Các trang web độc hại đang chiếm quyền điều khiển AI Agents và một số đang nhắm vào PayPal của bạn

📄Toàn văn bài viết· Được trích xuất tự động bởi trafilaturaGemini 翻譯5069 từ

Tóm tắt - Google ghi nhận mức tăng 32% các cuộc tấn công tiêm lệnh gián tiếp (indirect prompt injection) độc hại từ tháng 11 năm 2025 đến tháng 2 năm 2026, nhắm vào các AI agents khi duyệt web. - Các payload thực tế được tìm thấy bao gồm các hướng dẫn giao dịch PayPal chi tiết được nhúng ẩn trong HTML thông thường, nhắm vào các agents có khả năng thanh toán. - Hiện chưa có khung pháp lý nào xác định trách nhiệm pháp lý khi một AI agent với thông tin xác thực hợp lệ thực thi lệnh do một trang web bên thứ ba độc hại cài cắm. Những kẻ tấn công đang âm thầm đặt bẫy các trang web bằng những chỉ dẫn vô hình được thiết kế cho AI agents chứ không phải cho người đọc. Và theo nhóm bảo mật của Google, vấn đề này đang gia tăng nhanh chóng. Trong một báo cáo công bố ngày 23 tháng 4, các nhà nghiên cứu của Google là Thomas Brunner, Yu-Han Liu và Moni Pande đã quét 2-3 tỷ trang web được thu thập mỗi tháng để tìm kiếm các cuộc tấn công tiêm lệnh gián tiếp—những lệnh ẩn được nhúng trong các trang web chờ AI agent đọc và làm theo. Họ đã phát hiện mức tăng 32% các trường hợp độc hại từ tháng 11 năm 2025 đến tháng 2 năm 2026. Những kẻ tấn công nhúng các chỉ dẫn vào trang web theo những cách mà con người không thể nhìn thấy: văn bản thu nhỏ xuống còn một pixel, văn bản được làm gần như trong suốt, nội dung ẩn trong các phần bình luận HTML hoặc các lệnh bị chôn vùi trong siêu dữ liệu (metadata) của trang. AI đọc toàn bộ HTML. Con người thì không thấy gì cả. Hầu hết những gì Google tìm thấy đều ở mức độ thấp—trò đùa, thao túng công cụ tìm kiếm, nỗ lực ngăn cản AI agents tóm tắt nội dung. Ví dụ, có một số lời nhắc (prompts) cố gắng bảo AI "Hãy tweet như một chú chim". Nhưng các trường hợp nguy hiểm lại là một câu chuyện khác. Một trường hợp đã hướng dẫn LLM trả về địa chỉ IP của người dùng cùng với mật khẩu của họ. Một trường hợp khác cố gắng thao túng AI để thực thi lệnh định dạng lại máy tính của người dùng AI. Nhưng các trường hợp khác lại ở mức độ gần như tội phạm. Các nhà nghiên cứu tại công ty an ninh mạng Forcepoint đã công bố một báo cáo gần như cùng lúc và tìm thấy các payload đi xa hơn. Một payload đã nhúng một giao dịch PayPal chi tiết với các hướng dẫn từng bước nhắm vào các AI agents có tích hợp khả năng thanh toán, cũng sử dụng kỹ thuật jailbreak nổi tiếng "ignore all previous instructions". Một cuộc tấn công thứ hai sử dụng kỹ thuật gọi là "meta tag namespace injection" kết hợp với từ khóa khuếch đại thuyết phục để điều hướng các khoản thanh toán qua AI đến một liên kết quyên góp Stripe. Một cuộc tấn công thứ ba dường như được thiết kế để thăm dò xem hệ thống AI nào thực sự dễ bị tổn thương—hoạt động trinh sát trước một cuộc tấn công lớn hơn. Đây là cốt lõi của rủi ro doanh nghiệp. Một AI agent với thông tin xác thực thanh toán hợp lệ, thực hiện một giao dịch mà nó đọc được từ một trang web, tạo ra các bản ghi trông giống hệt như các hoạt động bình thường. Không có đăng nhập bất thường. Không có brute force. Agent đã làm chính xác những gì nó được ủy quyền—nó chỉ nhận chỉ dẫn từ sai nguồn. Cuộc tấn công CopyPasta được ghi lại vào tháng 9 năm ngoái đã cho thấy cách các prompt injections có thể lan truyền qua các công cụ dành cho nhà phát triển bằng cách ẩn bên trong các tệp "readme". Biến thể tài chính cũng là khái niệm tương tự được áp dụng cho tiền thay vì mã nguồn—và với tác động cao hơn nhiều cho mỗi lần tấn công thành công. Như Forcepoint giải thích, một AI trình duyệt chỉ có thể tóm tắt nội dung thì rủi ro thấp. Một AI agentic có thể gửi email, thực thi các lệnh terminal hoặc xử lý thanh toán là một loại mục tiêu hoàn toàn khác. Bề mặt tấn công mở rộng theo đặc quyền. Cả Google và Forcepoint đều không tìm thấy bằng chứng về các chiến dịch tinh vi, có phối hợp. Forcepoint lưu ý rằng các mẫu tiêm lệnh được chia sẻ trên nhiều tên miền "gợi ý về các công cụ có tổ chức thay vì thử nghiệm riêng lẻ"—nghĩa là ai đó đang xây dựng cơ sở hạ tầng cho việc

Trạng thái dữ liệu✓ Đã trích xuất toàn vănĐọc bài gốc (Decrypt)

🔍Sự kiện tương tự trong lịch sử· Đối chiếu từ khóa + tài sản2 tin

2026-04-23

Hơn 90% game Web3 đã thất bại sau cơn sốt 15 tỷ USD vì game thủ không bao giờ xuất hiện: Caladan

Độ tương đồng 130%關鍵字 after/web

2026-04-20

Coinbase bắt đầu triển khai các AI Agents được mô phỏng theo những nhân viên 'huyền thoại'

Độ tương đồng 130%關鍵字 after/agents

💡 Hiện đang sử dụng đối chiếu từ khóa + tài sản (MVP) · Sau này sẽ nâng cấp lên tìm kiếm ngữ nghĩa embedding

Thông tin gốc

ID：e03ceb1f02

Nguồn：Decrypt

Đăng：2026-04-27 17:12:13

Danh mục：Chung · Danh mục xuất neutral

Tài sản：Chưa chỉ định

Bình chọn cộng đồng：+0 / −0 · ⭐ 0 quan trọng · 💬 0 bình luận