Một tiện ích mở rộng Chrome giả dạng trợ lý AI đã đánh cắp thông tin đăng nhập OpenAI của hơn 10.000 người dùng, thu thập khóa API và gửi dữ liệu sang máy chủ bên thứ ba, gây rủi ro nghiêm trọng cho bảo mật tài khoản và quyền riêng tư.
Các nhóm nghiên cứu an ninh mạng cho biết tiện ích này hoạt động “có vẻ hợp pháp” để tạo niềm tin, sau đó âm thầm chuyển dữ liệu ra ngoài. Vụ việc cho thấy rủi ro ngày càng lớn từ tiện ích AI trên trình duyệt, nơi người dùng thường phải nhập khóa API hoặc quyền truy cập dịch vụ.
- Tiện ích H-Chat Assistant bị cáo buộc thu thập trái phép khóa OpenAI API và gửi ra máy chủ bên thứ ba.
- Hoạt động đánh cắp được kích hoạt khi người dùng xóa chat hoặc đăng xuất, và dữ liệu bị đẩy qua bot Telegram nhúng sẵn.
- Một chiến dịch rộng hơn có thể liên quan đến 16 tiện ích, thu thêm metadata, định danh máy khách và telemetry để theo dõi người dùng.
Tiện ích H-Chat Assistant đánh cắp khóa OpenAI API của người dùng
H-Chat Assistant bị phát hiện thu thập khóa OpenAI API do người dùng tự nhập để kích hoạt tính năng, rồi chuyển khóa và dữ liệu liên quan sang hạ tầng bên ngoài, tạo nguy cơ lộ tài khoản và lạm dụng dịch vụ.
Nền tảng an ninh mạng Obsidian cho biết họ đã xác định một tiện ích Chrome có tên H-Chat Assistant giả danh công cụ kết nối người dùng với dịch vụ chatbot của OpenAI. Tiện ích yêu cầu người dùng cung cấp khóa OpenAI API để “kích hoạt” các tính năng trò chuyện AI trong trình duyệt.
Sau khi nhận khóa, tiện ích vẫn hoạt động gần như đúng quảng cáo, giúp chat trực tiếp với mô hình AI, khiến người dùng dễ tin tưởng. Tuy nhiên, nhóm phân tích nói có các luồng dữ liệu ẩn chạy nền, khiến nội dung tương tác và thông tin nhạy cảm có thể bị gửi ra ngoài mà người dùng không nhận biết.
Theo Obsidian, tiện ích đã rò rỉ ít nhất 459 khóa API duy nhất sang một kênh Telegram do tin tặc kiểm soát nhiều tháng trước khi bị phát hiện. Việc lộ khóa API có thể dẫn đến bị tiêu thụ hạn mức, phát sinh chi phí trái phép, hoặc bị dùng để thực hiện hoạt động đáng ngờ gắn với tài khoản nạn nhân.
Cơ chế rò rỉ dữ liệu diễn ra âm thầm qua máy chủ bên thứ ba
Các nhà phân tích nhận định tiện ích mạo danh ChatGPT để tạo cảm giác dữ liệu chỉ gửi đến OpenAI, nhưng thực tế prompt và dữ liệu khác vẫn bị chuyển lặng lẽ tới máy chủ bên ngoài.
Nhóm phân tích mô tả rằng dù một số tiện ích “không chủ động” rút khóa API liên tục, dữ liệu người dùng như prompt và thông tin khác vẫn bị gửi kín đáo đến máy chủ bên thứ ba/bên ngoài. Điều này làm người dùng hiểu nhầm rằng hội thoại chỉ truyền đến OpenAI, từ đó bỏ qua tín hiệu cảnh báo.
“Mặc dù các tiện ích này không chủ động rút khóa API, prompt người dùng và dữ liệu khác vẫn đang bị lặng lẽ gửi đến máy chủ bên thứ ba/bên ngoài. Một số tiện ích mạo danh ChatGPT, tạo cảm giác tin cậy sai lầm rằng hội thoại và dữ liệu chỉ được truyền tới OpenAI.”
– Nhóm phân tích, Obsidian Security
Obsidian cũng lưu ý tiện ích yêu cầu quyền đọc và ghi đối với các dịch vụ của Google. Các điều tra viên cho rằng điều này có thể làm tăng rủi ro lộ dữ liệu lưu trong Google Drive của nạn nhân, tùy theo phạm vi quyền cụ thể mà người dùng đã cấp khi cài đặt.
Thao tác “xóa chat” hoặc “đăng xuất” có thể kích hoạt đánh cắp khóa API
Theo phân tích, thời điểm đánh cắp khóa diễn ra khi người dùng xóa đoạn chat hoặc đăng xuất, lúc đó khóa được gửi đi bằng thông tin bot Telegram được mã hóa cứng trong mã tiện ích.
Obsidian cho biết hành vi trộm cắp thật sự xảy ra tại các thao tác tưởng như vô hại: xóa hội thoại hoặc đăng xuất khỏi ứng dụng. Khi điều kiện này xảy ra, tiện ích được cho là truyền khóa đi bằng thông tin xác thực bot Telegram được nhúng sẵn (hardcoded) trong mã.
Mô hình này giúp kẻ tấn công giảm khả năng bị phát hiện trong lúc người dùng đang trò chuyện bình thường, đồng thời tận dụng các “điểm chuyển trạng thái” để đẩy dữ liệu ra ngoài. Với các tài khoản dùng cùng một khóa API cho nhiều dự án, hệ quả có thể lan rộng sang cả hệ thống backend của người dùng.
Dòng thời gian phát hiện và phản ứng: từ tháng 7-2024 đến 13-1-2025 (giờ Việt Nam)
Obsidian tin rằng hoạt động độc hại bắt đầu từ tháng 7-2024 và chỉ được phát hiện ngày 13-1-2025; cùng ngày, OpenAI đã thu hồi các khóa API bị xâm phạm để hạn chế lạm dụng.
Các nhà nghiên cứu cho rằng chiến dịch độc hại bắt đầu từ tháng 7-2024 và không bị chú ý trong nhiều tháng khi người dùng tiếp tục cài đặt. Đến ngày 13-1-2025, Obsidian phát hiện hoạt động này và báo cáo cho OpenAI qua các kênh công bố lỗ hổng.
Cũng trong ngày 13-1-2025, OpenAI đã thu hồi các khóa API bị lộ nhằm giảm nguy cơ bị ứng dụng lạm dụng. Tuy nhiên, theo báo cáo của Obsidian, ngay cả sau khi đã công bố và thu hồi khóa, tiện ích vẫn xuất hiện trên Chrome Web Store tại thời điểm họ ghi nhận.
Người dùng từng nhập khóa API vào tiện ích tương tự nên kiểm tra lịch sử sử dụng API, xoay vòng khóa (rotate), và rà soát quyền truy cập đã cấp. Trong môi trường doanh nghiệp, cần áp dụng nguyên tắc tối thiểu đặc quyền, giới hạn miền (domain allowlist) và cảnh báo bất thường theo mức tiêu thụ API.
Chiến dịch lớn hơn có thể liên quan 16 tiện ích AI trên trình duyệt
Các nhà nghiên cứu cho biết có ít nhất 16 tiện ích hứa hẹn tăng năng suất bằng AI có “dấu vân tay” nhà phát triển tương đồng, bị nghi do một tác nhân đe dọa tạo ra để thu thập thông tin đăng nhập và dữ liệu phiên.
Theo các phát hiện được trích dẫn, tổng lượt tải của 16 tiện ích này tương đối thấp, khoảng 900 lượt cài đặt. Dù vậy, các nhà phân tích cảnh báo chiến thuật này có khả năng mở rộng nhanh do nhu cầu cao với tiện ích AI và thói quen cài addon “tối ưu ChatGPT/GPT” của người dùng.
Natalie Zargarov, chuyên gia tư vấn của LayerX Security, cho biết có nhiều “GPT Optimizer” hợp pháp và được đánh giá cao trên Chrome Web Store, khiến người dùng dễ bỏ qua dấu hiệu cảnh báo. Bà cũng đề cập một biến thể có logo nổi bật tuyên bố tuân thủ các thực hành khuyến nghị cho tiện ích Chrome.
LayerX nhận định các tiện ích như vậy thường cần tích hợp sâu với các ứng dụng web đã đăng nhập, từ đó “mở rộng đáng kể bề mặt tấn công” của trình duyệt. Nhóm nghiên cứu cho rằng các tiện ích độc hại đang khai thác điểm yếu trong quy trình xác thực dựa trên trình duyệt của các dịch vụ liên quan đến ChatGPT.
Theo phân tích, trong 16 tiện ích được xác định, có 15 tiện ích được phát tán qua Chrome Web Store và 1 tiện ích xuất hiện trên Microsoft Edge Add-ons marketplace. Người dùng đa trình duyệt cần rà soát cả hai hệ sinh thái tiện ích, không chỉ riêng Chrome.
Dữ liệu bị gửi đi không chỉ gồm khóa API mà còn có metadata và định danh
LayerX phát hiện các tiện ích còn gửi metadata, ngôn ngữ, định danh máy khách, telemetry, dữ liệu sự kiện và token truy cập, giúp kẻ tấn công theo dõi phiên, mở rộng đặc quyền token và xây hồ sơ hành vi.
Trong phân tích của mình, LayerX cho biết tiện ích gửi thêm thông tin ngoài khóa API, bao gồm metadata của tiện ích như phiên bản, cài đặt ngôn ngữ và các định danh máy khách. Đây là dữ liệu có thể dùng để nhận diện người dùng giữa các phiên và liên kết hoạt động theo thời gian.
Ngoài ra, tiện ích còn truyền telemetry, dữ liệu sự kiện và token truy cập do backend cấp gắn với dịch vụ của tiện ích. Khi kết hợp, các điểm dữ liệu này có thể hỗ trợ kẻ tấn công nâng quyền token, theo dõi người dùng trong phiên đăng nhập và xây dựng hồ sơ hành vi.
LayerX so sánh quy mô tải về của nhóm này còn nhỏ so với GhostPoster (hơn 830.000 lượt) và Roly Poly VPN (hơn 31.000 lượt), nhưng cảnh báo các công cụ tập trung vào AI có thể tăng trưởng đột biến về mức phổ biến chỉ sau một lần lặp sản phẩm.
Bà Zargarov nhận định chỉ cần một phiên bản là tiện ích độc hại có thể trở nên phổ biến, và “GPT optimizer” có thể sớm phổ biến như các tiện ích VPN. Điều này làm rủi ro lan rộng nhanh, đặc biệt khi người dùng có xu hướng tin tưởng tiện ích có đánh giá cao hoặc giao diện giống công cụ chính thức.
Những câu hỏi thường gặp
Làm sao biết khóa OpenAI API của tôi có thể đã bị lộ qua tiện ích?
Nếu bạn từng nhập khóa OpenAI API vào tiện ích trình duyệt, hãy xem lịch sử sử dụng API và mức tiêu thụ bất thường, kiểm tra các dự án đã dùng chung khóa, và xoay vòng khóa ngay. Đồng thời gỡ tiện ích đáng ngờ, rà soát quyền đã cấp và đăng xuất khỏi các phiên liên quan.
Vì sao thao tác xóa chat hoặc đăng xuất lại có thể gây rò rỉ dữ liệu?
Theo phân tích, tiện ích có thể lập trình để chỉ gửi khóa khi người dùng xóa chat hoặc đăng xuất nhằm tránh bị phát hiện trong quá trình sử dụng bình thường. Khi điều kiện kích hoạt xảy ra, dữ liệu được đẩy đi qua kênh liên lạc do kẻ tấn công kiểm soát, như bot Telegram nhúng sẵn.
Tôi nên làm gì nếu đã cài H-Chat Assistant hoặc tiện ích “ChatGPT optimizer” tương tự?
Hãy gỡ cài đặt, đổi toàn bộ khóa API đã nhập, kiểm tra nhật ký truy cập và chi phí phát sinh, và quét lại trình duyệt để loại bỏ tiện ích liên quan. Nếu bạn cấp quyền Google (đọc/ghi), hãy rà soát quyền truy cập, kiểm tra hoạt động Google Drive và nâng mức cảnh báo bảo mật tài khoản.
Xem cảnh báo kỹ thuật từ Obsidian Security | Xem phân tích chiến dịch 16 tiện ích từ LayerX Security
