Tấn công Zero-Click Agentic có thể xóa toàn bộ Google Drive bằng email giả mạo

[T-X]

Một cuộc tấn công trình duyệt mới nhắm vào trình duyệt Comet của Perplexity có khả năng biến một email vô hại thành một hành động phá hoại xóa toàn bộ nội dung Google Drive của người dùng, theo phát hiện của Straiker STAR Labs.

Kỹ thuật Google Drive Wiper không cần nhấp chuột dựa trên việc kết nối trình duyệt với các dịch vụ như Gmail và Google Drive để tự động hóa các tác vụ thường lệ bằng cách cấp cho chúng quyền truy cập để đọc email, cũng như duyệt tệp và thư mục và thực hiện các hành động như di chuyển, đổi tên hoặc xóa nội dung.

Ví dụ, lời nhắc do người dùng vô hại đưa ra có thể trông như thế này: "Vui lòng kiểm tra email của tôi và hoàn thành tất cả các nhiệm vụ tổ chức gần đây của tôi". Điều này sẽ khiến trình duyệt tìm kiếm các thư có liên quan trong hộp thư đến và thực hiện các hành động cần thiết.

"Hành vi này phản ánh hành vi quá mức của các trợ lý được hỗ trợ bởi LLM, trong đó LLM thực hiện các hành động vượt xa yêu cầu rõ ràng của người dùng", nhà nghiên cứu bảo mật Amanda Rousseau cho biết trong một báo cáo chia sẻ với The Hacker News.

Kẻ tấn công có thể lợi dụng hành vi này của trình duyệt để gửi email được thiết kế đặc biệt, nhúng các hướng dẫn bằng ngôn ngữ tự nhiên để sắp xếp Drive của người nhận như một phần của tác vụ dọn dẹp thông thường, xóa các tệp khớp với phần mở rộng nhất định hoặc các tệp không nằm trong bất kỳ thư mục nào và xem xét các thay đổi.

Vì tác nhân hiểu tin nhắn email là hoạt động dọn dẹp thông thường nên nó coi các hướng dẫn là hợp lệ và xóa các tệp của người dùng thực khỏi Google Drive mà không yêu cầu bất kỳ xác nhận nào từ người dùng.

"Kết quả: một trình xóa dữ liệu do trình duyệt điều khiển, di chuyển nội dung quan trọng vào thùng rác trên quy mô lớn, được kích hoạt bởi một yêu cầu ngôn ngữ tự nhiên từ người dùng", Rousseau nói. "Một khi một trình duyệt có quyền truy cập OAuth vào Gmail và Google Drive, các lệnh bị lạm dụng có thể lan truyền nhanh chóng qua các thư mục dùng chung và ổ đĩa nhóm."

Điều đáng chú ý về cuộc tấn công này là nó không dựa vào việc bẻ khóa hay tiêm mã độc ngay lập tức. Thay vào đó, nó đạt được mục tiêu chỉ bằng cách lịch sự, đưa ra các hướng dẫn tuần tự và sử dụng các cụm từ như "chăm sóc", "xử lý việc này" và "làm việc này thay mặt tôi", để chuyển quyền sở hữu sang cho tác nhân.

Nói cách khác, cuộc tấn công này làm nổi bật cách trình tự và giọng điệu có thể thúc đẩy mô hình ngôn ngữ lớn (LLM) tuân thủ các lệnh độc hại mà thậm chí không cần kiểm tra xem từng bước trong số đó có thực sự an toàn hay không.

Để đối phó với những rủi ro do mối đe dọa này gây ra, bạn nên thực hiện các bước để bảo mật không chỉ mô hình mà còn cả tác nhân, các trình kết nối và các hướng dẫn bằng ngôn ngữ tự nhiên mà nó tuân theo.

"Trợ lý trình duyệt biến những lời nhắc nhở hàng ngày thành chuỗi hành động mạnh mẽ trên Gmail và Google Drive", Rousseau nói. "Khi những hành động đó được thúc đẩy bởi nội dung không đáng tin cậy (đặc biệt là email lịch sự, có cấu trúc tốt), các tổ chức sẽ phải đối mặt với nguy cơ bị xóa dữ liệu mà không cần nhấp chuột."

HashJack khai thác các đoạn URL để chèn lệnh gián tiếp. Tiết lộ này được đưa ra sau khi Cato Networks trình diễn một cuộc tấn công khác nhắm vào các trình duyệt được hỗ trợ bởi trí tuệ nhân tạo (AI), ẩn các lời nhắc độc hại sau ký hiệu "#" trong các URL hợp lệ (ví dụ: "www.example[.]com/home#<prompt>") để đánh lừa các tác nhân thực thi chúng. Kỹ thuật này được gọi là HashJack.

Để kích hoạt cuộc tấn công phía máy khách, kẻ tấn công có thể chia sẻ một URL được thiết kế đặc biệt như vậy qua email, mạng xã hội hoặc bằng cách nhúng trực tiếp vào trang web. Khi nạn nhân tải trang và hỏi trình duyệt AI một câu hỏi liên quan, nó sẽ thực thi lời nhắc ẩn.

"HashJack là mã độc đầu tiên được biết đến có thể biến bất kỳ trang web hợp pháp nào thành vũ khí để thao túng trợ lý trình duyệt AI", nhà nghiên cứu bảo mật Vitaly Simonovich cho biết. "Vì đoạn mã độc hại được nhúng trong URL của trang web thực, người dùng cho rằng nội dung an toàn trong khi các lệnh ẩn lại bí mật thao túng trợ lý trình duyệt AI."

Sau khi công bố lỗi một cách có trách nhiệm, Google đã phân loại lỗi này là "sẽ không sửa (hành vi cố ý)" và mức độ nghiêm trọng thấp, trong khi Perplexity và Microsoft đã phát hành bản vá cho các trình duyệt AI tương ứng của họ (Comet v142.0.7444.60 và Edge 142.0.3595.94). Claude cho Chrome và OpenAI Atlas được phát hiện là miễn nhiễm với HashJack.

Điều đáng chú ý là Google không coi việc tạo nội dung vi phạm chính sách và vượt qua rào cản là lỗ hổng bảo mật theo Chương trình khen thưởng lỗ hổng AI (AI VRP).