Lỗ hổng Chrome biến AI Gemini thành công cụ gián điệp hoàn hảo cho tin tặc
Lỗ hổng Chrome biến AI Gemini thành công cụ gián điệp

Lỗ hổng Chrome biến AI Gemini thành công cụ gián điệp hoàn hảo cho tin tặc

Ngay cả khi người dùng cẩn thận không cấp quyền camera hay micro cho các trang web lạ, nỗ lực bảo vệ này có thể trở nên vô nghĩa trước một lỗ hổng nghiêm trọng vừa bị phanh phui. Theo đó, tin tặc hoàn toàn có thể mượn AI Gemini để biến trình duyệt Chrome thành một thiết bị theo dõi hoàn hảo, đe dọa nghiêm trọng đến quyền riêng tư và an ninh dữ liệu.

Lỗ hổng bảo mật mức độ cao CVE-2026-0628 gây chấn động

Lỗ hổng bảo mật mức độ cao mang mã CVE-2026-0628 vừa 'dội một gáo nước lạnh' vào xu hướng tích hợp AI lên trình duyệt hiện nay. Điểm yếu này nằm ở bảng điều khiển phụ 'Live in Chrome' - nơi chứa trợ lý ảo Gemini được nhúng trực tiếp vào trình duyệt của Google. Điều này cho thấy rủi ro tiềm ẩn khi các công nghệ AI được tích hợp sâu vào các nền tảng phổ biến như Chrome.

Chiêu trò 'ký sinh' vào Gemini để chiếm quyền điều khiển

Về mặt kỹ thuật, trợ lý Gemini trong Chrome được cấp những đặc quyền quan trọng, bao gồm khả năng đọc nội dung trên màn hình, chụp ảnh, truy cập tệp tin cục bộ và điều khiển cả micro lẫn camera để hỗ trợ người dùng tự động hóa công việc. Tuy nhiên, các nhà nghiên cứu đã phát hiện ra một lỗ hổng cho phép các tiện ích mở rộng có quyền hạn thấp 'ký sinh' và chèn mã độc vào bảng điều khiển của Gemini, từ đó kế thừa toàn bộ sức mạnh của AI này.

Banner rộng Pickt — ứng dụng danh sách mua sắm cộng tác cho Telegram

Hậu quả nghiêm trọng: Tin tặc kiểm soát toàn diện

Hậu quả là tiện ích mở rộng độc hại đó có thể tự do liệt kê các thư mục trong máy nạn nhân, chụp ảnh màn hình các trang web mã hóa HTTPS, tự động bật camera và micro để thu thập hình ảnh, âm thanh mà không hề hiển thị bất kỳ hộp thoại xin phép nào. Thậm chí, nó có thể biến giao diện đáng tin cậy của Gemini thành một cái bẫy lừa đảo hoàn hảo, khiến người dùng khó phát hiện ra sự xâm nhập.

Cảnh báo hệ thống trong kỷ nguyên trình duyệt tích hợp AI

Lỗ hổng này tuy đã được Google âm thầm vá trong bản cập nhật tháng 1.2026, nhưng nó gióng lên một hồi chuông cảnh báo về mối đe dọa mang tính hệ thống. Cả thế giới đang bước vào kỷ nguyên của các trình duyệt được tích hợp AI như Chrome với Gemini hay Edge tích hợp Copilot. Các trợ lý AI này được thiết kế để nhìn thấy mọi thứ bạn xem, đọc email và file để giúp làm việc nhanh hơn. Tuy nhiên, chính đặc quyền quá lớn đó lại biến chúng thành một bệ phóng độc hại. Nếu một tiện ích 'rác' tấn công được vào AI, nó sẽ có toàn quyền kiểm soát máy tính, gây ra thiệt hại khôn lường.

Biện pháp phòng ngừa khẩn cấp cho người dùng

Vì vậy, để bảo vệ bản thân, người dùng cần nhanh chóng thực hiện các biện pháp sau:

  • Cập nhật trình duyệt Chrome lên phiên bản mới nhất để vá lỗ hổng.
  • Xóa sạch các tiện ích mở rộng không cần thiết hoặc không rõ nguồn gốc.
  • Đặt dấu chấm hỏi nếu một tiện ích bỗng nhiên đòi thêm quyền hạn lạ sau khi cập nhật.
  • Chú ý đến đèn báo camera trên laptop hoặc các thông báo máy ảnh và micro bật sáng bất thường, vì đây có thể là dấu hiệu của sự xâm nhập trái phép.

Những hành động này không chỉ giúp giảm thiểu rủi ro từ lỗ hổng hiện tại mà còn nâng cao nhận thức về an ninh mạng trong bối cảnh công nghệ AI ngày càng phát triển.

Banner sau bài viết Pickt — ứng dụng danh sách mua sắm cộng tác với hình minh họa gia đình