Lỗ hổng nghiêm trọng trong tiện ích ChatGPT cho Google Sheets: Đánh cắp dữ liệu và giả mạo giao diện

Tiện ích mở rộng ChatGPT cho Google Sheets, một công cụ tích hợp trí tuệ nhân tạo vào bảng tính phổ biến, vừa bị phát hiện chứa một lỗ hổng bảo mật nghiêm trọng. Theo báo cáo từ PromptArmor, lỗ hổng này cho phép kẻ tấn công thực hiện đánh cắp dữ liệu (data exfiltration) và các cuộc tấn công lừa đảo (phishing) thông qua kỹ thuật "prompt injection" gián tiếp.

Bảo mật dữ liệu

Mặc dù tiện ích này đã thu hút hơn 185.000 lượt tải xuống chỉ trong chưa đầy một tháng, nhưng nó lại tiềm ẩn rủi ro lớn đối với dữ liệu doanh nghiệp và cá nhân. Điểm đáng lo ngại nhất là cuộc tấn công có thể diễn ra mà không cần sự can thiệp hay phê duyệt của con người, ngay cả khi người dùng đã cấu hình yêu cầu sự chấp thuận thủ công trước khi ChatGPT thực hiện các thay đổi.

Cơ chế tấn công qua Prompt Injection gián tiếp

Vấn đề cốt lõi nằm ở cách tiện ích xử lý dữ liệu không đáng tin cậy. Cuộc tấn công bắt đầu khi người dùng nhập một bộ dữ liệu bên ngoài vào bảng tính của mình. Trong bộ dữ liệu này, kẻ tấn công đã giấu các lệnh độc hại (prompt injection) dưới dạng văn bản màu trắng hoặc các kỹ thuật che giấu khác mà mắt thường khó phát hiện.

Giao diện tấn công

Khi người dùng yêu cầu ChatGPT hỗ trợ tích hợp hoặc xử lý dữ liệu từ bảng tính đã bị nhiễm, mô hình AI sẽ đọc cả các lệnh ẩn này. Sau đó, ChatGPT bị thao túng để chạy một đoạn mã độc hại từ bên ngoài, tận dụng các quyền hạn mà người dùng đã cấp cho tiện ích mở rộng.

Quá trình này diễn ra tự động và có thể vượt qua được cơ chế bảo vệ "Apply edits automatically" (Áp dụng chỉnh sửa tự động). Thậm chí khi người dùng tắt tính năng này để yêu cầu phê duyệt thủ công, đoạn mã độc hại vẫn có thể thực thi và đánh cắp dữ liệu.

Tác động: Rò rỉ dữ liệu diện rộng và Phishing

Khi đoạn mã độc được kích hoạt, nó có thể thực hiện hàng loạt hành vi nguy hiểm:

• Đánh cắp bảng tính: Kịch bản độc hại sẽ trích xuất dữ liệu từ bảng tính hiện tại của người dùng và gửi về máy chủ của kẻ tấn công.
• Lan rộng sang các tài liệu khác: Nếu trong dữ liệu bị đánh cắp chứa các liên kết đến các bảng tính (workbooks) khác trong cùng tài khoản Google, kịch bản sẽ tự động truy cập và tải về cả những tài liệu đó. Trong các thử nghiệm, PromptArmor đã chứng minh khả năng đánh cắp lên đến 12 bảng tính khác nhau chỉ từ một điểm khởi đầu.
• Giao diện lừa đảo (Phishing Overlay): Kẻ tấn công có thể chiếm quyền điều khiển thanh bên (sidebar) của ChatGPT hoặc hiển thị các cửa sổ pop-up giả mạo. Những giao diện này có thể yêu cầu người dùng nhập lại thông tin đăng nhập OpenAI hoặc kết nối lại các dịch vụ bên thứ ba, dẫn đến việc mất tài khoản.

Lừa đảo trực tuyến

Đáng chú ý, việc nhấn nút "Stop" (Dừng) trên thanh công cụ của ChatGPT cũng không thể chặn đứng các đoạn mã độc hại đã bắt đầu thực thi.

Phản hồi từ OpenAI và Khuyến nghị

PromptArmor cho biết họ đã cố gắng liên hệ với OpenAI để tiết lộ lỗ hổng này một cách có trách nhiệm (responsible disclosure). Tuy nhiên, sau nhiều lần theo dõi, họ chỉ nhận được phản hồi tự động và không có bất kỳ hành động khắc phục hay cập nhật tài liệu bảo mật nào từ phía OpenAI. Tài liệu hiện tại của tiện ích tập trung vào giới hạn chức năng thay vì cảnh báo về các rủi ro bảo mật như chạy các đặc quyền script hay khả năng bị thao túng qua prompt injection.

Để bảo vệ dữ liệu, các tổ chức và người dùng nên cân nhắc các biện pháp sau:

• Hạn chế hoặc kiểm soát việc cài đặt tiện ích ChatGPT for Google Sheets trong môi trường làm việc thông qua Google Workspace Settings.
• Thận trọng khi nhập dữ liệu từ các nguồn không rõ nguồn gốc vào các bảng tính quan trọng.
• Kiểm soát quyền truy cập của các tiện ích mở rộng (extensions) đối với dữ liệu nhạy cảm.

Hiện tại, vấn đề này vẫn đang tồn tại, đặt ra câu hỏi lớn về mức độ an toàn khi tích hợp AI trực tiếp vào các công cụ xử lý dữ liệu nhạy cảm mà không có các lớp bảo mật đủ mạnh.