Coding4Food LogoCoding4Food
Trang chủChuyên mụcArcadeĐã lưu
en
Trang chủChuyên mụcArcadeĐã lưu
Coding4Food LogoCoding4Food
Trang chủChuyên mụcArcadeĐã lưu
Bảo mật|Điều khoản

© 2026 Coding4Food. Viết bởi dev, cho dev.

Tất cả tin tức
Drama ITCông nghệ

Chrome Store hay Chợ Đen? 260k anh em 'cúng' dữ liệu cho Extension AI fake

18 tháng 2, 20264 phút đọc

Hơn 260k người dùng đã cài Extension AI dỏm trên Chrome, bị hack sạch dữ liệu qua lỗ hổng iframe. Google Review chỉ để làm cảnh?

Chia sẻ bài viết:
red padlock on black computer keyboard
Nguồn gốc: https://coding4food.com/post/chrome-store-hay-cho-den-extension-ai-fake. Nội dung thuộc bản quyền Coding4Food. Original source: https://coding4food.com/post/chrome-store-hay-cho-den-extension-ai-fake. Content is property of Coding4Food. This content was scraped without permission from https://coding4food.com/post/chrome-store-hay-cho-den-extension-ai-fakeNguồn gốc: https://coding4food.com/post/chrome-store-hay-cho-den-extension-ai-fake. Nội dung thuộc bản quyền Coding4Food. Original source: https://coding4food.com/post/chrome-store-hay-cho-den-extension-ai-fake. Content is property of Coding4Food. This content was scraped without permission from https://coding4food.com/post/chrome-store-hay-cho-den-extension-ai-fake
Nguồn gốc: https://coding4food.com/post/chrome-store-hay-cho-den-extension-ai-fake. Nội dung thuộc bản quyền Coding4Food. Original source: https://coding4food.com/post/chrome-store-hay-cho-den-extension-ai-fake. Content is property of Coding4Food. This content was scraped without permission from https://coding4food.com/post/chrome-store-hay-cho-den-extension-ai-fakeNguồn gốc: https://coding4food.com/post/chrome-store-hay-cho-den-extension-ai-fake. Nội dung thuộc bản quyền Coding4Food. Original source: https://coding4food.com/post/chrome-store-hay-cho-den-extension-ai-fake. Content is property of Coding4Food. This content was scraped without permission from https://coding4food.com/post/chrome-store-hay-cho-den-extension-ai-fake
chrome extension malwareai extension lừa đảobảo mật trình duyệtiframe injectionfake chatgpt extension
Chia sẻ bài viết:

Bình luận

Anh em nào đang cài mấy con "trợ lý AI" trên Chrome kiểu "ChatGPT for Google" hay "Claude Helper" để code cho nhàn thì dừng tay check lại ngay đi nhé. Có khi bug chưa sửa được mà mật khẩu, email đã "bay màu" sang server thằng khác rồi.

Đừng tưởng cứ tải trên Chrome Web Store là an toàn, vụ này hơn 260k người dính chấu rồi. Để tôi kể cho mấy ông nghe, drama này nó "thấm" lắm.

Chuyện gì vừa xảy ra?

Ngắn gọn cho anh em lười đọc, vụ việc được bóc trần trên Reddit và mấy trang bảo mật:

  • Hơn 30 cái Extension AI "pha ke": Chúng nó mạo danh ChatGPT, Claude, Gemini... hứa hẹn giúp anh em tăng năng suất, nhưng thực chất là tăng rủi ro.
  • Chiêu bài "ve sầu thoát xác": Bọn hacker dùng kỹ thuật chèn iframe từ xa (remote iframes). Lúc nộp lên Google Web Store để review thì code sạch, ngoan như cún. Nhưng khi anh em cài vào máy, nó mới load mã độc từ server về thông qua cái iframe kia.
  • Google bị "qua mặt": Quy trình review của Google dường như bất lực với trò mèo này. Thậm chí vài cái extension chứa malware còn được gắn mác "Featured" (Nổi bật) mới đau chứ. Lùa gà đẳng cấp vũ trụ.
  • Hốt trọn ổ dữ liệu: Nguy hiểm nhất là mấy con extension ăn cắp nội dung Gmail. Nó đọc trộm email, gửi về server thứ ba. Anh em nào dùng mail công ty bàn chuyện dự án hay nhận OTP bank thì xác định là toang.
  • Con số biết nói: Đã có hơn 260.000 người cài đặt đống rác công nghệ này.

Cộng đồng mạng nói gì?

Trên Reddit, anh em dev đang bàn tán xôn xao, chia làm mấy phe rõ rệt:

  • Phe "Tấm chiếu mới": Một ông (JMpickles) ngây thơ bảo: "Google làm ăn uy tín lắm, nó check kỹ mới cho lên store chứ, làm gì có chuyện malware lộng hành, ông lấy bằng chứng đâu ra?". Ngay lập tức, ông này bị cả làng "dập" tơi tả bằng link bài phân tích kỹ thuật từ LayerX. Khổ thân, tin người vội vã.
  • Phe "Lão làng đa nghi": Ông tswaters chốt một câu xanh rờn: "Tôi nghi ngờ tất cả mọi thứ trên store, Firefox cũng chả ngoại lệ. Mấy extension cũ hay bị mua lại rồi lén tiêm thuốc độc (script theo dõi) vào lắm. Thấy cái extension AI nào mà dưới 250k lượt tải là tôi né gấp."
  • Phe "Kỹ thuật": Thanh niên ruibranco giải thích cặn kẽ: "Cái trò remote iframe này bẩn bựa thực sự. Google review code tĩnh (snapshot audit), còn bọn nó chơi code động lúc chạy (runtime). Đây là lỗ hổng to đùng giống hệt mấy vụ tấn công supply chain trên npm bao năm nay rồi."
  • Phe "Cà khịa": BlueScreenJunky buông một câu triết lý: "Extension AI fake thì ăn cắp dữ liệu, thế mấy con AI xịn thì không ăn cắp chắc?". Nghe cũng nhói lòng phết.

Góc nhìn của Coding4Food

Nói thật với anh em, cái mác "Reviewed by Google" giờ nó cũng tín ngang ngửa lời hứa của PM là "chỉ sửa một dòng thôi không bug đâu".

Là dân kỹ thuật, chúng ta phải tỉnh táo:

  1. Đừng ham đồ lạ: Cần dùng AI thì mở tab mới mà vào thẳng trang chủ ChatGPT hay Claude. Cài extension làm gì cho nặng máy, tốn RAM lại còn rước họa vào thân.
  2. Soi code nếu có thể: Extension nào open-source thì còn tạm tin, chứ mấy cái closed-source mà đòi quyền "Read and change all your data on all websites" thì next khẩn trương.
  3. Bài học cho dev: Cái trick dùng iframe để lách luật review app store không mới, nhưng nó nhắc nhở anh em làm bảo mật là đừng bao giờ tin vào client-side. Cái gì load động được là cái đó tiềm ẩn rủi ro.

Chốt lại: Đừng để sự lười biếng giết chết sự nghiệp. Xóa ngay mấy cái extension vớ vẩn đi trước khi bị sếp gọi lên uống trà vì lộ source code.

Nguồn tham khảo

  • Reddit Thread: Over 260k people installed fake AI assistant Chrome extensions
  • LayerX Security Blog (Technical details)

Bài viết liên quan

ai generated, microphone, talk, podcast, audio, radio, interview, communication
AI & AutomationCông nghệ

Họp hành thời AI: App ghi âm Ellis bị dev vặn sườn cực gắt vì thói 'giấu dốt' khi người dùng nói leo

App ghi âm AI Ellis vừa ra mắt trên Product Hunt đã bị anh em dev bóc mẽ điểm yếu chí mạng khi xử lý tiếng ồn và hiện tượng nói đè lên nhau.

8 thg 75 phút đọc
Đọc tiếp →
receptionists, phone call, hotel, reception, woman, man, work, attention, lobby, employees, professional, company, assistance, hotel, hotel, hotel, hotel, hotel, reception
AI & AutomationCông nghệ

Bỏ app mới đi! AI Agent giờ chui thẳng vào iMessage, tự động gọi điện nhắc việc như đồng nghiệp

Lại thêm một con AI Agent cực dị mang tên Toyo: Không app mới, không tab mới, sống thẳng trong iMessage và sẵn sàng nhấc máy alo nhắc việc cho bạn.

10 thg 75 phút đọc
Đọc tiếp →
ai generated, face, artificial intelligence, machine learning, neural network, circuitry, circuit, machine learning, machine learning, machine learning, machine learning, machine learning, neural network
AI & AutomationCông nghệ

Sam Altman lại 'đánh úp' anh em dev: GPT-5.6 thình lình xuất hiện, AGI tới nơi rồi hay lại bài toán lùa gà?

OpenAI lại tung ra GPT-5.6 khiến cộng đồng dev nháo nhào. Cùng C4F mổ xẻ xem đây là bước đột phá hay chiêu trò marketing mới.

10 thg 74 phút đọc
Đọc tiếp →
artificial intelligence, singularity, the internet, digital, ai, generated artificial intelligence, profile, artificial intelligence, artificial intelligence, artificial intelligence, artificial intelligence, artificial intelligence
AI & AutomationCông nghệ

Bỏ timeline đi mà làm người: Stanley Studio - Con AI hứa hẹn cứu rỗi các editor lười

Stanley Studio vừa cướp top Product Hunt nhờ tính năng tự động edit video thô thành clip xịn xò. Nhưng liệu nó có thực sự bá đạo hay chỉ là bánh vẽ?

7 thg 74 phút đọc
Đọc tiếp →
close up, eye, eyelashes, see, woman, vision, sight, look, iris, pupil, retina, macro, female eye, eye, eye, eye, eye, eye, see
AI & AutomationCông nghệ

AI đọc vị cảm xúc Mira: Khi user miệng khen app mượt nhưng cơ mặt méo xệch vì bug

Mira AI sử dụng webcam và giọng nói để bóc trần sự 'giả trân' của người dùng khi test sản phẩm. Đọc ngay để xem con AI này bá đạo thế nào nhé anh em!

8 thg 75 phút đọc
Đọc tiếp →
bot, colorful, robot, helper, automation, friendly, cute, computers, bots, alien, robots, character, technology, 3d, cyborg, android, science, robotic, mechanical, intelligence, sci-fi, humanoid, artificial, bionic, bot, bot, bot, bot, bot, robot, automation, automation
AI & AutomationCode Ra Tiền

Chán code dạo kiếm cơm? Giáo chủ GPT Pilot mách cách dùng AI gánh team để làm chủ tịch

Code xong rồi vứt xó? Đừng lo, tool AI mới này sẽ tự động lập một đội ngũ 'đệ tử ảo' gánh từ A-Z khâu marketing, kiếm khách để bạn làm chủ tịch.

15 thg 75 phút đọc
Đọc tiếp →