Key Takeaways:
Google cho biết hôm thứ Hai rằng họ đã ngăn chặn một hoạt động tội phạm mạng sử dụng mã khai thác lỗ hổng zero-day đầu tiên mà công ty tin rằng được phát triển bằng trí tuệ nhân tạo, một cột mốc mà các chuyên gia bảo mật đã cảnh báo sẽ làm gia tăng đáng kể bối cảnh đe dọa mạng cho các doanh nghiệp.
"Nó đã ở đây," John Hultquist, nhà phân tích trưởng tại chi nhánh tình báo mối đe dọa Mandiant của Google, cho biết trong một báo cáo. "Kỷ nguyên của lỗ hổng và khai thác do AI thúc đẩy đã đến. AI sẽ là một lợi thế lớn vì chúng có thể di chuyển nhanh hơn nhiều."
Mã khai thác, được triển khai dưới dạng một tập lệnh Python, nhắm mục tiêu vào một lỗ hổng chưa từng được biết đến trong một công cụ quản trị web mã nguồn mở phổ biến, cho phép kẻ tấn công vượt qua xác thực hai yếu tố (2FA). Mặc dù công cụ cụ thể và tác nhân đe dọa không được nêu tên, Google cho biết họ có "niềm tin cao" rằng một mô hình AI đã được sử dụng để tạo ra mã khai thác.
Khám phá này đánh dấu một bước chuyển đổi then chốt, đưa việc sử dụng AI trong các cuộc tấn công mạng từ một mối nguy hiểm lý thuyết thành một thực tế đã được xác nhận. Sự phát triển này có thể buộc phải đánh giá lại rộng rãi các thế trận an ninh trong tất cả các ngành công nghiệp, vì các mô hình AI có thể giảm đáng kể thời gian và kỹ năng cần thiết để khám phá và vũ khí hóa các lỗ hổng phần mềm.
Sự tin tưởng của Google vào nguồn gốc AI của mã khai thác bắt nguồn từ chính đoạn mã đó. Công ty lưu ý rằng tập lệnh Python chứa rất nhiều chuỗi tài liệu hướng dẫn (docstrings), một điểm số CVSS bị "ảo giác" và định dạng có cấu trúc như sách giáo khoa đặc trưng cho dữ liệu được sử dụng để huấn luyện các mô hình ngôn ngữ lớn (LLM).
Bản thân lỗ hổng này là một lỗi logic ngữ nghĩa cấp cao phát sinh từ một giả định tin cậy được mã hóa cứng, một loại lỗi mà LLM, được huấn luyện trên các kho mã khổng lồ, đặc biệt giỏi trong việc xác định.
Báo cáo cũng nhấn mạnh rằng tội phạm mạng có động cơ tài chính không đơn độc trong việc sử dụng AI. Các nhóm tình báo của Google đã quan sát thấy các nhóm do nhà nước bảo trợ từ Trung Quốc và Triều Tiên tích cực sử dụng LLM để tăng cường khả năng tấn công của họ.
Một tác nhân liên quan đến Trung Quốc, UNC2814, đã được quan sát thấy sử dụng các vụ bẻ khóa (jailbreaks) dựa trên nhân vật—hướng dẫn một AI hoạt động như một chuyên gia bảo mật—để hỗ trợ nghiên cứu các lỗ hổng trong chương trình cơ sở (firmware) của TP-Link. Một nhóm Triều Tiên được theo dõi là APT45 được cho là đã gửi hàng nghìn câu lệnh lặp đi lặp lại để phân tích đệ quy các lỗ hổng đã biết và xác thực các mã khai thác thử nghiệm (proof-of-concept), xây dựng một kho vũ khí mạnh mẽ hơn so với thực tế nếu không có sự hỗ trợ của AI.
Sự cố này nhấn mạnh bản chất lưỡng dụng của AI tiên tiến. Trong khi các tác nhân đe dọa đang sử dụng nó để tăng tốc các cuộc tấn công, công nghệ tương tự cũng đang được định vị như một công cụ phòng thủ quan trọng. Các công ty như Anthropic và OpenAI đang phát triển các mô hình AI chuyên dụng nhằm giúp những người phòng thủ tìm và vá các lỗ hổng trong hệ thống của chính họ.
Điều này tạo ra một mặt trận mới trong cuộc chạy đua vũ trang an ninh mạng, đặt các kẻ tấn công được trang bị AI chống lại những người phòng thủ được trang bị AI. Hiện tại, các chuyên gia dự đoán một "giai đoạn chuyển tiếp" nơi các rủi ro an ninh mạng tăng lên đáng kể khi các công ty tranh nhau thích nghi với một thế giới mà phần mềm của họ có thể bị thăm dò điểm yếu với quy mô và tốc độ chưa từng có.
Bài viết này chỉ dành cho mục đích thông tin và không cấu thành lời khuyên đầu tư.
