Chỉ vài ngày sau khi ra mắt trình duyệt ChatGPT Atlas đầy tham vọng, OpenAI đang công khai vật lộn với một lỗ hổng bảo mật cơ bản mà các chuyên gia cảnh báo có thể ảnh hưởng đến toàn bộ danh mục công cụ web được hỗ trợ bởi AI.
Trong một tuyên bố chi tiết trước công chúng, giám đốc điều hành bảo mật hàng đầu của công ty thừa nhận rằng”tội nhắc nhở”vẫn là một vấn đề chưa được giải quyết, ngay cả khi các nhà nghiên cứu bắt đầu chứng minh các cuộc tấn công trực tiếp nhằm vào trình duyệt mới.
Sau khi trình duyệt ra mắt vào thứ Ba, Giám đốc bảo mật thông tin của OpenAI, Dane Stuckey, đã đến X vào thứ Tư để giải quyết những mối lo ngại ngày càng tăng.
Bài đăng của anh ấy đã trực tiếp đối mặt với nguy cơ bị tiêm nhắc gián tiếp, trong đó Các hướng dẫn độc hại ẩn trên các trang web có thể lừa tác nhân AI của trình duyệt thực hiện các hành động ngoài ý muốn và có khả năng gây hại.
Thừa nhận lỗ hổng này, Stuckey giải thích rằng mục tiêu lâu dài của công ty là làm cho tác nhân AI trở nên đáng tin cậy như một đồng nghiệp có nhận thức về bảo mật.
Tuy nhiên, ông thừa nhận rằng công nghệ này vẫn chưa có. “…việc tiêm nhắc nhanh vẫn là một vấn đề bảo mật chưa được giải quyết, và các đối thủ của chúng ta sẽ dành thời gian và nguồn lực đáng kể để tìm cách khiến tác nhân ChatGPT rơi vào các cuộc tấn công này.”
Sự thừa nhận này được nhiều người trong cộng đồng bảo mật coi là sự thừa nhận thẳng thắn và cần thiết về những rủi ro vốn có trong làn sóng tác nhân AI mới.
Một’Vấn đề bảo mật chưa được giải quyết’
Việc chèn nhắc nhở không phải là một vấn đề mới hay riêng lẻ. Winbuzzer trước đây đã báo cáo về các lỗ hổng tương tự, chẳng hạn như lỗ hổng nhắc nhở gián tiếp được phát hiện trong trình duyệt Comet của Perplexity vào đầu năm nay.
Một báo cáo từ nhóm bảo mật của Brave đã mô tả lỗ hổng này là một thách thức mang tính hệ thống mà tất cả các trình duyệt hỗ trợ AI phải đối mặt. “…chèn nhắc nhở gián tiếp không phải là vấn đề riêng lẻ mà là một thách thức mang tính hệ thống mà toàn bộ danh mục trình duyệt hỗ trợ AI phải đối mặt.” Mối nguy hiểm cốt lõi nằm ở chỗ tác nhân AI không có khả năng phân biệt giữa hướng dẫn của người dùng và các lệnh độc hại được nhúng trong nội dung mà nó xử lý.
Điều này có thể biến AI thành một “cấp phó bối rối”, một vấn đề nan giải về an ninh mạng cổ điển trong đó một chương trình có thẩm quyền bị lừa sử dụng sai mục đích.
Ví dụ: chỉ vài giờ sau khi Atlas ra mắt, một nhà nghiên cứu đã trình diễn một loại “Tiêm Clipboard” mới lạ. tấn công, trong đó mã ẩn trên trang web có thể thay đổi một cách độc hại bảng ghi tạm của người dùng khi tác nhân AI nhấp vào nút, thiết lập để người dùng sau đó dán một lệnh độc hại mà họ không biết.
Đối với các nhà nghiên cứu bảo mật, việc ra mắt trình duyệt mang lại cơ hội ngay lập tức để kiểm tra khả năng phòng thủ của nó trước các cuộc tấn công trong thế giới thực.
Một số người đã nhanh chóng xuất bản các bản trình diễn cho thấy cách họ có thể khiến Atlas làm theo các hướng dẫn độc hại được nhúng trong Google Tài liệu hoặc trên các trang web.
Điều này cho thấy nguy cơ cao trong cái mà một số người gọi là cuộc chiến trình duyệt thứ hai, một cuộc xung đột diễn ra không phải về tính năng mà về trí thông minh và quyền tự chủ, với các đối thủ cạnh tranh như Perplexity’s Comet đã có mặt trên thị trường.
Phòng thủ của OpenAI:’Chế độ theo dõi’và các rào cản khác
Mặc dù tính minh bạch của OpenAI là một bước đi đáng hoan nghênh, nhưng các chuyên gia cảnh báo rằng”phòng thủ theo chiều sâu”thường không đủ để ngăn chặn những đối thủ kiên quyết.
Stukey đã trình bày chi tiết một số biện pháp an toàn chồng chéo được tích hợp trong Atlas để giảm thiểu những điều này rủi ro. Một trong những biện pháp bảo vệ chính là tính năng có tên “Chế độ đăng xuất”, cho phép nhân viên duyệt và hành động thay mặt người dùng mà không cần truy cập vào thông tin xác thực của họ cho các phiên đăng nhập.
Hôm qua, chúng tôi đã ra mắt ChatGPT Atlas, trình duyệt web mới của chúng tôi. Trong Atlas, đại lý ChatGPT có thể hoàn thành công việc cho bạn. Chúng tôi rất vui khi biết tính năng này giúp công việc và cuộc sống hàng ngày hiệu quả hơn cho mọi người như thế nào.
Tác nhân ChatGPT mạnh mẽ và hữu ích, đồng thời được thiết kế để…
— DANΞ (@cryps1s) Ngày 22 tháng 10 năm 2025
Chuyên gia AI Simon Willison gọi đây là mẫu”rất thông minh”và đã được thử nghiệm để tạo các tương tác AI trong hộp cát.
Tuy nhiên,”Chế độ đăng nhập”mạnh mẽ hơn chính là nơi rủi ro gia tăng. Đối với các tình huống yêu cầu quyền truy cập được xác thực, OpenAI đã triển khai một biện pháp bảo vệ khác:
“Khi tác nhân hoạt động trên các trang web nhạy cảm, chúng tôi cũng đã triển khai’Chế độ xem’để cảnh báo cho bạn… và yêu cầu bạn kích hoạt tab để xem tác nhân thực hiện công việc của mình.”
Tính năng này được thiết kế để giúp người dùng luôn cập nhật khi tác nhân đang tương tác với thông tin có thể nhạy cảm. Tuy nhiên, công ty chưa cung cấp định nghĩa kỹ thuật rõ ràng về những gì tạo nên một”trang web nhạy cảm”.
Một ghi chú trong tài liệu chính thức của trung tâm trợ giúp rằng các tính năng như tóm tắt trang bị chặn trên”một số trang web nhạy cảm nhất định (như trang web người lớn)”nhưng cung cấp thêm một chút chi tiết. Sự mơ hồ này là một mối lo ngại lớn.
Willison lưu ý rằng trong thử nghiệm của mình, chế độ này không kích hoạt trên các trang web như GitHub hoặc ngân hàng trực tuyến của anh ấy, kết luận rằng việc giao các quyết định bảo mật cho người dùng cuối là một”gánh nặng không công bằng”.
Cộng đồng bảo mật phản hồi bằng sự hoài nghi và các bản demo trực tiếp
Phản ứng từ cộng đồng bảo mật là nhiều lời khen ngợi dành cho Sự thẳng thắn và thái độ hoài nghi sâu sắc của OpenAI đối với các giải pháp được đề xuất.
Nhà nghiên cứu bảo mật AI Johann Rehberger, người đã ghi lại nhiều cuộc tấn công tiêm nhiễm nhanh chóng, đã tuyên bố rằng mối đe dọa lan rộng.
“Ở mức độ cao, tính năng tiêm nhắc nhanh vẫn là một trong những mối đe dọa mới nổi hàng đầu trong bảo mật AI… mối đe dọa này không có biện pháp giảm thiểu hoàn hảo – giống như các cuộc tấn công kỹ thuật xã hội chống lại con người.”
Willison lặp lại quan điểm này, cho rằng các biện pháp bảo vệ thường không đủ để chống lại những kẻ tấn công có động cơ. Tôi
Anh ấy cảnh báo rằng trong bảo mật ứng dụng, gần như hoàn hảo là chưa đủ.
“Như tôi đã viết trước đây, trong bảo mật ứng dụng, 99% là điểm kém. Nếu có cách nào đó để vượt qua các rào cản… một kẻ tấn công đối thủ có động cơ sẽ tìm ra điều đó.”
Sự ra mắt của Atlas đã có tác động hữu hình đến thị trường, nêu bật những lợi ích cao trong trình duyệt được đổi mới chiến tranh. Sau thông báo này, cổ phiếu của Alphabet ban đầu giảm 3%, mất khoảng 18 tỷ USD giá trị thị trường trước khi phục hồi.
Tuy nhiên, các nhà phân tích như Gene Munster của Deepwater Asset Management lập luận rằng Atlas không phải là trải nghiệm”tốt hơn gấp 10 lần”và Google có thể dễ dàng sao chép các tính năng của nó, khiến trình duyệt mới khó giành được thị phần đáng kể.
Cuối cùng, OpenAI nhận thấy mình đang phải đối mặt với một khó khăn, chiến tranh hai mặt trận. Một mặt, nó phải cung cấp một sản phẩm hấp dẫn đến mức có thể phá vỡ sự kìm kẹp của Google đối với thói quen của người dùng.
Mặt khác, nó phải tiên phong về bảo mật cho một mô hình điện toán mới đầy rẫy những rủi ro chưa từng có. Khi công ty nỗ lực xây dựng niềm tin của người dùng, cộng đồng bảo mật rộng lớn hơn sẽ theo dõi và thử nghiệm từng bước trong quá trình thực hiện.
