Duy Linh
Writer
CrewAI – công cụ phổ biến giúp các nhà phát triển điều phối hệ thống AI đa tác nhân đang tồn tại nhiều lỗ hổng bảo mật nghiêm trọng, tạo điều kiện cho các cuộc tấn công nguy hiểm.
Thông qua kỹ thuật tiêm lệnh trực tiếp và gián tiếp, kẻ tấn công có thể thao túng các tác nhân AI, vượt qua môi trường bảo mật và xâm nhập sâu vào máy chủ.
Nguy cơ chủ yếu xuất phát từ các cơ chế dự phòng không an toàn và cấu hình bên trong tác nhân CrewAI cũng như môi trường Docker. Đáng chú ý, điểm yếu lớn nhất nằm ở Công cụ Thông dịch Mã (Code Interpreter Tool) – thành phần được thiết kế để thực thi mã Python an toàn. Khi bị khai thác, công cụ này trở thành “bàn đạp” để kích hoạt các lỗ hổng khác, cho phép đánh cắp thông tin đăng nhập hoặc mở rộng quyền truy cập mạng.
Nhà nghiên cứu bảo mật Yarden Porat từ Cyata đã phát hiện bốn lỗ hổng nghiêm trọng, khiến hệ thống dễ bị tấn công thực thi mã từ xa (RCE), giả mạo yêu cầu phía máy chủ (SSRF) và truy cập trái phép vào dữ liệu nội bộ.
Hiện chưa có bản vá hoàn chỉnh cho cả bốn lỗ hổng. Nhà cung cấp đã xác nhận vấn đề và dự kiến phát hành bản cập nhật nhằm chặn các mô-đun không an toàn như ctypes, đồng thời buộc hệ thống chuyển sang chế độ an toàn thay vì sử dụng sandbox mở.
Trong thời gian chờ bản vá, các quản trị viên cần hành động ngay:
Thông qua kỹ thuật tiêm lệnh trực tiếp và gián tiếp, kẻ tấn công có thể thao túng các tác nhân AI, vượt qua môi trường bảo mật và xâm nhập sâu vào máy chủ.
Nguy cơ chủ yếu xuất phát từ các cơ chế dự phòng không an toàn và cấu hình bên trong tác nhân CrewAI cũng như môi trường Docker. Đáng chú ý, điểm yếu lớn nhất nằm ở Công cụ Thông dịch Mã (Code Interpreter Tool) – thành phần được thiết kế để thực thi mã Python an toàn. Khi bị khai thác, công cụ này trở thành “bàn đạp” để kích hoạt các lỗ hổng khác, cho phép đánh cắp thông tin đăng nhập hoặc mở rộng quyền truy cập mạng.
Nhà nghiên cứu bảo mật Yarden Porat từ Cyata đã phát hiện bốn lỗ hổng nghiêm trọng, khiến hệ thống dễ bị tấn công thực thi mã từ xa (RCE), giả mạo yêu cầu phía máy chủ (SSRF) và truy cập trái phép vào dữ liệu nội bộ.
Chi tiết các lỗ hổng và khuyến nghị bảo mật khẩn cấp
Các lỗ hổng được xác định gồm:- CVE-2026-2275: Công cụ thông dịch mã tự động chuyển sang môi trường SandboxPython dễ bị tấn công khi không kết nối được với Docker, cho phép thực thi các lệnh gọi hàm C tùy ý.
- CVE-2026-2286: Lỗ hổng SSRF trong các công cụ tìm kiếm RAG do không xác thực đúng URL, cho phép truy cập trái phép vào dịch vụ nội bộ và hệ thống đám mây.
- CVE-2026-2287: CrewAI không kiểm tra liên tục trạng thái Docker trong quá trình chạy, khiến hệ thống chuyển sang chế độ sandbox không an toàn, tạo điều kiện cho tấn công RCE.
- CVE-2026-2285: Lỗ hổng đọc tệp cục bộ trong công cụ tải JSON do thiếu xác thực đường dẫn, cho phép truy cập trực tiếp vào các tệp nhạy cảm trên máy chủ.
Hiện chưa có bản vá hoàn chỉnh cho cả bốn lỗ hổng. Nhà cung cấp đã xác nhận vấn đề và dự kiến phát hành bản cập nhật nhằm chặn các mô-đun không an toàn như ctypes, đồng thời buộc hệ thống chuyển sang chế độ an toàn thay vì sử dụng sandbox mở.
Trong thời gian chờ bản vá, các quản trị viên cần hành động ngay:
- Vô hiệu hóa Công cụ Thông dịch Mã.
- Đảm bảo cấu hình allow_code_execution=True được tắt nếu không thực sự cần thiết.
- Lọc toàn bộ đầu vào không đáng tin cậy từ tác nhân AI.
- Giám sát chặt chẽ trạng thái Docker để tránh kích hoạt cơ chế dự phòng dễ bị khai thác.
Đọc chi tiết tại đây: gbhackers
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
Sửa lần cuối bởi điều hành viên: