Anh em nào đang cài mấy con "trợ lý AI" trên Chrome kiểu "ChatGPT for Google" hay "Claude Helper" để code cho nhàn thì dừng tay check lại ngay đi nhé. Có khi bug chưa sửa được mà mật khẩu, email đã "bay màu" sang server thằng khác rồi.
Đừng tưởng cứ tải trên Chrome Web Store là an toàn, vụ này hơn 260k người dính chấu rồi. Để tôi kể cho mấy ông nghe, drama này nó "thấm" lắm.
Chuyện gì vừa xảy ra?
Ngắn gọn cho anh em lười đọc, vụ việc được bóc trần trên Reddit và mấy trang bảo mật:
- Hơn 30 cái Extension AI "pha ke": Chúng nó mạo danh ChatGPT, Claude, Gemini... hứa hẹn giúp anh em tăng năng suất, nhưng thực chất là tăng rủi ro.
- Chiêu bài "ve sầu thoát xác": Bọn hacker dùng kỹ thuật chèn
iframe từ xa (remote iframes). Lúc nộp lên Google Web Store để review thì code sạch, ngoan như cún. Nhưng khi anh em cài vào máy, nó mới load mã độc từ server về thông qua cái iframe kia.
- Google bị "qua mặt": Quy trình review của Google dường như bất lực với trò mèo này. Thậm chí vài cái extension chứa malware còn được gắn mác "Featured" (Nổi bật) mới đau chứ. Lùa gà đẳng cấp vũ trụ.
- Hốt trọn ổ dữ liệu: Nguy hiểm nhất là mấy con extension ăn cắp nội dung Gmail. Nó đọc trộm email, gửi về server thứ ba. Anh em nào dùng mail công ty bàn chuyện dự án hay nhận OTP bank thì xác định là toang.
- Con số biết nói: Đã có hơn 260.000 người cài đặt đống rác công nghệ này.
Cộng đồng mạng nói gì?
Trên Reddit, anh em dev đang bàn tán xôn xao, chia làm mấy phe rõ rệt:
- Phe "Tấm chiếu mới": Một ông (JMpickles) ngây thơ bảo: "Google làm ăn uy tín lắm, nó check kỹ mới cho lên store chứ, làm gì có chuyện malware lộng hành, ông lấy bằng chứng đâu ra?". Ngay lập tức, ông này bị cả làng "dập" tơi tả bằng link bài phân tích kỹ thuật từ LayerX. Khổ thân, tin người vội vã.
- Phe "Lão làng đa nghi": Ông tswaters chốt một câu xanh rờn: "Tôi nghi ngờ tất cả mọi thứ trên store, Firefox cũng chả ngoại lệ. Mấy extension cũ hay bị mua lại rồi lén tiêm thuốc độc (script theo dõi) vào lắm. Thấy cái extension AI nào mà dưới 250k lượt tải là tôi né gấp."
- Phe "Kỹ thuật": Thanh niên ruibranco giải thích cặn kẽ: "Cái trò remote iframe này bẩn bựa thực sự. Google review code tĩnh (snapshot audit), còn bọn nó chơi code động lúc chạy (runtime). Đây là lỗ hổng to đùng giống hệt mấy vụ tấn công supply chain trên npm bao năm nay rồi."
- Phe "Cà khịa": BlueScreenJunky buông một câu triết lý: "Extension AI fake thì ăn cắp dữ liệu, thế mấy con AI xịn thì không ăn cắp chắc?". Nghe cũng nhói lòng phết.
Góc nhìn của Coding4Food
Nói thật với anh em, cái mác "Reviewed by Google" giờ nó cũng tín ngang ngửa lời hứa của PM là "chỉ sửa một dòng thôi không bug đâu".
Là dân kỹ thuật, chúng ta phải tỉnh táo:
- Đừng ham đồ lạ: Cần dùng AI thì mở tab mới mà vào thẳng trang chủ ChatGPT hay Claude. Cài extension làm gì cho nặng máy, tốn RAM lại còn rước họa vào thân.
- Soi code nếu có thể: Extension nào open-source thì còn tạm tin, chứ mấy cái closed-source mà đòi quyền "Read and change all your data on all websites" thì next khẩn trương.
- Bài học cho dev: Cái trick dùng
iframe để lách luật review app store không mới, nhưng nó nhắc nhở anh em làm bảo mật là đừng bao giờ tin vào client-side. Cái gì load động được là cái đó tiềm ẩn rủi ro.
Chốt lại: Đừng để sự lười biếng giết chết sự nghiệp. Xóa ngay mấy cái extension vớ vẩn đi trước khi bị sếp gọi lên uống trà vì lộ source code.
Nguồn tham khảo
