Trí tuệ nhân tạo (AI) đang trở thành công cụ tấn công mạng nguy hiểm mới khi lần đầu tiên tin tặc sử dụng AI để phát hiện và khai thác một lỗ hổng bảo mật mà các công cụ quét truyền thống hoàn toàn không nhận ra. Google cho biết chỉ nhờ hệ thống giám sát chủ động của hãng mà một cuộc tấn công quy mô lớn đã được ngăn chặn kịp thời…
Trong nhiều năm, trí tuệ nhân tạo
(AI) được biết đến chủ yếu như một công cụ hỗ trợ con người trong các công việc
hằng ngày như viết email, tạo bảng tính, xử lý dữ liệu hay lập kế hoạch du
lịch. Tuy nhiên, theo một báo cáo mới đây của Nhóm Tình báo Đe dọa (Threat
Intelligence Group) thuộc Google, AI hiện đã bước sang một vai trò hoàn toàn
khác: trở thành công cụ giúp tin tặc phát hiện những lỗ hổng bảo mật mà trước
đây gần như không thể dò ra bằng các phương pháp thông thường.
Google cho biết lần đầu tiên hãng
phát hiện các đối tượng tấn công sử dụng AI để tìm kiếm và khai thác một lỗ
hổng “zero-day” – thuật ngữ dùng để chỉ các lỗ hổng bảo mật mà nhà phát triển
phần mềm chưa hề biết tới và chưa có bất kỳ bản vá nào.
Mục tiêu của vụ tấn công là một công
cụ quản trị hệ thống phổ biến hoạt động trên nền web. Lỗ hổng này đặc biệt nguy
hiểm vì cho phép tin tặc vượt qua cơ chế xác thực hai lớp (2FA), vốn được xem
là lớp bảo mật quan trọng giúp bảo vệ tài khoản người dùng khỏi các hành vi
truy cập trái phép.
Theo Google, hãng đã phát hiện cuộc
tấn công trước khi nó được triển khai trên diện rộng và âm thầm cảnh báo cho
nhà phát triển phần mềm liên quan.
“Đối tượng tấn công có kế hoạch sử
dụng lỗ hổng này trong một chiến dịch khai thác quy mô lớn, nhưng hoạt động
phát hiện chủ động của chúng tôi có thể đã ngăn chặn được điều đó”, báo cáo nêu
rõ.
LỖ
HỔNG “VÔ HÌNH” MÀ CÔNG CỤ QUÉT KHÔNG THỂ NHÌN THẤY
Điều khiến vụ việc này gây lo ngại
đặc biệt nằm ở chỗ lỗ hổng nói trên không phải là dạng lỗi bảo mật truyền
thống. Thông thường, các công cụ quét an ninh mạng hiện nay hoạt động bằng cách
tìm kiếm các dấu hiệu bất thường như lỗi bộ nhớ, xung đột dữ liệu hay tình
trạng phần mềm bị treo. Có thể hình dung chúng giống như các công cụ kiểm tra
chính tả trong văn bản, chuyên dò tìm những “lỗi đánh máy” trong môi trường số.
Tuy nhiên, lỗ hổng mà AI phát hiện
lần này lại nằm sâu trong logic vận hành của mã nguồn – một giả định được lập
trình viên “mã hóa cứng” vào hệ thống mà chính họ cũng không nhận ra có thể trở
thành điểm yếu bảo mật.
Đó là kiểu lỗi mà bề ngoài mọi thứ
đều vận hành hoàn toàn bình thường, nhưng logic nền tảng bên dưới lại tồn tại
mâu thuẫn nguy hiểm.
Google ví dụ tình huống này giống
như một két sắt ngân hàng có khóa hoạt động bình thường, nhưng vẫn tồn tại một
“ngoại lệ bí mật” cho phép ai biết trước cơ chế đó có thể mở khóa mà không cần
phá két. Nhà thiết kế hệ thống vô tình tạo ra ngoại lệ ấy mà không hề nhận ra. Đây
chính là loại mâu thuẫn mà các mô hình AI tiên tiến đặc biệt giỏi trong việc
phát hiện.
“Các mô hình ngôn ngữ lớn tiên tiến
(frontier LLMs) thể hiện năng lực vượt trội trong việc nhận diện các lỗ hổng
logic cấp cao và các bất thường cố định trong mã nguồn”, báo cáo của Google cho
biết.
Google nhận định dù các mô hình AI hiện nay vẫn gặp
khó khăn trong việc xử lý những hệ thống phân quyền doanh nghiệp quá phức tạp nhưng đang ngày càng cải thiện khả năng suy luận theo ngữ cảnh
và phát hiện các ngoại lệ bất thường trong hệ thống mã hóa.
Điều này đồng nghĩa với việc AI giờ
đây có thể tìm ra những lỗi logic tiềm ẩn vốn “vô hình” với các công cụ quét
bảo mật truyền thống nhưng lại có thể gây hậu quả nghiêm trọng về an ninh mạng.
TIN
TẶC ĐANG DÙNG AI ĐỂ TẤN CÔNG Ở QUY MÔ CÔNG NGHIỆP
Báo cáo của Google cho thấy việc AI
được sử dụng để phát hiện lỗ hổng zero-day chỉ là phần nổi của tảng băng. Các
nhóm tin tặc được cho là có liên hệ với Trung Quốc và Triều Tiên hiện đang sử
dụng AI để săn tìm lỗ hổng bảo mật trên quy mô công nghiệp, với tốc độ và mức
độ tự động hóa chưa từng có.
Theo Google, một nhóm tin tặc Triều
Tiên đã sử dụng AI để gửi hàng nghìn câu lệnh tự động nhằm phân tích các CVE –
cơ sở dữ liệu chứa thông tin về lỗ hổng bảo mật đã được công bố – đồng thời
kiểm tra khả năng khai thác thông qua các đoạn mã PoC (Proof of Concept).
Quá trình này giúp các nhóm tấn công
nhanh chóng xây dựng một “kho vũ khí khai thác” lớn hơn nhiều lần so với trước
đây. Google nhận định quy mô vận hành như vậy gần như không thể thực hiện nếu
thiếu sự hỗ trợ của AI.
Trong khi đó, các nhóm tin tặc có
liên hệ với Nga được cho là đang sử dụng AI để phát triển các loại mã độc có
khả năng tự thay đổi cấu trúc nhằm né tránh hệ thống phát hiện.
Trước đây, việc tạo ra các loại
malware có khả năng “biến hình” như vậy đòi hỏi trình độ kỹ thuật rất cao và
mất nhiều thời gian. Nhưng với AI, quá trình này đang trở nên nhanh hơn và tự
động hơn đáng kể.
Không chỉ hỗ trợ phát triển mã độc
hay khai thác lỗ hổng, AI còn đang thay đổi hoàn toàn cách thức tiến hành các
cuộc tấn công phishing.
Nếu như trước đây, tin tặc thường
gửi hàng loạt email với nội dung chung chung để đánh lừa người dùng, thì giờ
đây AI cho phép chúng phân tích cấu trúc tổ chức doanh nghiệp, xác định các cá
nhân nắm quyền truy cập dữ liệu quan trọng và tạo ra các email lừa đảo được “cá
nhân hóa” ở mức độ rất cao.
Theo Google, các cuộc tấn công kiểu
mới này tạo ra những email và nội dung giả mạo có độ chân thực rất cao, được
thiết kế riêng cho các cá nhân có quyền quản trị, vượt xa các hình thức
phishing đại trà trước đây.
AI
ĐANG TRỞ THÀNH “TÁC NHÂN TẤN CÔNG” TRONG AN NINH MẠNG
Điều khiến Google lo ngại nhất không
chỉ nằm ở việc AI giúp tăng tốc các hoạt động tấn công mạng, mà còn ở sự thay
đổi vai trò của AI trong toàn bộ chuỗi tấn công.
“LLM giờ đây không còn đơn thuần là
một cố vấn thụ động mà đã trở thành một thành phần chủ động trong chuỗi tấn
công, có khả năng điều phối các bộ công cụ phức tạp và đưa ra quyết định chiến
thuật với tốc độ của máy móc”, báo cáo nhấn mạnh. Nói cách khác, AI đang chuyển
từ vai trò hỗ trợ sang vai trò “tham chiến” trực tiếp trong các chiến dịch tấn
công mạng.
Dù vậy, Google cũng cho rằng AI đồng
thời là công cụ quan trọng nhất để phòng thủ trước chính các mối đe dọa mới
này. Theo hãng, chính các hệ thống AI của Google đã phát hiện lỗ hổng zero-day
nói trên trước khi nó gây ra thiệt hại thực tế. Công ty hiện đang triển khai
các tác nhân AI có khả năng tự động tìm kiếm và vá lỗ hổng nhanh hơn nhiều so
với các nhóm kỹ sư bảo mật truyền thống.
Cuộc chạy đua giữa AI tấn công và AI
phòng thủ vì thế được dự báo sẽ trở thành mặt trận trung tâm của an ninh mạng
toàn cầu trong những năm tới, khi cả các công ty công nghệ lẫn các nhóm tin tặc
đều đang tận dụng năng lực ngày càng mạnh của trí tuệ nhân tạo để giành lợi
thế.
Euronews-Trọng Hoàng
Nguồn:vneconomy.vn
