MinhSec
Writer
Hãng bảo mật Checkmarx vừa công bố một kỹ thuật mới mà nhóm nghiên cứu của họ phát hiện, có khả năng “đầu độc” các tác nhân trí tuệ nhân tạo (AI). Phương pháp này, được gọi là “Lies in the Loop” (LITL), có thể khiến mô hình AI thuyết phục người dùng rằng những hành động tiềm ẩn rủi ro cao lại hoàn toàn an toàn.
Darren Meyer, chuyên gia bảo mật của Checkmarx Zero bộ phận nghiên cứu của công ty cho biết LITL khai thác cơ chế “human-in-the-loop” (HITL), tức yêu cầu con người phê duyệt trước khi tác nhân AI thực hiện các hành động nhạy cảm. Bằng cách xây dựng một kịch bản trông hợp lý, kẻ tấn công có thể che giấu lệnh nguy hiểm trong luồng công việc mà AI đề xuất, qua đó đánh lừa cả người phê duyệt lẫn mô hình.
Theo Checkmarx, trong thử nghiệm, nhóm đã chứng minh có thể khiến Claude Code công cụ do Anthropic phát triển thực thi một lệnh tùy ý. Mã độc được “gói” trong hướng dẫn tưởng chừng vô hại, chẳng hạn như quy trình an toàn để khôi phục hệ thống khi tài khoản lập trình viên bị đánh cắp qua email lừa đảo. Không phải tất cả lập trình viên tham gia kiểm thử đều nhận ra rằng đoạn hướng dẫn chứa lệnh có thể dẫn tới tấn công thực thi mã từ xa (RCE).
Meyer cho biết các mô hình AI vẫn còn quá “ngây thơ”, dễ tin rằng hành động nguy hiểm là an toàn nếu được trình bày khéo léo. Anthropic nhấn mạnh trách nhiệm ngăn chặn những tấn công kiểu này thuộc về người dùng cuối, nhưng giới nghiên cứu cảnh báo việc che giấu mã độc trong khối lệnh dài khiến quá trình rà soát trở nên khó khăn.
Ngoài ra, thói quen của nhiều lập trình viên là tin tưởng vào đoạn mã sinh ra từ AI hoặc các ví dụ trên GitHub. Điều này tạo cơ hội để những kẻ xấu chèn lệnh độc hại vào chuỗi cung ứng phần mềm mà không dễ bị phát hiện.
Hiện chưa rõ tội phạm mạng đã khai thác kỹ thuật LITL ở mức nào. Tuy nhiên, khi phương pháp này đã được công bố, các nhóm an ninh mạng khuyến cáo người dùng nên thận trọng hơn với kết quả AI tạo ra đặc biệt là khi công cụ đó có thể sinh mã và yêu cầu quyền thực thi.
Những sự cố như đánh cắp thông tin đăng nhập vốn đã phổ biến, và sự xuất hiện của AI chỉ khiến khả năng phạm tội tinh vi hơn. Việc sử dụng các công cụ AI cần được coi là một phần trong mô hình “chia sẻ trách nhiệm”: nhà cung cấp bảo vệ nền tảng, còn người dùng phải hiểu rủi ro và rà soát kỹ trước khi làm theo những gì AI đề xuất.
Trong bối cảnh đó, câu hỏi không còn là liệu có xảy ra tấn công hay không, mà là khi nào và với tần suất nào các sự cố bảo mật liên quan đến AI sẽ xuất hiện.
Darren Meyer, chuyên gia bảo mật của Checkmarx Zero bộ phận nghiên cứu của công ty cho biết LITL khai thác cơ chế “human-in-the-loop” (HITL), tức yêu cầu con người phê duyệt trước khi tác nhân AI thực hiện các hành động nhạy cảm. Bằng cách xây dựng một kịch bản trông hợp lý, kẻ tấn công có thể che giấu lệnh nguy hiểm trong luồng công việc mà AI đề xuất, qua đó đánh lừa cả người phê duyệt lẫn mô hình.
Nguy cơ tiêm mã độc qua công cụ AI
Theo Checkmarx, trong thử nghiệm, nhóm đã chứng minh có thể khiến Claude Code công cụ do Anthropic phát triển thực thi một lệnh tùy ý. Mã độc được “gói” trong hướng dẫn tưởng chừng vô hại, chẳng hạn như quy trình an toàn để khôi phục hệ thống khi tài khoản lập trình viên bị đánh cắp qua email lừa đảo. Không phải tất cả lập trình viên tham gia kiểm thử đều nhận ra rằng đoạn hướng dẫn chứa lệnh có thể dẫn tới tấn công thực thi mã từ xa (RCE).
Meyer cho biết các mô hình AI vẫn còn quá “ngây thơ”, dễ tin rằng hành động nguy hiểm là an toàn nếu được trình bày khéo léo. Anthropic nhấn mạnh trách nhiệm ngăn chặn những tấn công kiểu này thuộc về người dùng cuối, nhưng giới nghiên cứu cảnh báo việc che giấu mã độc trong khối lệnh dài khiến quá trình rà soát trở nên khó khăn.
Ngoài ra, thói quen của nhiều lập trình viên là tin tưởng vào đoạn mã sinh ra từ AI hoặc các ví dụ trên GitHub. Điều này tạo cơ hội để những kẻ xấu chèn lệnh độc hại vào chuỗi cung ứng phần mềm mà không dễ bị phát hiện.
Lời cảnh báo cho người dùng công cụ AI
Hiện chưa rõ tội phạm mạng đã khai thác kỹ thuật LITL ở mức nào. Tuy nhiên, khi phương pháp này đã được công bố, các nhóm an ninh mạng khuyến cáo người dùng nên thận trọng hơn với kết quả AI tạo ra đặc biệt là khi công cụ đó có thể sinh mã và yêu cầu quyền thực thi.
Những sự cố như đánh cắp thông tin đăng nhập vốn đã phổ biến, và sự xuất hiện của AI chỉ khiến khả năng phạm tội tinh vi hơn. Việc sử dụng các công cụ AI cần được coi là một phần trong mô hình “chia sẻ trách nhiệm”: nhà cung cấp bảo vệ nền tảng, còn người dùng phải hiểu rủi ro và rà soát kỹ trước khi làm theo những gì AI đề xuất.
Trong bối cảnh đó, câu hỏi không còn là liệu có xảy ra tấn công hay không, mà là khi nào và với tần suất nào các sự cố bảo mật liên quan đến AI sẽ xuất hiện.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview