Nguy cơ rò rỉ dữ liệu từ ClaudeBleed: Lỗ hổng nghiêm trọng trên tiện ích Chrome của Claude

8 giờ trước
6 phút đọc

Tiện ích mở rộng "Claude in Chrome" do Anthropic phát triển mang đến sự tiện lợi lớn cho người dùng nhờ khả năng tự động hóa và hỗ trợ duyệt web thông minh bằng trí tuệ nhân tạo (AI). Dù đang trong giai đoạn thử nghiệm (beta), công cụ này đã nhanh chóng đạt hàng triệu lượt tải xuống. Tuy nhiên, một nghiên cứu mới đây từ công ty bảo mật LayerX đã vạch trần một lỗ hổng nghiêm trọng mang tên ClaudeBleed. Lỗ hổng này có thể biến trợ lý AI đáng tin cậy thành một công cụ tiếp tay cho tin tặc, đe dọa trực tiếp đến an toàn thông tin của người dùng.

Lỗ hổng ClaudeBleed hoạt động như thế nào?

Theo chuyên gia bảo mật Aviad Gispan từ LayerX, lỗ hổng ClaudeBleed xuất phát từ một sai sót trong việc thiết lập ranh giới tin cậy (trust-boundary error). Tiện ích mở rộng của Claude sử dụng một tính năng của Google Chrome có tên là externally_connectable - đây là cơ chế cấu hình cho phép các trang web hoặc tiện ích khác nhau có thể giao tiếp và trao đổi thông tin với nhau.

*Lỗ hổng CloudBleed có thể biến trợ lý AI đáng tin cậy thành một công cụ tiếp tay cho tin tặc*

Vấn đề nằm ở chỗ, tiện ích Claude lại tin tưởng tuyệt đối vào bất kỳ đoạn mã lệnh (script) nào đang chạy trên trang web claude.ai. Hệ thống không hề xác minh xem đoạn mã đó có thực sự do Anthropic tạo ra hay không.

Do đó, nếu người dùng cài đặt một tiện ích mở rộng độc hại khác trên máy tính (ngay cả loại tiện ích không yêu cầu bất kỳ quyền hạn đặc biệt nào), tiện ích độc hại này vẫn có thể dễ dàng chèn mã vào trang claude.ai và gửi các lệnh điều khiển trực tiếp tới tiện ích Claude.

Những rủi ro chiếm đoạt dữ liệu trong thực tế

Khi kiểm tra lỗ hổng này, các nhà nghiên cứu tại LayerX đã chứng minh rằng kẻ tấn công có thể lợi dụng Claude để thực hiện nhiều hành vi can thiệp sâu vào tài khoản của nạn nhân. Dựa trên các dịch vụ mà người dùng đã đăng nhập sẵn trên trình duyệt, tin tặc có thể ép buộc trợ lý AI thực hiện các hành động nguy hiểm sau:

Truy cập vào dịch vụ lưu trữ Google Drive, mở các tài liệu bí mật và tự động chia sẻ chúng ra bên ngoài.
Tự động soạn và gửi email từ tài khoản Gmail cá nhân của nạn nhân đến địa chỉ của kẻ tấn công.
Trích xuất và đánh cắp mã nguồn từ các kho lưu trữ riêng tư trên GitHub.
Đọc và tóm tắt nội dung 5 email gần nhất trong hộp thư đến, gửi thông tin đó đi, sau đó tự động xóa email đã gửi để xóa sạch dấu vết.

Cách thức vượt qua các rào cản bảo mật của AI

Thông thường, tiện ích của Claude có tích hợp sẵn các biện pháp bảo vệ, yêu cầu người dùng phải phê duyệt rõ ràng trước khi thực hiện các hành động nhạy cảm như gửi email hoặc truy cập dịch vụ bên ngoài. Tuy nhiên, các chuyên gia bảo mật đã tìm ra cách vô hiệu hóa các lớp phòng thủ này bằng hai kỹ thuật:

Vòng lặp phê duyệt (Approval Looping): Kẻ tấn công lập trình cho mã độc gửi liên tục các yêu cầu xác nhận tự động. Do hệ thống phê duyệt của Claude dựa trên trạng thái thay vì mục đích thực sự của người dùng, việc lặp đi lặp lại này cuối cùng sẽ đánh lừa được AI và kích hoạt hành động thành công.
Thao tác trên giao diện (DOM Manipulation): Do quyết định bảo mật của Claude dựa nhiều vào việc đọc hiểu cấu trúc giao diện hiển thị, các nhà nghiên cứu đã chỉnh sửa giao diện trang web để đánh lừa nhận thức của AI. Ví dụ, họ đổi tên nút bấm từ "Chia sẻ" thành "Gửi phản hồi". Khi AI nhận lệnh bấm nút "Gửi phản hồi" (vốn trông có vẻ an toàn), nó thực chất đang kích hoạt lệnh chia sẻ tài liệu mật ra bên ngoài.

Phản hồi từ Anthropic và thực trạng bản vá

Lỗ hổng này ban đầu được phát hiện trên phiên bản tiện ích 1.0.69 (phát hành ngày 22 tháng 4 năm 2026). Sau khi nhận được báo cáo từ LayerX vào ngày 27 tháng 4 năm 2026, Anthropic đã phát hành phiên bản cập nhật 1.0.70 vào ngày 6 tháng 5 năm 2026 để khắc phục sự cố.

Đánh giá Claude Mythos Preview: Tỷ lệ 73% xuyên thủng thử thách bảo mật cấp chuyên gia

Mặc dù bản cập nhật mới đã bổ sung thêm một lớp xác thực yêu cầu người dùng đồng ý rõ ràng trong thanh bên (side panel) khi thực hiện các tác vụ can thiệp trình duyệt, các nhà nghiên cứu cho biết bản vá này vẫn chưa giải quyết được tận gốc vấn đề.

Cheng biệt hơn, tiện ích Claude có hai chế độ hoạt động: chế độ tiêu chuẩn "Hỏi trước khi làm" (Ask before acting) và chế độ đặc quyền "Hành động không cần hỏi" (Act without asking) nhằm tối ưu hóa tính tiện dụng. Khi tiện ích chạy ở chế độ tự động "Hành động không cần hỏi", lớp bảo mật mới hoàn toàn bị vô hiệu hóa. Đáng lo ngại hơn, tin tặc có thể lợi dụng lỗi trong quy trình khởi tạo thanh bên để ép tiện ích hoạt động ở chế độ đặc quyền này mà không cần sự cho phép hay thông báo nào tới người dùng. Do đó, ranh giới tin cậy vẫn có thể bị vượt qua và lỗ hổng vẫn tiếp tục bị khai thác.

Biện pháp giảm thiểu rủi ro và các bước tự bảo vệ

Để bảo vệ an toàn thông tin cá nhân trước các nguy cơ bảo mật từ các tiện ích AI như Claude, bạn có thể áp dụng ngay các giải pháp thực tế sau:

4 bước đơn giản để tự bảo vệ

Chỉ bật trên web uy tín: Không cấp quyền cho Claude chạy tự do trên mọi trang web.
Duyệt thủ công: Tuyệt đối không để AI tự động xử lý tiền bạc hay dữ liệu nhạy cảm. Hãy tự kiểm tra & bấm xác nhận từng bước!
Thấy lạ là dừng ngay: Nếu Claude tự nhiên nói linh tinh, hoặc đòi quyền truy cập bất thường -> Tắt extension ngay lập tức!
Báo cáo (Report): Gửi báo cáo để nhà phát triển kịp thời ngăn chặn và chặn trang web độc hại đó.

Bên cạnh các giải pháp mang tính cá nhân, đối với các tổ chức và doanh nghiệp ứng dụng công nghệ, việc tự kiểm tra thủ công là chưa đủ. Để chủ động phòng ngừa, phát hiện và ứng cứu kịp thời các sự cố an toàn thông tin phức tạp, việc thiết lập một "lá chắn" giám sát chuyên sâu là vô cùng cần thiết.

Doanh nghiệp có thể tham khảo các giải pháp bảo mật toàn diện từ IPSIP Việt Nam, đặc biệt là dịch vụ SOC 24/7 (Trung tâm Giám sát An ninh mạng) và giải pháp bảo mật đa lớp FlexSecure 360 dành riêng cho SME. Hệ thống giám sát chủ động này giúp phát hiện sớm các hành vi bất thường của các phần mềm, tiện ích mở rộng độc hại và ứng cứu sự cố kịp thời, bảo vệ an toàn tuyệt đối cho hạ tầng dữ liệu của bạn.

Trung tâm điều hành SOC 24/7 | Tối ưu bảo mật, giảm tải IT

Sự cố ClaudeBleed là một minh chứng rõ nét cho thấy trong cuộc đua công nghệ khốc liệt nhằm tối ưu hóa năng suất và tính tự động hóa, nhiều công cụ AI đã mở rộng ranh giới tin cậy quá mức và bỏ qua các nguyên tắc an toàn nền tảng. Để tìm hiểu sâu hơn về chi tiết kỹ thuật của lỗ hổng này, bạn có thể tham khảo báo cáo gốc tại chuyên trang công nghệ IT-Connect hoặc phân tích chuyên sâu từ đội ngũ nghiên cứu của LayerX Security.