Tin ngành
Vụ tấn công ransomware 'đầu tiên' do AI thực hiện vẫn cần bàn tay con người
(giờ Việt Nam)
Tóm tắt AI
Dù AI đã thực hiện các bước kỹ thuật trong vụ tấn công ransomware, nhưng con người vẫn đóng vai trò chủ chốt trong việc chọn mục tiêu và cung cấp dữ liệu. Điều này cho thấy AI chưa hoàn toàn tự chủ như những đồn đoán trước đó.
Bản dịch AI
Tuần trước, các nhà nghiên cứu tại công ty bảo mật đám mây Sysdig cho biết họ đã ghi nhận trường hợp đầu tiên được biết đến về "agentic ransomware" (mã độc tống tiền tự hành). Đây là một chiến dịch tống tiền có tên gọi JadePuffer, trong đó một AI agent — chứ không phải con người — đã thực hiện toàn bộ quá trình tấn công mạng trong thực tế từ đầu đến cuối. Agent này đã đột nhập vào một máy chủ có lỗ hổng, đánh cắp thông tin xác thực, di chuyển trong mạng lưới của mục tiêu, mã hóa tệp tin và thậm chí tự viết thư đòi tiền chuộc, đồng thời thích nghi với các trở ngại trên đường đi giống như một hacker thực thụ. Các bài viết về vụ việc này mô tả nó được vận hành "không cần bất kỳ sự giám sát nào của con người", với "không có bàn tay con người trên bàn phím".
Đó chưa phải là toàn bộ bức tranh. Trong một cuộc phỏng vấn với CyberScoop vào thứ Hai, Michael Clark, giám đốc cấp cao về nghiên cứu mối đe dọa của Sysdig, đã làm rõ rằng con người vẫn tham gia rất nhiều — chỉ là không trực tiếp thực hiện các thao tác kỹ thuật. "Con người vẫn là người thiết lập, định hướng chiến dịch và cung cấp cơ sở hạ tầng phía sau, bao gồm máy chủ điều khiển (command-and-control), máy chủ dàn dựng (staging server) dùng để lưu trữ dữ liệu bị đánh cắp và chọn nạn nhân," Clark cho biết. Ông nói thêm rằng các thông tin xác thực dùng để đột nhập vào cơ sở dữ liệu của nạn nhân không phải do chính AI agent thu thập; mà có người đã lấy được chúng từ trước thông qua một vụ xâm nhập khác và cung cấp cho chiến dịch này.
Những điều này không hề mâu thuẫn với tuyên bố ban đầu của Sysdig, và các chi tiết kỹ thuật của vụ tấn công vẫn rất đáng chú ý — thậm chí là kinh ngạc. Agent này xâm nhập thông qua một lỗi đã biết trong Langflow, một công cụ mã nguồn mở phổ biến để xây dựng các ứng dụng LLM, sau đó di chuyển đến một máy chủ MySQL sản xuất và khai thác một lỗ hổng đã biết khác để giành quyền truy cập quản trị. Nó đã mã hóa hơn 1.300 bản ghi cấu hình và không chỉ để lại một bức thư đòi tiền chuộc do chính nó viết, mà còn để lại một địa chỉ Bitcoin để gửi tiền chuộc. Sysdig chưa tiết lộ ai là nạn nhân bị nhắm đến.
Các kỹ thuật được sử dụng có vẻ khá thông thường, điều nổi bật ở đây là tốc độ và sự minh bạch. Agent này đã khắc phục một lỗi đăng nhập thất bại chỉ trong 31 giây, đồng thời tự tường thuật lại quá trình suy luận của mình trong các chú thích mã bằng ngôn ngữ tự nhiên.
Một chi tiết ban đầu gây hiểu lầm đã được làm rõ. Clark từng nói với CyberScoop rằng Sysdig phát hiện "nhiều mô hình đã được sử dụng trong cuộc tấn công", viện dẫn các khóa API bị đánh cắp của OpenAI, Anthropic, DeepSeek và Gemini — cách diễn đạt này đã để ngỏ câu hỏi liệu có phải nhiều mô hình cùng hoạt động để thúc đẩy các giai đoạn khác nhau của vụ xâm nhập hay không. Khi được yêu cầu làm rõ, Clark nói với TechCrunch rằng những khóa đó chỉ đơn giản là một phần trong số những gì agent đã đánh cắp, chứ không phải bằng chứng cho thấy chúng là thứ điều khiển cuộc tấn công.
"Agent đã quét máy chủ Langflow để tìm bất cứ thứ gì có giá trị — khóa API của nhà cung cấp, thông tin xác thực đám mây, ví tiền điện tử và cấu hình cơ sở dữ liệu — và các khóa của nhà cung cấp đó chỉ là một phần của chiến lợi phẩm," ông cho biết qua email. "Chúng cho thấy những gì kẻ tấn công coi là đáng lấy, nhưng không cho chúng ta biết mô hình nào đang đưa ra các quyết định."
Về mô hình thực sự đang vận hành JadePuffer, Clark cho biết Sysdig "không thể xác định mô hình cụ thể nào đang điều khiển agent" và không có quyền truy cập vào lời nhắc hệ thống (system prompt) hoặc cấu hình của nó.
Giả thuyết của nhà nghiên cứu Geoff McDonald từ Microsoft, được đưa ra trên LinkedIn vài ngày trước, rất đáng xem xét dưới góc độ này. McDonald nghi ngờ rằng một mô hình mã nguồn mở đã bị loại bỏ các lớp bảo mật, thay vì một mô hình tiên tiến (frontier model), mới là thứ đứng sau cuộc tấn công. Điều này dựa trên kinh nghiệm red-teaming của chính ông cho thấy các lớp bảo mật của các phòng thí nghiệm mô hình tiên tiến vẫn hoạt động rất tốt. Báo cáo của Sysdig không xác nhận cũng không bác bỏ giả thuyết này.
Bài đăng của McDonald cũng cảnh báo rằng các chiến dịch mã độc tống tiền hiện nay chủ yếu bị giới hạn bởi ngân sách của kẻ tấn công thay vì nỗ lực của con người, làm dấy lên khả năng xảy ra "hàng nghìn hoặc hàng chục nghìn chiến dịch đồng thời". Mối lo ngại đó hơi khó khớp với những gì Clark mô tả vào thứ Hai. (Nếu một con người vẫn phải chọn từng nạn nhân, cung cấp cơ sở hạ tầng và lấy thông tin xác thực cơ sở dữ liệu cho mỗi chiến dịch, thì đó ít nhất vẫn là một nút thắt cổ chai.)
Dù sao đi nữa, Clark nói với CyberScoop rằng, mặc dù Sysdig chưa thấy chiến dịch tương tự tấn công các nạn nhân khác, nhưng xét đến chi phí vận hành một agent rất rẻ, ông dự đoán điều đó sẽ sớm thay đổi.
Khi bạn mua hàng thông qua các liên kết trong bài viết của chúng tôi, chúng tôi có thể nhận được một khoản hoa hồng nhỏ. Điều này không ảnh hưởng đến tính độc lập trong biên tập của chúng tôi.
Loizos đã đưa tin về Thung lũng Silicon từ cuối những năm 90, khi bà gia nhập tạp chí Red Herring gốc. Từng là Biên tập viên Thung lũng Silicon của TechCrunch, bà được bổ nhiệm làm Tổng biên tập và Tổng giám đốc của TechCrunch vào tháng 9 năm 2023. Bà cũng là người sáng lập StrictlyVC, một bản tin điện tử hàng ngày và chuỗi bài giảng đã được Yahoo mua lại vào tháng 8 năm 2023 và hiện được vận hành như một thương hiệu con của TechCrunch.
Bạn có thể liên hệ hoặc xác minh thông tin từ Connie bằng cách gửi email đến [email protected] hoặc [email protected], hoặc qua tin nhắn mã hóa tại ConnieLoizos.53 trên Signal.
Xem tiểu sử
Bài viết được AI dịch và tổng hợp tự động từ TechCrunch AI. Liên kết bài gốc ở phía trên. AIHOT.vn luôn dẫn nguồn đầy đủ — nếu bạn thấy điểm cần chỉnh sửa, hãy gửi ý kiến tại trang phản hồi.