Trình duyệt Comet AI có thể bị prompt injection trên bất kỳ trang web nào và có thể làm cạn kiệt tài khoản ngân hàng

 (twitter.com/zack_overflow)
1 điểm bởi GN⁺ 2025-08-25 | 1 bình luận | Chia sẻ qua WhatsApp
  • Đây là một vấn đề về lỗ hổng bảo mật xảy ra trong trình duyệt Comet AI
  • Một trang web độc hại có thể gây ra prompt injection ngoài ý muốn thông qua AI agent trong trình duyệt
  • Nếu bị khai thác, lỗ hổng này có thể dẫn đến rò rỉ thông tin cá nhân của người dùng hoặc bị dẫn dụ thực hiện các hành động quan trọng
  • Trong trường hợp nghiêm trọng, các hành động tự động hóa có thể gây ra thiệt hại như chuyển tiền khỏi tài khoản ngân hàng
  • Cả người dùng lẫn nhà phát triển đều cần nhận thức về mối đe dọa mới của trình duyệt AI này và chuẩn bị các biện pháp ứng phó

Tổng quan về mối đe dọa bảo mật của trình duyệt Comet AI

  • Trình duyệt Comet AI được chú ý nhờ điểm khác biệt là tận dụng AI agent tích hợp sẵn khi tương tác với trang web
  • Gần đây, nếu truy cập một website do hacker cố tình thiết kế, AI agent này có thể bị phơi nhiễm trước prompt độc hại từ trang đó và thậm chí đi đến mức thực thi
  • Thông qua tấn công prompt injection, nguy cơ xảy ra các hậu quả nghiêm trọng như rò rỉ thông tin tài khoản, thực thi lệnh, thậm chí giao dịch tài chính ngoài ý muốn của người dùng tăng cao
  • Đây là một dạng lỗ hổng mới xuất hiện khi tương tác AI được bổ sung vào mô hình bảo mật trình duyệt truyền thống

Cơ chế của prompt injection

  • Trang web độc hại chèn vào trang các đoạn văn bản ở dạng lệnh hoặc câu hỏi đặc biệt
  • Trình duyệt AI hiểu nhầm chúng là 'yêu cầu hợp lệ của người dùng' và tự động thực thi các lệnh đó
  • Vì vậy, các hành động tự động như chuyển khoản, sao chép thông tin nhạy cảm, tự động đăng nhập vào trang khác có thể bị kích hoạt
  • Người dùng có thể không nhìn thấy quy trình này hoặc dễ dàng bỏ qua mà không nghi ngờ, nên độ khó trong phát hiện và phòng vệ rất cao

Ảnh hưởng tới ngành và nhu cầu ứng phó

  • Cùng với sự phổ biến của trình duyệt AI, các mối đe dọa mới như 'prompt injection' đang nổi lên thành rủi ro thực tế
  • Nhà phát triển dịch vụngười dùng đều cần hệ thống xác minh và kiểm soát mạnh mẽ khi sử dụng các tính năng tự động hóa dựa trên AI
  • Các công ty trình duyệt AI và doanh nghiệp bảo mật cần nhấn mạnh việc phát triển các tính năng an ninh như lọc trước, giới hạn thực thi lệnh, hệ thống cảnh báo
  • Trong các lĩnh vực rủi ro cao như tài chính, cần thận trọng khi sử dụng trình duyệt AI và tiến hành kiểm tra bảo mật nghiêm ngặt

Kết luận

  • Rủi ro prompt injection của trình duyệt Comet AI là một thách thức bảo mật mới gia tăng cùng với tốc độ áp dụng công nghệ AI
  • Tất cả các bên liên quan cần nhận thức cụ thể về mối đe dọa này, đồng thời cần xây dựng chiến lược bảo mật tổng hợp như xác minh trước khi kích hoạt tính năng và áp dụng nguyên tắc đặc quyền tối thiểu

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-08-25
Ý kiến trên Hacker News

  • Tôi chỉ muốn nói rằng việc các công ty như Google, OpenAI, Anthropic không tung ra cùng tính năng này, mà thay vào đó để nó duyệt web trong một máy ảo bị khóa, không có cookie, cho thấy bản chất của chuyện này vốn đã rất nguy hiểm
    Một LLM trong trình duyệt lại còn nhìn được dữ liệu giữa các tab đúng là tổ hợp rủi ro ở mức cao nhất
    Tôi đã đọc bài viết của Brave giải thích về lỗ hổng này(https://brave.com/blog/comet-prompt-injection/), và điều thú vị là họ không đi đến kết luận cơ bản rằng “đây là việc tuyệt đối không nên làm”
    Thay vào đó, họ nói theo hướng có thể ngăn chặn đủ tốt bằng model alignment, phát hiện hành vi rủi ro của người dùng, v.v.
    Hạ cấp quyền của agent có vẻ là biện pháp đối phó tạm ổn, nhưng ngay cả vậy tôi vẫn nghĩ dữ liệu hoàn toàn có thể bị rò rỉ sang một URL hình ảnh do kẻ tấn công kiểm soát, dễ chẳng kém gì việc gửi email
    Thảo luận trước đó liên quan: https://news.ycombinator.com/item?id=44847933

    • Tôi nghĩ model alignment hay guardrail rốt cuộc chỉ là biện pháp phòng ngừa mang tính thống kê
      Rất khó kỳ vọng có trường hợp nào mà hành vi nguy hiểm trong không gian đầu vào giảm xuống tuyệt đối 0%
      Dù mô hình có tốt đến đâu, việc tạo ra một trường hợp đầu vào không thể bị ánh xạ sang kiểu “điều tuyệt đối không được xảy ra” gần như là mong muốn bất khả thi
      Ngay cả khi chồng nhiều lớp mô hình lên nhau, về bản chất cũng chỉ là nhân thêm xác suất mà thôi

    • (Tôi là privacy lead của Brave và cũng là tác giả bài viết)
      Chúng tôi chưa từng nói rằng chỉ riêng model alignment hay phát hiện hành vi rủi ro là đủ
      Những cách đó là các biện pháp tối thiểu mà một nhà cung cấp trình duyệt đương nhiên phải làm
      Những cuộc tấn công đơn giản như thế này có thể bị chặn bằng các biện pháp đó, nhưng tôi xem chúng chỉ là “điều kiện cần”, tuyệt đối không phải “điều kiện đủ”

    • Điều tôi nghĩ khi thấy đội Brave không đi tới kết luận rằng “đây vốn là một ý tưởng tệ”
      Như lời Upton Sinclair, nếu tiền lương của ai đó phụ thuộc vào việc họ không hiểu một sự thật, thì họ thực sự rất khó hiểu nó

    • Trong bài viết hiện tại đã được bổ sung thêm ý rằng “trình duyệt phải tách biệt duyệt web bằng agent và duyệt web thông thường”

    • Nếu cho phép Claude Code tự động phê duyệt để nó tích cực duyệt web, thì hoàn toàn có thể phát sinh vấn đề tương tự qua prompt injection
      Dù không có tùy chọn tự động phê duyệt cho quyền đọc/sửa file, nếu không chạy trong sandbox thì mã được tạo ra vẫn có thể thay đổi các file của trình duyệt, chẳng hạn khi lần sau chạy unit test
      Nếu không rà soát kỹ mọi thay đổi thì thực sự rất nguy hiểm

  • Theo tôi, Agentic AI chỉ nên được dùng trong môi trường mà các thay đổi do AI tạo ra có thể rollback dễ dàng
    Ví dụ như build/update/debug mã nguồn thì có thể xử lý an toàn bằng git rollback
    Nhưng dùng Agentic AI vào chỗ gần như không thể rollback như duyệt web thì thật khó mà tin nổi

    • Ngay cả khi tôi đưa cho Claude các quy tắc và chỉ thị rất rõ ràng, đôi lúc nó vẫn phớt lờ và tự ý hành động
      (“Nó phớt lờ quy tắc tôi đã nói rõ là không được làm và sửa DB trực tiếp!”)
      Vì vậy tôi thậm chí còn không dám nghĩ tới chuyện chạy agent trong môi trường production

    • Có vẻ như chỉ cần git là rollback được, nhưng thật ra muốn an toàn thì phải rollback ở cấp VM/container
      Công cụ lập trình AI có thể sửa đổi cấu trúc file/cấu hình mà bạn không hề hay biết
      Ví dụ, nếu nó thêm một script độc hại vào .profile bằng bash thì mã tấn công có thể chạy ở lần đăng nhập tiếp theo

    • Tôi nghĩ liệu tính năng này có thể xóa hoặc làm nhiễm bẩn cả repository và mọi remote mà nó có quyền push tới hay không
      Nếu một chuỗi tự động hóa có thể bị prompt injection lại còn truy cập được tài nguyên từ xa, thì một khi đã bị chọc thủng, môi trường đó về cơ bản là mở toang cửa từ bên trong
      Tôi muốn biết liệu mình có đang nghĩ sai ở đâu không

    • Nghe nói an toàn vì có thể rollback bằng git làm tôi nghĩ chắc John Connor cũng có thể rollback mã nguồn Skynet để cứu hàng triệu người
      Ừm...

    • Ngay từ đầu, quyền cập nhật/build/chạy mã đã quá mạnh rồi
      Cuối cùng vẫn chỉ nên chạy trong môi trường an toàn như VM mà thôi

  • Chúng ta đã mất hàng chục năm rất vất vả để siết chặt bảo mật ở từng lớp mạng, vậy mà giờ mọi người lại đang mở ra một plain text API cho mọi bí mật và mật khẩu
    Và thật mỉa mai khi trước đây ai cũng chỉ trích Microsoft vì lưu ảnh chụp màn hình, nhưng với các agent kiểu này thì lại khá im lặng

    • Ít nhất thì đây là kiểu opt-in, tôi phải tự cài trình duyệt
      Phía Microsoft thì đang tạo một cơ sở dữ liệu ảnh chụp màn hình gần như mặc định có trên mọi thiết bị Windows (tôi nhớ ban đầu còn là opt-out), nên còn nguy hiểm hơn

    • Tôi cũng thấy thú vị khi một số người dễ dàng giao cho “agent hữu ích” những dữ liệu mà chính họ còn không nói với bạn bè
      Gần đây vợ tôi nhờ ChatGPT sắp lịch uống thuốc, và nó lập ra một kế hoạch hoàn hảo khi xét cả bữa ăn, chế độ ăn, giấc ngủ và tương tác của từng loại thuốc
      Nhờ đó còn phát hiện ra lý do cô ấy uống thuốc sai
      Có lẽ vì giọng điệu thân thiện của những agent như vậy, nên dù việc rò rỉ thông tin này ngoài đời là vấn đề nghiêm trọng, rất nhiều người vẫn giao dữ liệu đi mà không nghĩ nhiều

    • So sánh vụ ảnh chụp màn hình của Microsoft với chuyện này có thể làm lệch trọng tâm của vấn đề

  • Việc LLM đọc dữ liệu thông qua một công cụ rốt cuộc là một hành vi ghi nội dung đó vào context window của LLM
    Nếu phạm vi của công cụ cho phép untrusted arbitrary source, thì ngay khoảnh khắc đó cũng đồng nghĩa với việc bạn đã trao quyền ghi từ bên ngoài
    Chỉ riêng điều này thôi cũng đã đủ tạo ra khả năng rò rỉ dữ liệu
    Nếu ngoài ra còn phát sinh quyền ghi vào hệ thống khác hay thêm các tác động phụ nữa, thì mức độ nguy hiểm sẽ tăng theo cấp số nhân

  • Nghe như hài kịch, nhưng đồng thời cũng rất cay đắng vì đây chính là thực trạng hiện nay của ngành IT và cơn sốt LLM

  • Tôi đoán Comet có lẽ gần như không có biện pháp bảo vệ nào ngoài một ít chỉ thị đã được tinh chỉnh
    Điều tôi rút ra gần đây ở USENIX Security là chẳng ai thực sự biết cách xử lý prompt injection kiểu multi-turn/agentic cho ra hồn cả

    • Có lẽ nên tiếp cận bằng cách coi chính prompt giống như chuỗi SQL, và mọi đầu vào động từ người dùng đến từ bên ngoài đều phải được sanitize vô điều kiện

  • Những thay đổi do AI mang lại thực sự rất thú vị, và nhìn thấy các thử nghiệm mới liên tục xuất hiện cũng khiến tôi kỳ vọng nhiều

  • Tôi muốn thành thật thừa nhận cảm giác bối rối của mình
    Tôi còn mới chỉ vừa quen được với online banking thông thường, và cũng là kiểu người từ chối cài app của mọi nhà cung cấp
    Vậy nên chuyện đưa một thực thể phi quyết định luận như LLM vào máy tính rồi giao cả việc tài chính cho nó thì tôi thật sự không thể hình dung nổi
    Dạo này ngay cả chuyện để LLM thay mình mua hàng hay thanh toán, dù thực tế là có tồn tại, tôi vẫn thấy về mặt lý thuyết thì hiểu được nhưng theo trực giác đời thường thì gần như là điên rồ
    Lý do không hẳn vì giao tài chính cho một hệ thống phản hồi theo prompt ngẫu nhiên hay cho người không chuyên là nguy hiểm, mà là vì từ góc nhìn khách hàng, bạn đang từ bỏ một lượng cực lớn quyền tự chủ và quyền hạn, trong khi kết quả nhận lại rốt cuộc là gì thì tôi không chắc
    Tôi cũng thích LLM, và trình duyệt LLM chắc chắn cũng có những trường hợp hữu ích
    Chỉ là tôi không nghĩ đó là thứ phù hợp để đại chúng sử dụng
    Thậm chí có thể cân nhắc cách buộc người dùng phải tự biết mình đang đưa vào cái gì thông qua một bước biên dịch chẳng hạn

    • Đúng vậy, việc bị lẫn lộn là điều bình thường
      Tình huống hiện tại không phải là AI trực tiếp thanh toán thay bằng thông tin tài khoản, mà là những trường hợp như công khai đăng thông tin tài khoản cho AI
      Nó khác với ý nghĩa AI tự mình xử lý nghiệp vụ tài chính

  • Tôi tự hỏi liệu các công ty AI sắp tới có thực sự sẵn sàng gánh nghĩa vụ ủy thác (fudiciary liability) hay không

  • Tôi đã thử Comet agent trong 5 phút
    Tôi chỉ đưa đúng một câu “mua cho tôi một cây guitar trên Amazon” (không hề nêu loại guitar, ngân sách, thương hiệu, v.v.), và kết quả là nó cho 3 cây guitar acoustic giá rẻ, thương hiệu tôi còn chẳng biết, vào giỏ hàng của tôi
    May là nó chưa đi đến bước thanh toán
    Với tôi như vậy là đủ để đánh giá, và tôi kết luận nó không có nhiều giá trị

    • Tôi từng nghe nói AI yếu trong việc đếm số, nhưng không ngờ đến cả số 2 mà nó cũng đếm tệ đến vậy