Lỗ hổng trong trợ lý ảo Gemini cho phép tấn công qua thông báo tin nhắn

Các nhà nghiên cứu tại SafeBreach đã phát hiện một lỗ hổng nghiêm trọng trong trợ lý giọng nói Gemini của Google, có thể cho phép kẻ tấn công chiếm quyền kiểm soát AI này bằng cách sử dụng các cuộc tấn công chèn lệnh (prompt injection) gián tiếp được gửi qua thông báo tin nhắn thông thường.

Gemini Voice Assistant

Trước đây, công ty an ninh mạng này từng phát hiện một cuộc tấn công qua lời mời lịch nhắm vào Gemini và Google Workspace, mà kẻ tấn công có thể sử dụng để thực hiện spam và lừa đảo (phishing), xóa sự kiện lịch, tìm hiểu vị trí của nạn nhân, điều khiển từ xa các thiết bị gia dụng và đánh cắp email.

Tiếp nối nghiên cứu đó, SafeBreach đã phát hiện ra một loại hình tấn công mới được đặt tên là Fake Context Alignment (Căn chỉnh ngữ cảnh giả mạo).

Vấn đề này đã được thông báo cho Google vào tháng 8 năm 2025 và được khắc phục vào giữa tháng 11 năm 2025 thông qua việc cải thiện bộ phân loại nội dung. Tuy nhiên, công ty an ninh mạng đã công bố chi tiết về vấn đề này vào tuần này nhằm nâng cao nhận thức về các rủi ro dai dẳng của các cuộc tấn công chèn lệnh và khuyến khích các biện pháp phòng thủ mạnh mẽ hơn against sự thao túng ngữ cảnh.

Cơ chế hoạt động của cuộc tấn công

Cuộc tấn công Fake Context Alignment hoạt động bằng cách khai thác các thông báo từ các ứng dụng phổ biến như WhatsApp, Slack và SMS. Chúng âm thầm chèn các lệnh độc hại vào bối cảnh trò chuyện của Gemini mà không người dùng biết.

Các nhà nghiên cứu đã chứng minh các kỹ thuật như nhúng các lệnh ẩn trong ngoại ngữ hoặc trong các siêu liên kết bị tắt tiếng mà trợ lý ảo sẽ xử lý nhưng không đọc to khi người dùng yêu cầu nó đọc thông báo tin nhắn, hiệu quả vượt qua các biện pháp bảo mật của Google.

Lỗ hổng này đặc biệt đáng lo ngại trong các tình huống rảnh tay, chẳng hạn như lái xe, nơi người dùng phụ thuộc nhiều vào các tương tác giọng nói với Gemini.

Phương pháp này cho phép kẻ tấn công kích hoạt các hành động nguy hiểm, bao gồm:

• Điều khiển thiết bị nhà thông minh qua Google Home.
• Khởi động các cuộc gọi video trên Zoom.
• Soạn thảo các tin nhắn lừa đảo có vẻ như đến từ các liên hệ tin cậy.
• Thậm chí thiết lập quyền kiểm soát liên tục bằng cách gây ô nhiễm bộ nhớ dài hạn của trợ lý AI.

Nhận thức của chuyên gia

"Nghiên cứu này chứng minh rằng khi các trợ lý được hỗ trợ bởi Mô hình Ngôn ngữ Lớn (LLM) tích hợp sâu hơn vào thiết bị và cuộc sống hàng ngày của chúng ta, bề mặt tấn công mở rộng theo cấp số nhân. Các cuộc tấn công dựa trên thông báo chứng minh rằng các cuộc chèn lệnh gián tiếp có thể được thực hiện một cách đáng tin cậy thông qua các kênh liên lạc hàng ngày rất đáng tin cậy," SafeBreach cho biết trong một bài đăng trên blog.

Công ty thêm rằng: "Các tổ chức và nhà cung cấp phải vượt ra ngoài các biện pháp giảm thiểu cục bộ và suy nghĩ lại cách các hệ thống AI phân tích niềm tin, ngữ cảnh và quyền hạn đa kênh để đảm bảo an toàn cho người dùng."

SafeBreach đã công bố các video cho thấy các cuộc tấn công Zoom và Google Home đang diễn ra thực tế.