MemGhost: Kỹ thuật tấn công mới biến email thành ‘ký ức giả’ cho AI Agent
Các nhà nghiên cứu vừa phát hiện kỹ thuật 'stealth memory injection' mang tên MemGhost, cho phép kẻ tấn công thao túng bộ nhớ dài hạn của AI agent chỉ bằng một email duy...
Các trợ lý AI cá nhân hiện nay không chỉ dừng lại ở việc trò chuyện, mà còn có khả năng ghi nhớ thông tin người dùng, đọc email và thực hiện các tác vụ tự động. Tuy nhiên, khả năng này cũng mở ra một lỗ hổng bảo mật nghiêm trọng. Một nghiên cứu mới mang tên “When Claws Remember but Do Not Tell” đã giới thiệu MemGhost – một công cụ tấn công cho phép kẻ xấu “cấy” những ký ức giả vào bộ nhớ của AI agent chỉ thông qua một email đơn lẻ.
Table Of Content
Cơ chế hoạt động của MemGhost
Thay vì cần quyền truy cập tài khoản hay mật khẩu, kẻ tấn công chỉ cần gửi một email đến địa chỉ mà AI agent có quyền truy cập. Khi agent quét hộp thư, nó sẽ vô tình đọc phải các đoạn mã độc được thiết kế riêng để đánh lừa mô hình ngôn ngữ. Nếu thành công, agent sẽ tự động ghi đè các thông tin sai lệch vào tệp bộ nhớ (memory files) của chính nó mà không hề thông báo cho người dùng.
Kết quả là, trong các phiên làm việc sau đó, AI sẽ dựa trên những “ký ức giả” này để đưa ra các câu trả lời hoặc hành động sai lệch. Ví dụ, kẻ tấn công có thể khiến AI tin rằng hạn mức chuyển tiền hàng ngày của người dùng đã được tăng lên đáng kể, từ đó dẫn đến các rủi ro về tài chính hoặc an ninh.
Tại sao cuộc tấn công này nguy hiểm?
Điểm đáng ngại nhất của MemGhost là tính ẩn danh (stealth):
- Không dấu vết: Các agent thường được thiết kế để thực hiện các thao tác file ngầm, do đó người dùng không thấy bất kỳ thông báo nào trong khung chat.
- Tính bền vững: Thông tin giả được lưu vào các tệp cốt lõi (như MEMORY.md), khiến nó tồn tại lâu dài qua nhiều phiên làm việc.
- Vượt qua bộ lọc: Các thử nghiệm cho thấy MemGhost có khả năng vượt qua các bộ lọc đầu vào và các cơ chế bảo mật hiện có với tỷ lệ thành công cao (trên 80% trong môi trường thử nghiệm).
Nghiên cứu này đã thử nghiệm trên các framework phổ biến như OpenClaw và các mô hình như GPT-5.4 hay Claude Code SDK, cho thấy đây là một vấn đề mang tính hệ thống hơn là lỗi của một sản phẩm cụ thể.
Giải pháp và khuyến nghị
Hiện tại, chưa có bản vá lỗi (patch) tức thời cho lỗ hổng này vì nó liên quan đến cách thức hoạt động cốt lõi của các agent. Các tác giả nghiên cứu đề xuất:
- Phân quyền chặt chẽ: Tách biệt hoàn toàn agent đọc email (không có quyền ghi bộ nhớ) và agent xử lý công việc chính.
- Xác thực nguồn gốc: Gắn nhãn dữ liệu đầu vào để biết thông tin đến từ đâu.
- Kiểm soát ghi chép: Yêu cầu sự xác nhận của người dùng trước khi agent lưu bất kỳ thông tin quan trọng nào vào bộ nhớ dài hạn.
Phía OpenClaw cho biết họ đang cân nhắc việc bổ sung các kiểm soát ghi bộ nhớ, bao gồm nhật ký kiểm toán (audit logs) và các thông báo xác nhận, nhằm ngăn chặn các hành vi thao túng từ nội dung bên ngoài.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.