Các trang web độc hại đang chiếm quyền kiểm soát các tác nhân AI, và một số đang nhắm vào PayPal của bạn

Tóm tắt ngắn gọn

• Google ghi nhận sự gia tăng 32% các cuộc tấn công tiêm lệnh gián tiếp độc hại giữa tháng 11 năm 2025 và tháng 2 năm 2026, nhằm vào các tác nhân AI duyệt web.
• Các payload thực tế được tìm thấy trong tự nhiên bao gồm hướng dẫn giao dịch PayPal đầy đủ được nhúng một cách vô hình trong HTML thông thường, nhằm vào các tác nhân có khả năng thanh toán.
• Hiện tại chưa có khung pháp lý nào xác định trách nhiệm khi một tác nhân AI có chứng chỉ hợp lệ thực thi lệnh do một trang web độc hại của bên thứ ba cấy vào.

Kẻ tấn công đang âm thầm gài bẫy các trang web với các hướng dẫn vô hình nhằm vào các tác nhân AI, chứ không phải người đọc. Và theo nhóm an ninh của Google, vấn đề này đang phát triển nhanh chóng. Trong một báo cáo công bố ngày 23 tháng 4, các nhà nghiên cứu của Google là Thomas Brunner, Yu-Han Liu và Moni Pande đã quét 2-3 tỷ trang web được thu thập mỗi tháng để tìm kiếm các cuộc tấn công tiêm lệnh gián tiếp—các lệnh ẩn nhúng trong các trang web chờ tác nhân AI đọc và thực thi. Họ phát hiện ra sự tăng 32% các trường hợp độc hại giữa tháng 11 năm 2025 và tháng 2 năm 2026. Kẻ tấn công nhúng hướng dẫn vào trang web theo cách mà con người không thể nhận thấy: văn bản nhỏ đến mức chỉ còn một pixel, văn bản gần như trong suốt, nội dung ẩn trong phần bình luận HTML, hoặc lệnh được chôn trong metadata của trang. AI đọc toàn bộ HTML. Người dùng không thấy gì.

Hầu hết những gì Google tìm thấy là các trường hợp thấp cấp—trò đùa, thao túng công cụ tìm kiếm, cố gắng ngăn chặn các tác nhân AI tóm tắt nội dung. Ví dụ, có một số lệnh cố gắng yêu cầu AI “Tweet như một chú chim.” Nhưng các trường hợp nguy hiểm lại khác. Một trường hợp yêu cầu LLM trả về địa chỉ IP của người dùng cùng với mật khẩu của họ. Trường hợp khác cố gắng thao túng AI thực thi một lệnh định dạng máy của người dùng AI.

Nhưng các trường hợp khác thì gần như phạm tội hình sự.

Các nhà nghiên cứu tại công ty an ninh mạng Forcepoint đã công bố một báo cáo gần như cùng lúc, và phát hiện các payload còn tiến xa hơn. Một payload nhúng một giao dịch PayPal đầy đủ hướng dẫn từng bước, nhắm vào các tác nhân AI có khả năng thanh toán tích hợp, cũng sử dụng kỹ thuật “bỏ qua tất cả hướng dẫn trước đó” để jailbreak…

Một cuộc tấn công thứ hai sử dụng kỹ thuật gọi là “tiêm namespace thẻ meta” kết hợp với từ khóa khuếch đại thuyết phục để hướng các khoản thanh toán qua AI tới một liên kết quyên góp Stripe. Một cuộc tấn công thứ ba dường như được thiết kế để thăm dò hệ thống AI nào thực sự dễ bị tổn thương—khảo sát trước một cuộc tấn công lớn hơn. Đây là cốt lõi của rủi ro doanh nghiệp. Một tác nhân AI có chứng chỉ thanh toán hợp lệ, thực thi một giao dịch đọc từ một trang web, tạo ra các nhật ký trông giống như hoạt động bình thường. Không có đăng nhập bất thường. Không có brute force. Tác nhân chỉ làm đúng những gì nó được phép—chỉ là nhận lệnh từ nguồn sai. Cuộc tấn công CopyPasta được ghi nhận vào tháng Chín năm ngoái cho thấy cách tiêm lệnh có thể lan truyền qua các công cụ phát triển bằng cách ẩn trong các tệp “readme”. Biến thể tài chính là cùng một ý tưởng áp dụng cho tiền thay vì mã—và tác động lớn hơn nhiều cho mỗi lần thành công. Như Forcepoint giải thích, một trình duyệt AI chỉ có thể tóm tắt nội dung thì rủi ro thấp. Một AI có khả năng gửi email, thực thi lệnh trong terminal hoặc xử lý thanh toán là một mục tiêu hoàn toàn khác. Phạm vi tấn công mở rộng theo quyền hạn.  Cả Google lẫn Forcepoint đều không tìm thấy bằng chứng về các chiến dịch phối hợp tinh vi, có tổ chức. Forcepoint lưu ý rằng các mẫu tiêm chung qua nhiều tên miền “gợi ý về công cụ tổ chức hơn là thử nghiệm riêng lẻ”—nghĩa là ai đó đang xây dựng hạ tầng cho việc này, dù chưa triển khai hoàn chỉnh.

Nhưng Google lại rõ ràng hơn: Nhóm nghiên cứu cho biết dự kiến cả quy mô lẫn độ tinh vi của các cuộc tấn công tiêm lệnh gián tiếp sẽ tăng trong thời gian tới gần. Các nhà nghiên cứu của Forcepoint cảnh báo rằng thời gian để vượt qua mối đe dọa này đang thu hẹp nhanh chóng. Vấn đề trách nhiệm pháp lý là câu hỏi chưa ai trả lời được. Khi một tác nhân AI có chứng chỉ hợp lệ của công ty đọc một trang web độc hại và bắt đầu chuyển khoản PayPal gian lận, ai sẽ chịu trách nhiệm? Doanh nghiệp đã triển khai tác nhân đó? Nhà cung cấp mô hình hệ thống đã theo lệnh tiêm vào? Chủ sở hữu trang web đã lưu trữ payload, dù có biết hay không? Hiện tại chưa có khung pháp lý nào bao quát vấn đề này. Đây là một vùng xám dù kịch bản này không còn là lý thuyết nữa, vì Google đã tìm thấy payload trong tự nhiên vào tháng Hai vừa qua. Dự án An ninh Ứng dụng Toàn cầu Mở xếp tiêm lệnh là LLM01:2025—là loại lỗ hổng nghiêm trọng nhất trong các ứng dụng AI. FBI đã theo dõi thiệt hại gian lận liên quan đến AI gần $900 triệu đô la trong năm 2025, năm đầu tiên ghi nhận riêng biệt loại này. Các phát hiện của Google cho thấy các cuộc tấn công tài chính nhắm mục tiêu, đặc thù tác nhân, chỉ mới bắt đầu. Sự gia tăng 32% được đo lường từ tháng 11 năm 2025 đến tháng 2 năm 2026 chỉ bao gồm các trang web công cộng tĩnh. Nội dung trên mạng xã hội, nội dung có yêu cầu đăng nhập, và các trang động không nằm trong phạm vi. Tỷ lệ nhiễm thực tế trên toàn bộ web có thể còn cao hơn.