Dù cho người dùng có cẩn thận không cấp quyền camera hay micro cho các trang web lạ, thì nỗ lực này có thể trở nên vô nghĩa. Theo đó, một lỗ hổng nghiêm trọng vừa bị phanh phui cho thấy tin tặc hoàn toàn có thể mượn AI Gemini để biến trình duyệt Chrome thành một thiết bị theo dõi hoàn hảo.
Lỗ hổng bảo mật mức độ cao mang mã CVE-2026-0628 vừa 'dội một gáo nước lạnh' vào xu hướng tích hợp AI lên trình duyệt hiện nay. Điểm yếu này nằm ở bảng điều khiển phụ 'Live in Chrome' - nơi chứa trợ lý ảo Gemini được nhúng trực tiếp vào trình duyệt của Google.
Chiêu trò 'ký sinh' vào Gemini để chiếm quyền điều khiển
Về mặt kỹ thuật, trợ lý Gemini trong Chrome được cấp những đặc quyền quan trọng, khi có thể đọc nội dung trên màn hình, chụp ảnh, truy cập tệp tin cục bộ và điều khiển cả micro lẫn camera để hỗ trợ người dùng tự động hóa công việc.
Điều đáng sợ là các nhà nghiên cứu đã phát hiện ra một lỗ hổng cho phép các tiện ích mở rộng (extension) có quyền hạn thấp 'ký sinh' và chèn mã độc vào bảng điều khiển của Gemini, từ đó kế thừa toàn bộ sức mạnh của AI này.
Lỗ hổng trên Chrome biến Gemini thành trợ thủ đắc lực cho tin tặc
ẢNH: CHỤP MÀN HÌNH CYBER INSIDER
Hậu quả là tiện ích mở rộng đó có thể tự do liệt kê các thư mục trong máy nạn nhân, chụp ảnh màn hình các trang web mã hóa HTTPS, tự động bật camera/micro để thu thập hình ảnh, âm thanh mà không hề hiển thị bất kỳ hộp thoại xin phép nào. Thậm chí, nó có thể biến giao diện đáng tin cậy của Gemini thành một cái bẫy lừa đảo hoàn hảo.
Lỗ hổng này tuy đã được Google âm thầm vá trong bản cập nhật tháng 1.2026, nhưng nó gióng lên một hồi chuông cảnh báo về mối đe dọa mang tính hệ thống.
Cả thế giới đang bước vào kỷ nguyên của các trình duyệt được tích hợp AI như Chrome với Gemini hay Edge tích hợp Copilot. Các trợ lý AI này được thiết kế để nhìn thấy mọi thứ bạn xem, đọc email và file để giúp làm việc nhanh hơn. Tuy nhiên, chính đặc quyền quá lớn đó lại biến chúng thành một bệ phóng độc hại. Nếu một tiện ích 'rác' tấn công được vào AI, nó sẽ có toàn quyền kiểm soát máy tính.
Vì vậy, hãy nhanh chóng cập nhật trình duyệt lên phiên bản mới nhất, xóa sạch các tiện ích mở rộng không cần thiết, không rõ nguồn gốc. Bên cạnh đó, nên đặt dấu chấm hỏi nếu một tiện ích bỗng nhiên đòi thêm quyền hạn lạ sau khi cập nhật và đèn báo camera trên laptop hoặc các thông báo máy ảnh/micro bật sáng bất thường.
//Chèn ads giữa bài (runinit = window.runinit || []).push(function () { //Nếu k chạy ads thì return if (typeof _chkPrLink != 'undefined' && _chkPrLink) return; var mutexAds = '<zone id="l2srqb41"></zone>'; var content = $('[data-role="content"]'); if (content.length > 0) { var childNodes = content[0].childNodes; for (i = 0; i < childNodes.length; i++) { var childNode = childNodes[i]; var isPhotoOrVideo = false; if (childNode.nodeName.toLowerCase() == 'div') { // kiem tra xem co la anh khong? var type = $(childNode).attr('class') + ''; if (type.indexOf('VCSortableInPreviewMode') >= 0) { isPhotoOrVideo = true; } } try { if ((i >= childNodes.length / 2 - 1) && (i < childNodes.length / 2) && !isPhotoOrVideo) { if (i <= childNodes.length - 3) { childNode.after(htmlToElement(mutexAds)); arfAsync.push("l2srqb41"); } break; } } catch (e) { } } } }); function htmlToElement(html) { var template = document.createElement('template'); template.innerHTML = html; return template.content.firstChild; } if (window.pageSettings && pageSettings.allow3rd && (typeof window._isAdsHidden === 'undefined' || !window._isAdsHidden)) { if (!laNuocNgoai) { (function (w, q) { w[q] = w[q] || []; w[q].push(["_mgc.load"]); })(window, "_mgq"); } } (function() { if (!(window.pageSettings && pageSettings.allow3rd && (typeof window._isAdsHidden === 'undefined' || !window._isAdsHidden))) return; if (typeof window.laNuocNgoai === 'undefined' || !window.laNuocNgoai) return; // chỉ chạy khi laNuocNgoai true var containerSelector = 'div.detail-cmain'; var root = document.querySelector(containerSelector); if (!root) return; // Thu thập figure + p (p không nằm trong figure) var figures = Array.from(root.querySelectorAll('figure')); var paragraphs = Array.from(root.querySelectorAll('p')).filter(function(p){ return !p.closest('figure'); }); var elements = figures.concat(paragraphs); // NodeList vốn đã theo DOM order => không cần sort if (!elements.length) return; var target = elements[Math.floor(elements.length / 2)]; // giữa bài if (!target || !target.parentNode) return; var newDiv = document.createElement('div'); newDiv.id = 'taboola-mid-article-widget'; target.parentNode.insertBefore(newDiv, target.nextSibling); window._taboola = window._taboola || []; window._taboola.push({ mode: 'thumbnails-4x1', container: 'taboola-mid-article-widget', placement: 'Mid Article Widget', target_type: 'mix' }); })();
