Sự xuất hiện của các trình duyệt web tích hợp AI như ChatGPT Atlas của OpenAI hay Comet của Perplexity đang định hình lại cách hàng tỷ người dùng tương tác với internet, với tham vọng thay thế Google Chrome. Điểm nhấn chính của những sản phẩm này là các tác nhân AI trình duyệt (web browsing AI agents), hứa hẹn hoàn thành các tác vụ thay mặt người dùng bằng cách tự động nhấp chuột trên các trang web và điền biểu mẫu. Tuy nhiên, đằng sau sự tiện lợi này là những rủi ro lớn đối với quyền riêng tư mà nhiều người tiêu dùng có thể chưa nhận thức đầy đủ, một vấn đề mà toàn bộ ngành công nghệ đang phải vật lộn tìm lời giải.
Các chuyên gia an ninh mạng nhận định rằng tác nhân AI trình duyệt tiềm ẩn nguy cơ lớn hơn đối với quyền riêng tư so với các trình duyệt truyền thống. Để hoạt động hiệu quả nhất, các trình duyệt AI như Comet và ChatGPT Atlas yêu cầu quyền truy cập đáng kể, bao gồm khả năng xem và thực hiện hành động trong email, lịch và danh bạ của người dùng. Mặc dù những tác nhân AI này hứa hẹn thực hiện các tác vụ như nhấp chuột hay điền biểu mẫu, thực tế cho thấy chúng chỉ hiệu quả vừa phải với các công việc đơn giản khi được cấp quyền truy cập rộng rãi. Với những tác vụ phức tạp hơn, chúng thường gặp khó khăn và mất nhiều thời gian, đôi khi mang lại cảm giác như một màn trình diễn thú vị hơn là công cụ tăng năng suất thực sự.
Mối lo ngại lớn nhất liên quan đến các tác nhân AI trình duyệt là các cuộc tấn công tiêm nhiễm lời nhắc (prompt injection attacks). Đây là lỗ hổng mà kẻ xấu có thể ẩn các chỉ dẫn độc hại trên một trang web. Khi tác nhân AI phân tích trang đó, nó có thể bị đánh lừa để thực thi các lệnh từ kẻ tấn công. Nếu không có đủ biện pháp bảo vệ, những cuộc tấn công này có thể khiến tác nhân trình duyệt vô tình làm lộ dữ liệu người dùng, chẳng hạn như email hoặc thông tin đăng nhập, hoặc thực hiện các hành động độc hại thay mặt người dùng, ví dụ như mua sắm không mong muốn hoặc đăng bài trên mạng xã hội.
Cuộc tấn công tiêm nhiễm lời nhắc là một hiện tượng mới nổi cùng với sự phát triển của các tác nhân AI trong những năm gần đây, và hiện chưa có giải pháp rõ ràng nào để ngăn chặn hoàn toàn. Brave, một công ty trình duyệt tập trung vào quyền riêng tư và bảo mật, đã công bố nghiên cứu cho thấy các cuộc tấn công tiêm nhiễm lời nhắc gián tiếp là một “thách thức mang tính hệ thống” đối với toàn bộ danh mục trình duyệt hỗ trợ AI. Ngay cả OpenAI và Perplexity cũng đã thừa nhận vấn đề này, với CISO của OpenAI mô tả tiêm nhiễm lời nhắc là một “vấn đề bảo mật chưa được giải quyết”, và nhóm bảo mật của Perplexity cho rằng nó “đòi hỏi phải suy nghĩ lại về bảo mật từ gốc rễ”.
OpenAI và Perplexity đã đưa ra một số biện pháp bảo vệ, như chế độ “đăng xuất” của OpenAI để hạn chế quyền truy cập của tác nhân, hoặc hệ thống phát hiện tấn công theo thời gian thực của Perplexity. Tuy nhiên, các nhà nghiên cứu an ninh mạng cho rằng những nỗ lực này không đảm bảo các tác nhân trình duyệt AI hoàn toàn miễn nhiễm với kẻ tấn công. Steve Grobman, CTO của McAfee, giải thích rằng các mô hình ngôn ngữ lớn thường gặp khó khăn trong việc phân biệt nguồn gốc của các chỉ dẫn, tạo ra một sự tách biệt lỏng lẻo giữa các lệnh cốt lõi của mô hình và dữ liệu mà nó đang tiêu thụ. Ban đầu, các kỹ thuật tiêm nhiễm lời nhắc thường sử dụng văn bản ẩn trên trang web, nhưng giờ đây chúng đã tinh vi hơn, thậm chí dựa vào hình ảnh chứa dữ liệu mã hóa để đưa ra chỉ dẫn độc hại. Điều này tạo ra một cuộc chiến “mèo vờn chuột” không ngừng giữa kẻ tấn công và các nhà phát triển.
Để tự bảo vệ, người dùng nên sử dụng mật khẩu duy nhất và xác thực đa yếu tố cho các tài khoản trình duyệt AI. Quan trọng hơn, hãy cân nhắc hạn chế quyền truy cập của các phiên bản AI trình duyệt ban đầu này, đặc biệt là tách biệt chúng khỏi các tài khoản nhạy cảm như ngân hàng, y tế hay thông tin cá nhân. Việc chờ đợi đến khi các công cụ này trưởng thành hơn về mặt bảo mật trước khi cấp quyền kiểm soát rộng rãi sẽ là một quyết định khôn ngoan để đảm bảo an toàn dữ liệu cá nhân trong kỷ nguyên AI.
