Lời mời trên lịch và tích hợp Gmail của ChatGPT: mẫu tấn công
Ngày 12 tháng 9 năm 2025, nhà nghiên cứu bảo mật Eito Miyamura đã trình diễn một khai thác mà, có thể nói, là trường hợp đầu tiên nhưng chắc chắn không phải cuối cùng thuộc loại này: một Google Calendar độc hại chèn các chỉ dẫn vào ChatGPT, và khi được kết nối với Gmail, sẽ làm rò rỉ các email riêng tư để đáp lại. Đúng là có những điều kiện tiên quyết cụ thể — bạn phải thiết lập kết nối giữa AI và Gmail, và sử dụng Google Calendar đến mức một lời mời không rõ có thể lọt vào — nhưng các mô thức kiểu này thường tiến hoá theo hướng mở rộng phạm vi tấn công, vì vậy tốt nhất là bạn nên biết chính xác điều gì đang xảy ra và cách tự bảo vệ. Hãy đọc tiếp để biết cả hai nội dung.
Lời mời Google Calendar độc hại: hoạt động thế nào
Vũ khí ở đây được gọi là “tiêm lệnh gián tiếp”. Chúng lợi dụng sự tỉ mỉ của AI bằng cách chèn các chỉ thị độc hại vào dữ liệu bên ngoài mà mô hình xử lý, bao gồm trang web, email, lời mời lịch hoặc tài liệu. Trong trường hợp lời mời Google Calendar và tích hợp ChatGPT với Gmail, AI đã tiếp nhận lời mời như lẽ ra phải làm và bị đánh lừa để tiết lộ email (một khi đã kết nối, nó có quyền truy cập rất nhiều thứ) bởi các lệnh ẩn trong những lời mời đó.
Thuật ngữ “tiêm lệnh” được Simon Willison đặt ra vào năm 2022; nhà nghiên cứu này mô tả cách kẻ xấu có thể đưa chỉ dẫn cho AI theo cách rất giống với các cuộc chèn SQL. “Tiêm lệnh gián tiếp”, như tên gọi, che giấu các lệnh đó dưới một lớp nội dung trông có vẻ an toàn. Thuật ngữ này được ghi công cho Kai Greshake và nhóm NVIDIA, những người đã chuẩn hoá mẫu tấn công và mô tả các chiến lược phòng thủ chống lại nó vào năm 2025.
Làm thế nào để tự bảo vệ trước các cuộc tấn công liên quan đến tiêm lệnh gián tiếp?
Việc cố gắng kiêng dùng trí tuệ nhân tạo hoàn toàn là vô ích: hôm nay bạn có thể tự cô lập như ý, nhưng ngày mai các mô hình ngôn ngữ lớn sẽ được tích hợp vào các dịch vụ từ phía nhà cung cấp và sẽ đơn giản là không có cách nào để bạn ngắt chúng khỏi các tài khoản của mình. Hơn nữa, bạn thậm chí còn không biết rằng có kết nối đó. Vậy, bạn có thể làm gì để rào chắn cho tài sản của mình?
- Cảnh giác. Trước hết, hãy luôn cảnh giác và đừng để bất kỳ thứ gì đáng ngờ lọt vào lịch của bạn hoặc hệ thống nào khác dựa vào AI cho mục đích này hay mục đích khác.
- Trật tự. Giữ mọi thứ gọn gàng. Nếu bạn không thực sự cần ChatGPT để hỗ trợ email, hãy tắt nó. Bạn có thể đã thử tính năng, thậm chí còn thích nó, nhưng nếu không có trường hợp sử dụng thực tế — đừng do dự, và cũng đừng để đó.
- Giới hạn. Ngay cả hiện nay, các tích hợp AI có thể được tuỳ chỉnh để bạn kiểm soát tốt hơn những gì mô hình làm việc cùng và trong những điều kiện nào nó có thể truy cập dữ liệu. Hãy cân nhắc vô hiệu hoá mọi quy trình tự động. Đúng, điều đó sẽ thêm các bước phê duyệt thủ công, nhưng như vậy an toàn hơn.
- Các biện pháp sẵn có. Ví dụ, trong Google Calendar, bạn có thể cấu hình sao cho chỉ cho phép lời mời từ người gửi đã biết. Đây là một biện pháp bảo vệ; hãy sử dụng khi nào có thể.
OpenAI đã thừa nhận vấn đề và đề xuất vô hiệu hoá các connector. Công ty đang làm việc trên các biện pháp phòng thủ trước những cuộc tấn công như vậy, nhưng đây là cuộc chạy đua giữa khiên và gươm, vì thế việc trang bị một bộ giải pháp bảo mật mang tính đón đầu là hợp lý. Tìm một bộ như vậy tại đây:
