Khai thác Google Calendar để prompt-inject ChatGPT và rò rỉ dữ liệu Gmail

Ngày 18/11/2025

Tổng quan

Vào ngày 12/9, nhà nghiên cứu bảo mật Eito Miyamura đã công bố một kịch bản tấn công mới cho thấy cách một lời mời Google Calendar độc hại có thể trở thành vũ khí để prompt-inject ChatGPT và buộc nó rò rỉ thông tin nhạy cảm từ Gmail.

Điểm đáng chú ý là kỹ thuật này không đòi hỏi gì nhiều ngoài địa chỉ email nạn nhân. Chỉ cần người dùng đã bật Google connectors trong ChatGPT (Gmail, Calendar, Contacts), thì một lời mời bị gài lệnh ẩn có thể biến thành cầu nối trực tiếp cho kẻ tấn công.

Cập nhật gần đây của OpenAI

Tháng 8/2025, OpenAI triển khai các native connectors cho Gmail, Google Calendar, và Google Contacts. Ban đầu, chúng được phát hành cho nhóm người dùng Pro và sau đó mở rộng cho gói Plus.

Theo ghi chú phát hành:

Khi được cấp quyền, ChatGPT có thể tự động tham chiếu dữ liệu Google trong hội thoại.
Người dùng chỉ cần hỏi “Hôm nay tôi có lịch gì?” là trợ lý sẽ ngay lập tức truy xuất dữ liệu từ Google Calendar.
Cài đặt mặc định cho phép chế độ automatic use – tức AI sẽ đọc dữ liệu liên kết mà không yêu cầu xác nhận thủ công mỗi lần.

Đồng thời, OpenAI cũng hỗ trợ Model Context Protocol (MCP) cho custom connectors. Đây là nền tảng mở cho phép nhà phát triển tích hợp nhiều nguồn dữ liệu, và theo Miyamura, chính sự phát triển nhanh chóng của hệ sinh thái MCP càng làm tăng nguy cơ lạm dụng.

Kỹ thuật tấn công – Indirect Prompt Injection

Cốt lõi của kịch bản tấn công là indirect prompt injection (IPI). Khác với prompt injection trực tiếp (khi kẻ tấn công đưa lệnh ngay vào hội thoại), IPI ẩn chỉ thị trong dữ liệu mà mô hình có quyền đọc.

Trong trường hợp này:

Kẻ tấn công gửi lời mời Calendar có nội dung chứa các chỉ dẫn ẩn.
Người dùng đã bật Google connectors, và Calendar được đồng bộ vào ChatGPT.
Khi người dùng hỏi ChatGPT một yêu cầu vô hại (vd: “Có sự kiện gì hôm nay?”), ChatGPT đọc sự kiện độc hại.
Prompt injection được kích hoạt: ChatGPT “nghe theo” chỉ thị ẩn, thực hiện truy vấn Gmail, rồi có thể tiết lộ thông tin nhạy cảm.

Về mặt kỹ thuật, không có lỗ hổng code execution nào ở đây. Vấn đề nằm ở quyền đọc dữ liệu kết nối + khả năng tuân thủ chỉ thị của mô hình ngôn ngữ.

Các nghiên cứu liên quan

Miyamura không phải người đầu tiên chỉ ra rủi ro này. Vào tháng 8/2025, một nhóm nghiên cứu khác đã chứng minh rằng một lời mời Calendar độc hại có thể:

Ra lệnh cho Google Gemini điều khiển thiết bị smart-home.
Rò rỉ dữ liệu cá nhân thông qua nội dung sự kiện.

Các kết quả này đã được xuất bản trong nhiều write-up và trong paper mang tên “Invitation Is All You Need.”

Dù nền tảng khác nhau (ChatGPT vs Gemini), rủi ro vẫn chung một bản chất: một AI assistant, khi được cấp quyền đọc dữ liệu, sẽ trở thành mục tiêu hấp dẫn cho data-driven prompt injection.

Khắc phục

Quan trọng là: kịch bản này không thể xảy ra nếu người dùng chưa bật connectors cho Gmail/Calendar.

Ngoài ra, OpenAI có cơ chế kiểm soát nhất định thông qua policies và system prompts, nhưng mức độ chặt chẽ đến đâu thì chưa được công bố chi tiết.

Phía FPT Threat Intelligence đưa ra khuyến nghị cho người dùng như sau:

Ngắt kết nối Gmail/Calendar trong phần Settings.
Tắt chế độ automatic use, buộc ChatGPT hỏi lại trước khi dùng dữ liệu ngoài.

Về phía Google, cấu hình Calendar có vai trò then chốt:

Tắt “Automatically add invitations”.
Chỉ cho phép thêm sự kiện từ người gửi đã xác minh hoặc được người dùng chấp nhận.
Ẩn các sự kiện đã từ chối.
Với Google Workspace, admin có thể đặt default an toàn hơn cho toàn bộ tổ chức.

Tổng kết

Điểm mấu chốt không phải là “ChatGPT” hay “Gmail” bị hack, mà là AI assistants mở rộng bề mặt tấn công khi chúng có quyền truy cập vào dữ liệu và công cụ thực tế.

Các connectors giúp AI trở nên hữu ích hơn, nhưng đồng thời biến chúng thành kênh tấn công mới, nơi dữ liệu tưởng như “bình thường” (lời mời lịch, email, ghi chú) có thể trở thành vector prompt injection.

Cho đến khi ngành công nghiệp triển khai cơ chế phòng vệ default-on cho indirect prompt injection (ví dụ: validation, context isolation, hoặc sandbox hóa dữ liệu), giải pháp thực tế nhất vẫn là: