Tính năng thay đổi mật khẩu tự động của Apple: Tiện ích hay rủi ro bảo mật?

Tại WWDC26, Apple đã công bố một tính năng nghe có vẻ cực kỳ hữu ích nhưng cũng hơi đáng sợ. Trong iOS 27, iPadOS 27 và macOS 27, ứng dụng Mật khẩu (Passwords) sẽ có khả năng sử dụng Apple Intelligence và Safari để tự động thay đổi các mật khẩu website yếu hoặc bị xâm phạm.

Thay vì chỉ cảnh báo người dùng rằng một mật khẩu cũ đã bị rò rỉ và yêu cầu họ tự khắc phục, tính năng mới này của Apple sẽ đóng vai trò như một tác nhân (agent): điều hướng website, đăng nhập, thay thế mật khẩu bằng một chuỗi mạnh mới, lưu lại và hiển thị tiến trình dưới dạng Live Activity.

Apple Intelligence và tính năng bảo mật

Giải quyết vấn đề bảo mật thực tế

Đây là giải pháp cho một vấn đề bảo mật rất thực tế. Con người thường phớt lờ các cảnh báo về mật khẩu bị xâm phạm. Họ trì hoãn việc thay đổi vì quá phiền phức, website giấu các cài đặt quá sâu, tài khoản yêu cầu thêm bước xác minh, hoặc đơn giản là họ có quá nhiều cảnh báo đang chờ xử lý. Một cảnh báo không dẫn đến hành động thì không có giá trị kiểm soát nào cả.

Nếu ứng dụng Mật khẩu phát hiện thông tin xác thực bị xâm phạm, tạo ra một thay thế mạnh và duy nhất, cập nhật lên website và lưu thông tin mới một cách chính xác, điều đó có thể giảm thiểu thời gian một mật khẩu bị lộ còn hữu ích đối với kẻ tấn công. Nó cũng giúp người dùng thông thường đạt được lợi ích bảo mật của các mật khẩu duy nhất mà không phải vật lộn với cài đặt tài khoản của từng trang web.

Ranh giới giữa phát hiện và quyền hạn

Tuy nhiên, có một ranh giới quan trọng giữa việc phát hiện một mật khẩu rủi ro và việc thay đổi thông tin xác thực kiểm soát tài khoản của ai đó. Phát hiện là quan sát, còn thay đổi mật khẩu là quyền lực.

Câu hỏi không phải là AI có thể tìm thấy nút thay đổi mật khẩu hay không, mà là chúng ta nên giao cho nó bao nhiêu quyền lực sau khi tìm thấy nó. Tính năng này vẫn đang trong giai đoạn beta dành cho nhà phát triển, và kiến trúc bảo mật chi tiết vẫn chưa được công bố đầy đủ. Điều này đặt ra nhiều câu hỏi lớn mà các chuyên gia bảo mật cần đặt ra trước khi tính năng này trở thành phổ biến vào mùa thu năm nay.

Rủi ro từ Prompt Injection và nội dung web độc hại

Một trong những rủi ro lớn nhất là "prompt injection" (tiêm lệnh). Các tác nhân trình duyệt phải đọc website để hiểu nội dung và quyết định hành động tiếp theo. Nhưng website không phải là giao diện trung tính; chúng chứa văn bản, tập lệnh, quảng cáo và nội dung do bên thứ ba kiểm soát.

Nghiên cứu của Anthropic chỉ ra rằng mọi trang web mà tác nhân truy cập đều là một vector tấn công tiềm năng. Nếu tác nhân đang nắm quyền thay đổi mật khẩu mà đọc phải một trang web bị xâm phạm hoặc quảng cáo độc hại chứa các lệnh ẩn, kẻ tấn công có thể lừa AI thực hiện các hành động như gửi thông tin đăng nhập đi nơi khác, tắt MFA hoặc thay đổi email khôi phục.

Mô hình AI không nên nhìn thấy mật khẩu

Một câu hỏi kiến trúc quan trọng hơn cả là: Mô hình AI có bao giờ nhận được mật khẩu hiện tại hoặc mật khẩu mới được tạo ra trong ngữ cảnh của nó không?

Câu trả lời an toàn nhất là không. Mô hình có thể cần nhận diện rằng trang chứa các trường nhập liệu mật khẩu, nhưng không cần biết bí mật thực sự bên trong đó. Một dịch vụ xử lý thông tin xác thực riêng biệt và được kiểm soát chặt chẽ nên thực hiện thao tác điền mật khẩu chỉ sau khi xác minh nguồn gốc website và hành động được phê duyệt.

Sự tách biệt này rất quan trọng vì bất kỳ thứ gì được đưa vào ngữ cảnh mô hình đều trở thành một phần của bề mặt tấn công lớn hơn liên quan đến nhật ký, bộ nhớ và telemetry.

Nguy cơ bị khóa tài khoản

Ngoài các rủi ro kỹ thuật cao cấp, còn có một rủi ro thực tế hơn: tác nhân thay đổi mật khẩu thành công trên website nhưng thất bại trong việc lưu thông tin xác thực mới một cách chính xác.

Khi đó, mật khẩu cũ không còn hoạt động, mật khẩu mới người dùng không biết, và ứng dụng Mật khẩu có thể không có bản sao sử dụng được. Điều này có thể xảy ra vì nhiều lý do nhàm chán: trang web chấp nhận thay đổi nhưng trả về trang xác nhận bất ngờ, lỗi mạng sau khi trang cam kết mật khẩu mới, hoặc mật khẩu bị lưu dưới sai tài khoản.

Trước khi tin tưởng vào việc thay đổi mật khẩu tự động, chúng ta cần biết Apple xác minh thành công như thế nào, bảo vệ thông tin xác thực mới trước khi gửi như thế nào và giúp người dùng khôi phục khi website và kho lưu trữ mâu thuẫn.

Yêu cầu cần thiết trước khi tin tưởng

Mục tiêu của tính năng này rất đáng khích lệ, nhưng tôi chưa sẵn sàng tin tưởng vào việc triển khai chỉ vì nó đến từ Apple. Trước khi phát hành chính thức, đây là những điều khiển cần thiết:

1. Thông tin xác thực được cô lập khỏi mô hình: AI không bao giờ nên nhận mật khẩu dạng văn bản thuần trong ngữ cảnh, nhật ký hoặc bộ nhớ của nó.
2. Hành động được giới hạn chặt chẽ: Tác nhân chỉ có thể thay đổi mật khẩu và không được sửa đổi MFA, phương thức khôi phục hay quyền hạn tài khoản.
3. Người dùng phê duyệt cam kết: Người dùng nên chọn tài khoản và phê duyệt thay đổi mật khẩu cuối cùng bằng Face ID hoặc Touch ID.
4. Nội dung độc hại không thể mở rộng quyền hạn: Văn bản hoặc tập lệnh trên website không thể thuyết phục tác nhân tiết lộ bí mật hoặc điều hướng đến nguồn gốc không liên quan.
5. Xử lý lỗi bảo vệ quyền truy cập: Apple nên xác minh mật khẩu mới hoạt động và được lưu trữ an toàn, tránh các vòng lặp thử lại gây khóa tài khoản.

Apple có thể đã xây dựng một tính năng cải thiện đáng kể bảo mật mật khẩu cho hàng triệu người. Nhưng sự tiện lợi không làm giảm đi tính nhạy cảm của hành động. Một tác nhân AI hoạt động trong Safari vẫn đang xử lý các website không đáng tin cậy. Khi AI có thể thay đổi chìa khóa tài khoản của bạn, việc "thường xuyên làm đúng" không còn là một mô hình bảo mật đủ tốt nữa.