Trong khi các nhà phát triển đang chạy đua để triển khai các tác nhân AI có khả năng duyệt internet, tiến hành nghiên cứu, mua sắm trực tuyến và giao dịch tiền điện tử một cách tự động, nghiên cứu mới cho thấy các hệ thống này vẫn rất dễ bị tổn thương trước các cuộc tấn công chèn mã nhanh chóng.
Trong một nghiên cứu mới được công bố hôm thứ Năm, các nhà nghiên cứu từ Đại học Công nghệ Nanyang, ST Engineering, IBM Research và Đại học Illinois Urbana-Champaign đã phát hiện ra rằng không có tác nhân AI nào mà họ thử nghiệm có thể chống lại các cuộc tấn công tiêm mã nhanh chóng một cách nhất quán.
“Các tiêu chuẩn bảo mật hiện hành áp dụng quan điểm tập trung vào tấn công, chú trọng vào tính khả thi về mặt kỹ thuật của việc tiêm mã độc mà bỏ qua sự phân bổ phức tạp của các thiệt hại gây ra,” các nhà nghiên cứu viết. “Tuy nhiên, trên thực tế, rủi ro tiêm mã độc tức thời phụ thuộc vào nạn nhân: một lỗ hổng duy nhất có thể tạo ra hậu quả không đối xứng cho các bên liên quan khác nhau, và cùng một kiểu tấn công có thể thể hiện hiệu quả khác nhau đáng kể tùy thuộc vào đối tượng bị nhắm mục tiêu.”
Tấn công chèn lệnh trực tiếp xảy ra khi kẻ tấn công nhúng các chỉ thị ẩn vào nội dung mà tác nhân AI gặp phải, khiến nó làm theo chỉ thị của kẻ tấn công thay vì của người dùng. Để khắc phục những thiếu sót trong việc đánh giá tác nhân AI hiện có, các nhà nghiên cứu đã phát triển StakeBench, một công cụ đo lường hiệu năng giúp kiểm tra phản ứng của tác nhân AI trước các cuộc tấn công chèn lệnh trực tiếp trong môi trường trực tuyến thực tế.
“Hiện tại, chúng tôi sử dụng StakeBench để xác định các điều kiện mà trong đó lỗ hổng này được khuếch đại hoặc triệt tiêu, tập trung vào [Lỗi chèn lời nhắc gián tiếp] như là kênh liên quan chính đến việc triển khai,” các nhà nghiên cứu viết. “StakeBench thăm dò ba yếu tố như vậy: khoảng cách ngữ nghĩa giữa mục tiêu được chèn và ý định ban đầu của người dùng, tính nhất quán của các tín hiệu môi trường xung quanh và vị trí dọc theo quỹ đạo thực thi của tác nhân mà tại đó điểm chuẩn lần đầu tiên cho nó tiếp xúc với nội dung được chèn.”
Nhóm nghiên cứu đã thực hiện 3.168 mô phỏng tấn công bằng NanoBrowser và BrowserUse với GPT-5 và Gemini 2.5-Flash. Các nhà nghiên cứu nhận thấy các cuộc tấn công chèn mã độc trực tiếp thành công hơn 79% trong tất cả các cấu hình được thử nghiệm, và các cuộc tấn công gián tiếp đạt tỷ lệ thành công từ 41,67% đến 68,16%.
Nghiên cứu này được thực hiện trong bối cảnh các cuộc tấn công bằng phương pháp tiêm thuốc nhanh ngày càng phổ biến và các tác nhân trí tuệ nhân tạo (AI) ngày càng lan rộng.
Vào tháng Hai, các nhà nghiên cứu của Microsoft cảnh báo rằng các chỉ thị ẩn được nhúng trong các liên kết tóm tắt AI có thể ảnh hưởng đến hành vi của chatbot. Vào tháng Tư, Google đã ghi nhận các cuộc tấn công chèn lệnh ẩn trong các trang web nhằm mục đích thao túng các tác nhân AI để làm rò rỉ thông tin đăng nhập hoặc gửi thanh toán. Gần đây hơn, Microsoft đã tiết lộ một lỗ hổng chèn lệnh trong GitHub Action của Anthropic có tên Claude Code, có thể đã làm lộ thông tin đăng nhập của người dùng.
Nghiên cứu cũng xác định được điều mà các nhà nghiên cứu gọi là "ký sinh ngầm", trong đó một tác nhân AI hoàn thành nhiệm vụ của người dùng đồng thời thúc đẩy mục tiêu của kẻ tấn công. Ví dụ, ký sinh ngầm do tấn công chèn thông tin nhắc nhở có thể ảnh hưởng một cách tinh tế đến các đề xuất sản phẩm, hướng người dùng đến một mặt hàng cụ thể mà không có bất kỳ dấu hiệu rõ ràng nào cho thấy hệ thống đã bị xâm phạm.
“Những kết quả này cho thấy rằng bảo mật chống chèn mã độc trong các tác nhân web có thể triển khai không phải là một thuộc tính vô hướng của mô hình xương sống mà là sự phân bổ thiệt hại mà việc hiện thực hóa nó được xác định bởi các bên liên quan bị ảnh hưởng, sự phù hợp về ngữ nghĩa giữa mục tiêu được chèn và nhiệm vụ của người dùng, và bối cảnh kiến trúc mà xương sống được triển khai,” họ viết.
