Các nhà nghiên cứu cảnh báo về một lỗ hổng bảo mật mới có tên ShadowLeak, cho phép tội phạm mạng đánh cắp dữ liệu Gmail thông qua một lệnh ẩn duy nhất, không yêu cầu người dùng nhấp chuột hay tải xuống.
Lỗ hổng này, được phát hiện vào tháng 6 năm 2025 bởi các nhà nghiên cứu tại Radware, cho phép kẻ tấn công nhúng các chỉ dẫn ẩn vào email bằng cách sử dụng văn bản trắng trên nền trắng, phông chữ cực nhỏ hoặc các thủ thuật bố cục CSS. Khi người dùng yêu cầu công cụ Deep Research của ChatGPT phân tích hộp thư Gmail của họ, AI sẽ vô tình thực thi các lệnh của kẻ tấn công. Sau đó, AI sử dụng các công cụ trình duyệt tích hợp để trích xuất dữ liệu nhạy cảm đến một máy chủ bên ngoài, tất cả diễn ra trong môi trường đám mây của OpenAI, ngoài tầm với của các phần mềm diệt virus hay tường lửa doanh nghiệp.
Khác với các cuộc tấn công kiểu prompt-injection trước đây chạy trên thiết bị của người dùng, ShadowLeak diễn ra hoàn toàn trên đám mây, khiến nó vô hình đối với các biện pháp phòng thủ cục bộ. Mối nguy hiểm thực sự nằm ở chỗ bất kỳ kết nối nào cũng có thể bị khai thác tương tự nếu kẻ tấn công che giấu thành công các lệnh trong nội dung được phân tích.
Các chuyên gia khuyên người dùng nên tắt các tích hợp không sử dụng, sử dụng dịch vụ loại bỏ dữ liệu cá nhân, tránh phân tích nội dung không rõ nguồn gốc, theo dõi các bản cập nhật bảo mật, sử dụng phần mềm diệt virus mạnh và áp dụng các lớp bảo vệ đa tầng để tự bảo vệ khỏi các cuộc tấn công tương tự.
Theo tin từ Fox News ngày 18 tháng 10 năm 2025.
