Chiến dịch Reddit 45.000 thành viên đã đánh lừa DuckDuckGo và Brave AI đưa tin Trump chết vì bệnh dại như thế nào

Vào ngày 25-26 tháng 6 năm 2026, subreddit r/poisonai — một cộng đồng với khoảng 45.000 thành viên — đã thực hiện một chiến dịch phối hợp, phơi bày một điểm yếu cơ bản trong các công cụ tìm kiếm sử dụng AI . Các thành viên đã gieo cấy một câu chuyện bịa đặt cho rằng Tổng thống Donald Trump đã chết vì bệnh dại sau khi bị Phó Tổng thống JD Vance cắn, và Phó Tổng thống Vance cũng được cho là đã chết vì căn bệnh này . Trò lừa bịp này đã đánh lừa thành công Duck.ai của DuckDuckGo (sử dụng mô hình Claude của Anthropic và GPT của OpenAI) và AI tìm kiếm của Brave, khiến chúng trình bày câu chuyện sai sự thật như một sự kiện có thật . Đây không chỉ là một trò chơi khăm trên mạng — nó là một minh chứng thực tế cho một lỗ hổng mà các nhà nghiên cứu tại Cornell Tech đã ghi nhận trong một nghiên cứu in trước gần đây .

Cách thức xây dựng trò lừa bịp

Chiến dịch r/poisonai đã xây dựng ba lớp bằng chứng giả mạo, được thiết kế để trông giống như một sự kiện tin tức hợp pháp:

• Hàng chục bài đăng than khóc giả mạo trên Reddit trên nhiều luồng thảo luận khác nhau, tạo ra ấn tượng về một cuộc thảo luận và đau buồn rộng rãi .
• Ảnh chụp màn hình Truth Social giả mạo, được thiết kế để trông giống như các bài đăng chính thức từ tài khoản của Tổng thống .
• WKNA News, một trang web "pink slime" (báo chí thịt hồng) giả mạo một đài truyền hình địa phương hợp pháp ở Tây Virginia . Trang web này đã đăng nhiều bài báo bịa đặt có niên đại từ ngày 9 đến 22 tháng 6 năm 2026, với các tiêu đề như "Nâng cao nhận thức về bệnh dại sau cái chết của JD Vance" và "Những câu hỏi xung quanh cái chết của J.D. Vance và căn bệnh tại Nhà Trắng" . AI đã trích dẫn các trang này như những nguồn đáng tin cậy .

Hệ thống AI nào đã bị lừa

Tính năng AI Search Assist của DuckDuckGo (Duck.ai) đã tự tin nói với người dùng rằng Trump đã chết vì bệnh dại vào ngày 7 tháng 6 năm 2026, và Vance đã chết trước ông . Nó đưa ra một hộp câu trả lời đầy đủ, tự tin, trích dẫn các bài báo giả mạo của WKNA News cùng với một bài báo thật không liên quan của ABC News về một nạn nhân bệnh dại ở Ohio như là 'bằng chứng' . AI tìm kiếm của Brave cũng mắc bẫy trò lừa bịp tương tự, lặp lại câu chuyện bịa đặt .

Cả hai hệ thống AI đều tiếp nhận nội dung đã được gieo cấy từ Reddit và trang web tin tức giả mạo, sau đó trình bày nó như sự thật vì câu chuyện dường như đã được xác nhận qua nhiều nguồn được lập chỉ mục khác nhau .

Tại sao nó có hiệu quả: Cuộc tấn công WARP của Cornell Tech

Một bản in trước từ các nhà nghiên cứu của Cornell Tech (Tingwei Zhang, Harold Trieu và các đồng nghiệp), được đăng trên arXiv vào tháng 5 năm 2026, giải thích trực tiếp lỗ hổng mà r/poisonai đã khai thác . Bài báo — có tiêu đề "Deep-Research Agents Can Be Poisoned via User-Generated Content" (Các tác nhân nghiên cứu sâu có thể bị đầu độc thông qua nội dung do người dùng tạo) — đã giới thiệu một cuộc tấn công có tên là WARP (Web Agent Retrieval Poisoning) .

Những phát hiện chính từ nghiên cứu bao gồm:

• Một đoạn văn bị đầu độc dài khoảng 13 từ được cấy vào một trang nội dung do người dùng tạo (Reddit, Wikipedia, Quora) là đủ để điều hướng một tác nhân AI nghiên cứu sâu tới nội dung do kẻ tấn công chọn .
• Các sản phẩm hư cấu xuất hiện trong 38–62% phản hồi do AI tạo ra khi văn bản bị đầu độc được lan truyền qua nhiều luồng thảo luận . Trong một thử nghiệm, một câu dài 15 từ quảng bá một loại tiền điện tử hư cấu có tên 'BananaCoin' được chèn vào một luồng Reddit duy nhất đã khiến các tác nhân AI giới thiệu nó như thật, trích dẫn chính bài đăng đã bị thao túng làm nguồn .
• Các tác nhân nghiên cứu sâu lấy 17–23% tổng số trang web từ các trang nội dung do người dùng tạo, tạo ra một bề mặt tấn công tập trung . Kẻ thù chỉ cần đầu độc một trang UGC thường xuyên được truy xuất có thể ảnh hưởng đến nhiều truy vấn liên quan .

Mối liên hệ trực tiếp

Chiến dịch r/poisonai là một minh chứng thực tế cho chính xác lỗ hổng mà bài báo của Cornell Tech mô tả. Subreddit đã vũ khí hóa cùng một cơ chế — các tác nhân tìm kiếm AI tiếp nhận và tin tưởng rộng rãi vào nội dung do người dùng tạo mà không phân biệt nó với các nguồn có thẩm quyền . Bởi vì các tác nhân nghiên cứu AI thu thập dữ liệu từ Reddit, các trang web có độ tin cậy thấp và các diễn đàn như nguồn trong khoảng một nửa số truy vấn, một chiến dịch gieo cấy phối hợp trên nhiều luồng thảo luận đã tạo ra vẻ ngoài của sự đồng thuận, mà AI coi như sự xác nhận .

Sự cố này chứng minh rằng phát hiện của Cornell Tech không chỉ là một hiện vật phòng thí nghiệm: kỹ thuật đầu độc 13 từ tương tự, được mở rộng quy mô với nhiều luồng thảo luận và một trang web pink slime, đã xâm nhập thành công các hệ thống AI sản xuất được hàng triệu người sử dụng .

Vấn đề dai dẳng

Trò lừa bịp thành công vì các công cụ tìm kiếm AI không thể phân biệt một cách đáng tin cậy giữa thảo luận thực sự của người dùng và các chiến dịch thông tin sai lệch có phối hợp, đặc biệt là khi nội dung sai sự thật được đăng chéo qua nhiều nguồn có vẻ độc lập . Trang web WKNA News vẫn còn lưu trữ các bài báo bịa đặt, chứng minh nội dung bị đầu độc này tồn tại dai dẳng như thế nào trong web được lập chỉ mục . Cả DuckDuckGo và Brave đều đã thừa nhận sự cố, nhưng lỗ hổng cơ bản — các tác nhân AI coi UGC là có thẩm quyền — vẫn chưa được vá ở cấp độ kiến trúc .