Tiêu dùng
Lỗ hổng Gemini có thể xâm phạm dữ liệu người dùng: Những điều người mua sắm cần biết
Anh Sơn - Chủ Nhật, 05/10/2025 8:00 CH
Vietnet24h - Nghiên cứu gần đây đã thu hút sự chú ý đến các lỗ hổng nghiêm trọng trong bộ công cụ AI Gemini của Google, làm dấy lên cảnh báo về các hành vi thao túng tiềm ẩn có thể cho phép kẻ tấn công trích xuất thông tin nhạy cảm của người dùng mà không bị phát hiện.
Giải mã các lỗ hổng
Trong số các tính năng nguy hiểm bị ảnh hưởng có Gemini Cloud Assist, Gemini Search Personalisation Model và Gemini Browsing Tool. Theo Tenable Research, đơn vị đã tiết lộ các lỗ hổng này, Google đã khắc phục sự cố, đảm bảo người dùng cuối không cần thực hiện bất kỳ hành động nào.
 
Mối lo ngại đầu tiên nằm trong khuôn khổ Gemini Cloud Assist, nơi kẻ tấn công có thể khai thác hệ thống bằng cách chèn các mục nhật ký bị nhiễm độc, sau đó có thể được hiểu là các lệnh hợp lệ. Lỗ hổng này tạo cơ hội cho các tác nhân độc hại thao túng phản hồi của Gemini hoặc truy cập trái phép vào tài nguyên đám mây.
 
Chuyển sang Gemini Search Personalisation Model, kẻ tấn công có khả năng thao túng lịch sử tìm kiếm Chrome của người dùng, khiến Gemini chấp nhận các truy vấn bị thao túng này làm dữ liệu đầu vào trung thực. Kết quả là, dữ liệu đã lưu, bao gồm cả thông tin vị trí nhạy cảm, có thể vô tình bị lộ.
 
Lỗ hổng thứ ba, bắt nguồn từ Công cụ Duyệt web Gemini, liên quan đến xu hướng vô tình gửi các yêu cầu ẩn được nhúng thông tin cá nhân đến các máy chủ do kẻ tấn công kiểm soát của công cụ này. Thật là một trò ảo thuật mới của giới công nghệ, phải không?
 
Hiểu về các vectơ Xâm nhập và Thoát khỏi Xâm nhập
Phát hiện của Tenable cho thấy ngay cả những tính năng tầm thường nhất của Gemini cũng có thể trở thành điểm xâm nhập cho kẻ tấn công, một lời nhắc nhở rõ ràng về bản chất kép của các công nghệ tiên tiến. "Gemini phát triển mạnh nhờ việc thu thập ngữ cảnh từ nhật ký, tìm kiếm và hoạt động duyệt web. Tuy nhiên, chính điểm mạnh này có thể trở thành lỗ hổng nếu kẻ tấn công đầu độc các dữ liệu đầu vào đó", Liv Matan, nhà nghiên cứu bảo mật cấp cao tại Tenable, giải thích.
 
Khả năng xâm nhập có thể xảy ra thông qua các phương pháp chèn mã độc nhanh chóng, trong đó nội dung độc hại được tích hợp liền mạch vào bối cảnh hoạt động của Gemini. Các chiến thuật như đầu độc nhật ký - nơi các mục nhập bất chính được đưa vào nhật ký đám mây - cùng với việc thao túng lịch sử tìm kiếm trên Chrome, minh họa cách kẻ tấn công có thể khai thác hệ thống trước khi triển khai chương trình độc hại của chúng.
 
Một khi đã được nhúng, những lời nhắc độc hại này có thể cho phép kẻ tấn công lợi dụng các biện pháp phòng thủ hiện có của Google, sử dụng công cụ duyệt web để trích xuất thông tin một cách bí mật. Mặc dù Google đã triển khai các biện pháp bảo vệ như chuyển hướng liên kết và lọc giảm giá, Tenable cho rằng vẫn còn một số điểm mù chức năng, tạo điều kiện cho việc khai thác.
 
Khuyến nghị Bảo mật dành cho Doanh nghiệp
Đối với các tổ chức tận dụng các hệ thống AI như Gemini, thông điệp rất rõ ràng: hãy coi các ứng dụng được hỗ trợ bởi AI này là mục tiêu chủ động chứ không chỉ là các công cụ chức năng đơn thuần. Các nhóm bảo mật được khuyến khích thực hiện kiểm tra thường xuyên nhật ký, lịch sử tìm kiếm và tích hợp của bên thứ ba để phát hiện bất kỳ dấu hiệu thao túng nào.
 
Việc giám sát các yêu cầu gửi đi bất thường là rất quan trọng, vì những hoạt động như vậy có thể báo hiệu các nỗ lực đánh cắp dữ liệu. Ngoài ra, các doanh nghiệp nên đánh giá khả năng phục hồi của các dịch vụ AI của mình trước các kỹ thuật chèn lời nhắc và áp dụng chiến lược phòng thủ theo từng cấp độ. Cách tiếp cận chủ động này rất cần thiết, vì việc bảo mật AI không chỉ là vá các lỗ hổng mà còn là nhận diện các hướng tấn công đa dạng có thể phát sinh trong bối cảnh kỹ thuật số đang phát triển nhanh chóng này.
Góc hỏi đáp
Những lỗ hổng cụ thể nào đã được phát hiện trong bộ công cụ AI Gemini của Google?
Các lỗ hổng bảo mật bao gồm các vấn đề trong Gemini Cloud Assist, Mô hình Cá nhân hóa Tìm kiếm và Công cụ Duyệt web, cho phép chèn các mục nhật ký độc hại và thao túng dữ liệu người dùng.
 
Doanh nghiệp có thể bảo vệ chống lại những lỗ hổng bảo mật này như thế nào?
Các công ty nên coi các tính năng AI là bề mặt tấn công chủ động bằng cách thường xuyên kiểm tra nhật ký và lịch sử tìm kiếm, theo dõi các yêu cầu gửi đi bất thường và kiểm tra khả năng phục hồi của chúng trước các cuộc tấn công tức thời.
 
Việc coi hệ thống AI là các vectơ tấn công tiềm ẩn có ý nghĩa gì?
Việc nhận diện hệ thống AI là mục tiêu tiềm ẩn đảm bảo rằng các tổ chức áp dụng chiến lược bảo mật chủ động, dự đoán các phương pháp khai thác mới thay vì chỉ ứng phó với các lỗ hổng riêng lẻ.
Google bổ sung Gemini vào Chrome cho tất cả người dùng nhằm thúc đẩy tìm kiếm bằng AI Vietnet24h - Google thông báo rằng Gemini AI dành cho Chrome sẽ được cung cấp rộng rãi cho người dùng tại Hoa Kỳ.
Gemini AI âm thầm mở rộng quyền truy cập: Trợ lý ảo hay công cụ giám sát người dùng? Vietnet24h - Một thay đổi lớn đang âm thầm diễn ra trên hàng triệu thiết bị Android: Gemini AI của Google sắp được quyền truy cập vào các ứng dụng nhạy cảm như Điện thoại, Tin nhắn, WhatsApp bất chấp lựa chọn bảo mật của người dùng. Giữa cơn sốt AI, câu hỏi đặt ra là: liệu chúng ta còn kiểm soát được không gian số của chính mình?
Tin khác cùng chuyên mục
Tin đọc nhiều
Samsung, Google, Qualcomm hợp tác để cạnh tranh với Apple trong cuộc đua XR Vietnet24h - Hôm thứ Tư tuần này (22/10), Samsung Electronics đã ra mắt Dự án Moohan, chiếc kính thực tế mở rộng được mong đợi từ lâu, đánh dấu bước tiến táo bạo của hãng vào cuộc đua công nghệ nhập vai đầy rủi ro mà Vision Pro của Apple đang thống trị.
Lần đầu tiên OpenAI “đánh thẳng” vào Google Chrome: trình duyệt AI mới và cơn sóng đầu tư toàn cầu Vietnet24h - OpenAI vừa chính thức phát hành trình duyệt web trên nền tảng trí tuệ nhân tạo mang tên ChatGPT Atlas — một bước đi rõ ràng nhằm thách thức vị thế thống trị của Google Chrome trong thị trường trình duyệt.
Honda Motor Co., Ltd. tung sản phẩm cắt cỏ “phi người lái” tại Mỹ – bước đột phá trong thiết bị cảnh quan chuyên nghiệp Vietnet24h - Hãng Honda vừa công bố sẽ ra mắt toàn cầu dòng máy cắt cỏ ngồi lái sử dụng pin mang tên ProZision tại triển lãm Equip Exposition 2025 diễn ra từ 21‑24/10/2025 tại Louisville, Kentucky (Mỹ).
Apple thách thức Qualcomm với modem nội bộ trong iPad Pro M5 mới Vietnet24h - Chiếc iPad Pro M5 mới nhất của Apple đã được ra mắt, thể hiện một nâng cấp "chip-and-ship" khá nhỏ nhặt mà hầu hết người dùng có thể bỏ qua.
AI Đang Thay Đổi Cuộc Chơi Tìm Việc: Từ Sơ Yếu Lý Lịch Đến Ảnh Chân Dung Vietnet24h - Công nghệ trí tuệ nhân tạo (AI) đang làm thay đổi cách chúng ta tiếp cận thị trường lao động.
Microsoft mang “Copilot + Manus” lên Windows 11, đưa AI vào trung tâm trải nghiệm người dùng Vietnet24h - Microsoft vừa công bố một loạt tính năng AI mới dành cho Windows 11, trong đó nổi bật là việc thử nghiệm “Copilot Manus” — một bước tiến nhằm biến mọi máy tính Windows 11 thành trung tâm AI cá nhân.
Anthropic ra mắt Claude Haiku 4.5, một mô hình AI nhỏ hơn và rẻ hơn Vietnet24h - Anthropic đã công bố Claude Haiku 4.5, một mô hình trí tuệ nhân tạo nhỏ hơn, rẻ hơn và dành cho tất cả người dùng.
Đánh Giá iPhone 17: Lựa Chọn Hoàn Hảo Nhất Của Apple Năm 2025 Vietnet24h - Apple đã chính thức ra mắt dòng iPhone 17 vào ngày 19/9/2025, sau đợt đặt trước từ 12/9, mang đến một thiết bị cân bằng hoàn hảo giữa giá cả và hiệu năng.
Apple sắp mở rộng việc sử dụng modem 5G độc quyền cho dòng iPhone 18: Một sự thay đổi mang tính chiến lược Vietnet24h - Apple được biết đến là hãng sử dụng modem 5G C1X độc quyền của mình trên iPhone Air, trong khi vẫn sử dụng modem Qualcomm cho iPhone 17 và iPhone 17 Pro.
Amazon ra mắt máy bán thuốc theo toa tại các phòng khám One Medical ở Los Angeles Vietnet24h - Amazon đang triển khai các ki-ốt bán thuốc theo toa tại một số phòng khám One Medical ở khu vực Los Angeles.
Google Pixel Watch 4: Kẻ Thay Đổi Cuộc Chơi Trong Ngành Đồng Hồ Thông Minh Vietnet24h - Google Pixel Watch 4 đánh dấu bước đột phá, khắc phục các hạn chế của các phiên bản trước, mang đến trải nghiệm đồng hồ thông minh hoàn chỉnh.
Apple Watch Series 11 Đối Đầu Series 10: Bước Tiến Nhỏ, Hiệu Quả Lớn Vietnet24h - Apple tiếp tục giữ đúng nhịp độ ra mắt thường niên với Apple Watch Series 11, đã trình làng vào tháng 9 vừa qua.
Samsung Galaxy S24 Plus Giảm Sốc 10 Triệu: Flagship Cao Cấp Giá Tầm Trung, Dùng Tốt Đến 2031! Vietnet24h - Hà Nội, ngày 3/10/2025 – Với mức giá giảm từ 27 triệu xuống chỉ còn 16 triệu đồng, Samsung Galaxy S24 Plus đang gây bão tại Việt Nam, trở thành “ngôi sao” flagship giá rẻ, ngang ngửa máy tầm trung nhưng hiệu năng và trải nghiệm vượt xa.
Phong trào toàn cầu bảo vệ trẻ em trực tuyến thúc đẩy làn sóng công nghệ an toàn AI Vietnet24h - Một phong trào toàn cầu nhằm bảo vệ trẻ em an toàn trực tuyến đang ngày càng phát triển, với các quy định mới nghiêm ngặt được đưa ra tại Vương quốc Anh và Hoa Kỳ.
Galaxy Watch8 series trở thành trợ thủ công nghệ mới của các tín đồ biohacking Vietnet24h - Biohacking hay ‘hack tuổi sinh học’ là việc biến dữ liệu sức khỏe cá nhân thành những thay đổi nhỏ mỗi ngày nhằm cải thiện thể chất và kéo dài tuổi thọ.
Apple cân nhắc khôi phục dịch vụ sửa chữa iPad tại cửa hàng vào cuối năm Vietnet24h - Apple đang đẩy mạnh dịch vụ khách hàng bằng cách có thể thay đổi cách thức xử lý việc sửa chữa iPad tại Hoa Kỳ.
Galaxy S26 Pro tỏa sáng trong báo cáo về pin, trong khi S26 Edge gặp nhiều thách thức Vietnet24h - Tin đồn đang lan truyền rằng dòng Galaxy S26 sắp ra mắt có thể sẽ giới thiệu bốn mẫu máy ấn tượng, phá vỡ bộ ba truyền thống.
Chỉ vài phút sau động đất, thế giới đã biết liệu có sóng thần hay không Vietnet24h - Cảnh báo sớm sóng thần từng là điều xa xỉ, nhưng ngày nay các nhà khoa học chỉ mất vài phút để phát tín hiệu giúp hàng triệu người có cơ hội sống sót – nhờ hệ thống quan sát đáy biển, dữ liệu vệ tinh và AI.
Mua Motorola Razr+ (2025) tại Amazon ngay hôm nay với mức giá tốt thứ hai từ trước đến nay Vietnet24h - Motorola Razr+ (2025) đã trở thành tâm điểm chú ý trong thế giới điện thoại thông minh, và hiện tại, nó đang thu hút sự chú ý vì tất cả những lý do chính đáng.
Hơn 1.200 website giả mạo bị phát hiện mỗi ngày: Tội phạm mạng chuyển hướng tấn công người dùng cá nhân Vietnet24h - Số liệu từ các tổ chức giám sát an ninh mạng cho thấy, mỗi ngày có hàng nghìn tên miền giả mạo được đăng ký nhằm mục đích đánh cắp dữ liệu người dùng. Đáng chú ý, các website “nhái” thường sao chép hoàn toàn giao diện của ngân hàng, dịch vụ đặt phòng, trang mua sắm, khiến nạn nhân dễ dàng sập bẫy nếu không kiểm tra kỹ.