Coding4Food LogoCoding4Food
HomeCategoriesArcadeBookmarks
vi
HomeCategoriesArcadeBookmarks
Coding4Food LogoCoding4Food
HomeCategoriesArcadeBookmarks
Privacy|Terms

© 2026 Coding4Food. Written by devs, for devs.

This article is not yet available in English. Showing the Vietnamese version.

All news
Drama ITCông nghệ

Chrome Store hay Chợ Đen? 260k anh em 'cúng' dữ liệu cho Extension AI fake

February 18, 20264 min read

Hơn 260k người dùng đã cài Extension AI dỏm trên Chrome, bị hack sạch dữ liệu qua lỗ hổng iframe. Google Review chỉ để làm cảnh?

Share this post:
red padlock on black computer keyboard
Nguồn gốc: https://coding4food.com/post/chrome-store-hay-cho-den-extension-ai-fake. Nội dung thuộc bản quyền Coding4Food. Original source: https://coding4food.com/post/chrome-store-hay-cho-den-extension-ai-fake. Content is property of Coding4Food. This content was scraped without permission from https://coding4food.com/post/chrome-store-hay-cho-den-extension-ai-fakeNguồn gốc: https://coding4food.com/post/chrome-store-hay-cho-den-extension-ai-fake. Nội dung thuộc bản quyền Coding4Food. Original source: https://coding4food.com/post/chrome-store-hay-cho-den-extension-ai-fake. Content is property of Coding4Food. This content was scraped without permission from https://coding4food.com/post/chrome-store-hay-cho-den-extension-ai-fake
Nguồn gốc: https://coding4food.com/post/chrome-store-hay-cho-den-extension-ai-fake. Nội dung thuộc bản quyền Coding4Food. Original source: https://coding4food.com/post/chrome-store-hay-cho-den-extension-ai-fake. Content is property of Coding4Food. This content was scraped without permission from https://coding4food.com/post/chrome-store-hay-cho-den-extension-ai-fakeNguồn gốc: https://coding4food.com/post/chrome-store-hay-cho-den-extension-ai-fake. Nội dung thuộc bản quyền Coding4Food. Original source: https://coding4food.com/post/chrome-store-hay-cho-den-extension-ai-fake. Content is property of Coding4Food. This content was scraped without permission from https://coding4food.com/post/chrome-store-hay-cho-den-extension-ai-fake
chrome extension malwareai extension lừa đảobảo mật trình duyệtiframe injectionfake chatgpt extension
Share this post:

Bình luận

Related posts

ai generated, microphone, talk, podcast, audio, radio, interview, communication
AI & AutomationTechnology

Ellis AI Notetaker Roasted by Devs on Product Hunt Over Confidently Wrong Transcripts

The newly launched AI notetaker Ellis faces heat from the developer community over privacy issues and its 'confident ignorance' during crosstalk.

Jul 83 min read
Read more →
receptionists, phone call, hotel, reception, woman, man, work, attention, lobby, employees, professional, company, assistance, hotel, hotel, hotel, hotel, hotel, reception
AI & AutomationTechnology

Ditch the Tabs! This AI Agent Lives in Your iMessage and Literally Calls Your Phone to Remind You of Tasks

Meet Toyo, an AI assistant that lives in your text messages and can call your phone. No new apps, no new tabs, just pure productivity.

Jul 103 min read
Read more →
ai generated, face, artificial intelligence, machine learning, neural network, circuitry, circuit, machine learning, machine learning, machine learning, machine learning, machine learning, neural network
AI & AutomationTechnology

OpenAI Sneak-Drops GPT-5.6: A Giant Leap or Just Another Shiny Hype Train?

OpenAI drops GPT-5.6 out of nowhere, leaving devs scrambling. Here's a breakdown of the release, community reaction, and how not to break your production code.

Jul 103 min read
Read more →
artificial intelligence, singularity, the internet, digital, ai, generated artificial intelligence, profile, artificial intelligence, artificial intelligence, artificial intelligence, artificial intelligence, artificial intelligence
AI & AutomationTechnology

Stop Wasting Time on Timelines: How Stanley Studio Claims to Be Your AI Video Editor

Stanley Studio takes the pain out of video editing by automating cuts and captions. Here is what the tech community actually thinks.

Jul 73 min read
Read more →
close up, eye, eyelashes, see, woman, vision, sight, look, iris, pupil, retina, macro, female eye, eye, eye, eye, eye, eye, see
AI & AutomationTechnology

Mira AI: Caught in the Act! When Users Say 'I Love Your App' but Their Faces Scream 'WTF'

Mira AI exposes the 'Say-Do Gap' in user testing by tracking facial expressions and voice tones in real-time. Let's see if this is pure magic or creepy tech.

Jul 83 min read
Read more →
bot, colorful, robot, helper, automation, friendly, cute, computers, bots, alien, robots, character, technology, 3d, cyborg, android, science, robotic, mechanical, intelligence, sci-fi, humanoid, artificial, bionic, bot, bot, bot, bot, bot, robot, automation, automation
AI & AutomationCode to Cash

Ditch the Side Project Graveyard: GPT Pilot Creator Launches AI Team to Run Your Business

Shit coders say: 'I built the app, now what?' Pazi solves this by spawning an AI agent squad to handle marketing, outreach, and sales for your ideas.

Jul 153 min read
Read more →

Anh em nào đang cài mấy con "trợ lý AI" trên Chrome kiểu "ChatGPT for Google" hay "Claude Helper" để code cho nhàn thì dừng tay check lại ngay đi nhé. Có khi bug chưa sửa được mà mật khẩu, email đã "bay màu" sang server thằng khác rồi.

Đừng tưởng cứ tải trên Chrome Web Store là an toàn, vụ này hơn 260k người dính chấu rồi. Để tôi kể cho mấy ông nghe, drama này nó "thấm" lắm.

Chuyện gì vừa xảy ra?

Ngắn gọn cho anh em lười đọc, vụ việc được bóc trần trên Reddit và mấy trang bảo mật:

  • Hơn 30 cái Extension AI "pha ke": Chúng nó mạo danh ChatGPT, Claude, Gemini... hứa hẹn giúp anh em tăng năng suất, nhưng thực chất là tăng rủi ro.
  • Chiêu bài "ve sầu thoát xác": Bọn hacker dùng kỹ thuật chèn iframe từ xa (remote iframes). Lúc nộp lên Google Web Store để review thì code sạch, ngoan như cún. Nhưng khi anh em cài vào máy, nó mới load mã độc từ server về thông qua cái iframe kia.
  • Google bị "qua mặt": Quy trình review của Google dường như bất lực với trò mèo này. Thậm chí vài cái extension chứa malware còn được gắn mác "Featured" (Nổi bật) mới đau chứ. Lùa gà đẳng cấp vũ trụ.
  • Hốt trọn ổ dữ liệu: Nguy hiểm nhất là mấy con extension ăn cắp nội dung Gmail. Nó đọc trộm email, gửi về server thứ ba. Anh em nào dùng mail công ty bàn chuyện dự án hay nhận OTP bank thì xác định là toang.
  • Con số biết nói: Đã có hơn 260.000 người cài đặt đống rác công nghệ này.

Cộng đồng mạng nói gì?

Trên Reddit, anh em dev đang bàn tán xôn xao, chia làm mấy phe rõ rệt:

  • Phe "Tấm chiếu mới": Một ông (JMpickles) ngây thơ bảo: "Google làm ăn uy tín lắm, nó check kỹ mới cho lên store chứ, làm gì có chuyện malware lộng hành, ông lấy bằng chứng đâu ra?". Ngay lập tức, ông này bị cả làng "dập" tơi tả bằng link bài phân tích kỹ thuật từ LayerX. Khổ thân, tin người vội vã.
  • Phe "Lão làng đa nghi": Ông tswaters chốt một câu xanh rờn: "Tôi nghi ngờ tất cả mọi thứ trên store, Firefox cũng chả ngoại lệ. Mấy extension cũ hay bị mua lại rồi lén tiêm thuốc độc (script theo dõi) vào lắm. Thấy cái extension AI nào mà dưới 250k lượt tải là tôi né gấp."
  • Phe "Kỹ thuật": Thanh niên ruibranco giải thích cặn kẽ: "Cái trò remote iframe này bẩn bựa thực sự. Google review code tĩnh (snapshot audit), còn bọn nó chơi code động lúc chạy (runtime). Đây là lỗ hổng to đùng giống hệt mấy vụ tấn công supply chain trên npm bao năm nay rồi."
  • Phe "Cà khịa": BlueScreenJunky buông một câu triết lý: "Extension AI fake thì ăn cắp dữ liệu, thế mấy con AI xịn thì không ăn cắp chắc?". Nghe cũng nhói lòng phết.

Góc nhìn của Coding4Food

Nói thật với anh em, cái mác "Reviewed by Google" giờ nó cũng tín ngang ngửa lời hứa của PM là "chỉ sửa một dòng thôi không bug đâu".

Là dân kỹ thuật, chúng ta phải tỉnh táo:

  1. Đừng ham đồ lạ: Cần dùng AI thì mở tab mới mà vào thẳng trang chủ ChatGPT hay Claude. Cài extension làm gì cho nặng máy, tốn RAM lại còn rước họa vào thân.
  2. Soi code nếu có thể: Extension nào open-source thì còn tạm tin, chứ mấy cái closed-source mà đòi quyền "Read and change all your data on all websites" thì next khẩn trương.
  3. Bài học cho dev: Cái trick dùng iframe để lách luật review app store không mới, nhưng nó nhắc nhở anh em làm bảo mật là đừng bao giờ tin vào client-side. Cái gì load động được là cái đó tiềm ẩn rủi ro.

Chốt lại: Đừng để sự lười biếng giết chết sự nghiệp. Xóa ngay mấy cái extension vớ vẩn đi trước khi bị sếp gọi lên uống trà vì lộ source code.

Nguồn tham khảo

  • Reddit Thread: Over 260k people installed fake AI assistant Chrome extensions
  • LayerX Security Blog (Technical details)