể, mỗi khi có tin nhắn, ChatGPT sẽ đọc một email cụ thể của kẻ tấn công và làm rò rỉ dữ liệu trước tiên.
Mặc dù OpenAI có các hạn chế về việc kết hợp Connectors và Memory, quyền truy cập ngược vẫn hoạt động. Điều này cho phép kẻ tấn công khai thác dữ liệu liên tục, ngay cả trong các cuộc trò chuyện mới.
Cơ chế lan truyền
Cơ chế lan truyền hoạt động bằng cách quét hộp thư đến để tìm các địa chỉ. Các địa chỉ này sau đó được trích xuất và các máy chủ của kẻ tấn công tự động gửi payload. Mục tiêu chính là các tổ chức để mở rộng phạm vi tấn công.
Phát hiện và bản vá bảo mật
Công ty an ninh mạng Radware đã báo cáo chi tiết các vấn đề này vào ngày 26 tháng 9 năm 2025, thông qua nền tảng BugCrowd, cung cấp thông tin và đề xuất nâng cấp.
OpenAI đã khắc phục lỗ hổng ShadowLeak vào ngày 3 tháng 9 và hoàn thiện toàn bộ các bản vá bảo mật cho các lỗ hổng liên quan vào ngày 16 tháng 12 năm 2025, sau khi tái tạo thành công.
Tham khảo thêm thông tin chi tiết về các lỗ hổng này tại blog của Radware: ZombieAgent: ChatGPT’s Connectors and Memory Features Exploit for Zero-Click Data Exfiltration.
Khuyến nghị và biện pháp phòng ngừa
Các chuyên gia khuyến nghị các tổ chức và người dùng cần chủ động giám sát hành vi của các tác nhân AI. Việc này bao gồm kiểm tra kỹ lưỡng các luồng dữ liệu và tương tác của AI với các dịch vụ bên ngoài.
Ngoài ra, cần thực hiện nghiêm ngặt việc làm sạch (sanitize) tất cả các đầu vào mà AI xử lý. Điều này đặc biệt quan trọng vì các điểm mù trong AI tổng hợp vẫn còn tồn tại và có thể bị khai thác bởi các tấn công zero-click tinh vi.
Việc áp dụng các chính sách bảo mật chặt chẽ và thường xuyên cập nhật các bản vá bảo mật là vô cùng cần thiết. Điều này giúp giảm thiểu rủi ro từ các lỗ hổng mới nổi và bảo vệ dữ liệu nhạy cảm khỏi bị rò rỉ dữ liệu.
