Trí tuệ nhân tạo (AI) từ lâu được biết đến chủ yếu như công cụ hỗ trợ con người trong các công việc hằng ngày như viết email, xử lý dữ liệu, tạo bảng tính hay lập kế hoạch. Tuy nhiên, theo báo cáo mới công bố của Nhóm Tình báo Đe dọa thuộc Google, AI hiện đã bước sang một vai trò hoàn toàn khác khi trở thành công cụ giúp tin tặc phát hiện các lỗ hổng bảo mật mà trước đây gần như không thể tìm thấy bằng phương pháp thông thường.
Google cho biết đây là lần đầu tiên hãng phát hiện các đối tượng tấn công sử dụng AI để tìm kiếm và khai thác một lỗ hổng “zero-day” - thuật ngữ dùng để chỉ các lỗ hổng bảo mật mà nhà phát triển phần mềm chưa hề biết tới và chưa có bản vá khắc phục.
Mục tiêu của vụ tấn công là một công cụ quản trị hệ thống phổ biến hoạt động trên nền web. Lỗ hổng này được đánh giá đặc biệt nguy hiểm do cho phép tin tặc vượt qua cơ chế xác thực hai lớp (2FA), vốn là lớp bảo mật quan trọng nhằm bảo vệ tài khoản trước các hành vi truy cập trái phép.
Theo Google, hãng đã phát hiện cuộc tấn công trước khi nó bị triển khai trên diện rộng và âm thầm cảnh báo cho nhà phát triển phần mềm liên quan.
“Đối tượng tấn công có kế hoạch sử dụng lỗ hổng này trong một chiến dịch khai thác quy mô lớn, nhưng hoạt động phát hiện chủ động của chúng tôi có thể đã ngăn chặn được điều đó”, báo cáo nêu rõ.
Lỗ hổng “vô hình” mà công cụ quét truyền thống không thể phát hiện
Điểm khiến vụ việc này gây lo ngại đặc biệt nằm ở chỗ lỗ hổng không thuộc dạng lỗi bảo mật truyền thống.
Thông thường, các công cụ quét an ninh mạng hiện nay hoạt động bằng cách dò tìm các dấu hiệu bất thường như lỗi bộ nhớ, xung đột dữ liệu hoặc tình trạng phần mềm bị treo. Có thể hình dung chúng giống như công cụ kiểm tra chính tả chuyên phát hiện những “lỗi đánh máy” trong môi trường số.
Tuy nhiên, lỗ hổng mà AI phát hiện lần này lại nằm sâu trong logic vận hành của mã nguồn - một giả định được lập trình viên “mã hóa cứng” vào hệ thống mà chính họ cũng không nhận ra có thể trở thành điểm yếu bảo mật.
Đây là dạng lỗi mà bề ngoài hệ thống vẫn vận hành bình thường nhưng logic nền tảng bên dưới lại tồn tại mâu thuẫn nguy hiểm.
Google ví dụ tình huống này giống như một két sắt ngân hàng có khóa hoạt động bình thường nhưng tồn tại một “ngoại lệ bí mật” cho phép người hiểu rõ cơ chế có thể mở khóa mà không cần phá két. Nhà thiết kế hệ thống vô tình tạo ra ngoại lệ đó mà không hề nhận ra. Theo Google, đây chính là kiểu mâu thuẫn mà các mô hình AI tiên tiến đặc biệt giỏi trong việc phát hiện.
“Các mô hình ngôn ngữ lớn tiên tiến (frontier LLMs) thể hiện năng lực vượt trội trong việc nhận diện các lỗ hổng logic cấp cao và các bất thường cố định trong mã nguồn”, báo cáo của Google cho biết.
Google nhận định dù các mô hình AI hiện nay vẫn gặp khó khăn khi xử lý những hệ thống phân quyền doanh nghiệp quá phức tạp, nhưng khả năng suy luận theo ngữ cảnh và phát hiện các ngoại lệ bất thường đang ngày càng được cải thiện.
Điều này đồng nghĩa AI giờ đây có thể tìm ra những lỗi logic tiềm ẩn vốn “vô hình” với các công cụ quét bảo mật truyền thống nhưng lại có thể gây hậu quả nghiêm trọng về an ninh mạng.
Tin tặc dùng AI để tăng tốc tấn công mạng quy mô lớn
Theo báo cáo của Google, việc AI được dùng để phát hiện lỗ hổng zero-day mới chỉ là phần nổi của tảng băng.
Các nhóm tin tặc bị cho là có liên hệ với Trung Quốc và Triều Tiên hiện đang sử dụng AI để săn tìm lỗ hổng bảo mật trên quy mô công nghiệp với tốc độ và mức độ tự động hóa chưa từng có.
Google cho biết một nhóm tin tặc Triều Tiên đã dùng AI để gửi hàng nghìn câu lệnh tự động nhằm phân tích các CVE - cơ sở dữ liệu chứa thông tin về lỗ hổng bảo mật đã được công bố - đồng thời kiểm tra khả năng khai thác thông qua các đoạn mã PoC (Proof of Concept).
Quá trình này giúp các nhóm tấn công nhanh chóng xây dựng “kho vũ khí khai thác” lớn hơn nhiều lần so với trước đây. Theo Google, quy mô vận hành như vậy gần như không thể thực hiện nếu thiếu sự hỗ trợ của AI.
Trong khi đó, các nhóm tin tặc có liên hệ với Nga được cho là đang sử dụng AI để phát triển những loại mã độc có khả năng tự thay đổi cấu trúc nhằm né tránh hệ thống phát hiện.
Trước đây, việc tạo ra malware có khả năng “biến hình” như vậy đòi hỏi trình độ kỹ thuật rất cao và mất nhiều thời gian. Tuy nhiên với AI, quá trình này đang trở nên nhanh hơn và tự động hơn đáng kể.
Không chỉ hỗ trợ phát triển mã độc hoặc khai thác lỗ hổng, AI còn đang làm thay đổi hoàn toàn phương thức triển khai các cuộc tấn công phishing.
Nếu trước đây tin tặc thường gửi hàng loạt email có nội dung chung chung để đánh lừa người dùng, thì hiện nay AI cho phép chúng phân tích cấu trúc tổ chức doanh nghiệp, xác định những cá nhân nắm quyền truy cập dữ liệu quan trọng và tạo ra các email lừa đảo được cá nhân hóa ở mức độ rất cao.
Theo Google, các hình thức tấn công mới này tạo ra những email và nội dung giả mạo có độ chân thực lớn, được thiết kế riêng cho các cá nhân có quyền quản trị, vượt xa các hình thức phishing đại trà trước đây.
AI đang trở thành “tác nhân tấn công” trong an ninh mạng
Google cho rằng điều đáng lo ngại nhất không chỉ nằm ở việc AI giúp tăng tốc các hoạt động tấn công mạng, mà còn ở sự thay đổi vai trò của AI trong toàn bộ chuỗi tấn công.
“LLM giờ đây không còn đơn thuần là một cố vấn thụ động mà đã trở thành một thành phần chủ động trong chuỗi tấn công, có khả năng điều phối các bộ công cụ phức tạp và đưa ra quyết định chiến thuật với tốc độ của máy móc”, báo cáo nhấn mạnh.
Theo đó, AI đang chuyển từ vai trò hỗ trợ sang trực tiếp “tham chiến” trong các chiến dịch tấn công mạng.
Dù vậy, Google cũng cho rằng AI đồng thời là công cụ quan trọng nhất để phòng thủ trước chính các mối đe dọa mới này. Theo hãng, các hệ thống AI của Google đã phát hiện lỗ hổng zero-day nói trên trước khi nó gây ra thiệt hại thực tế.
Hiện Google đang triển khai các tác nhân AI có khả năng tự động tìm kiếm và vá lỗ hổng nhanh hơn nhiều so với các nhóm kỹ sư bảo mật truyền thống.
Cuộc chạy đua giữa AI tấn công và AI phòng thủ vì thế được dự báo sẽ trở thành mặt trận trung tâm của an ninh mạng toàn cầu trong những năm tới, khi cả các công ty công nghệ lẫn các nhóm tin tặc đều đang tận dụng năng lực ngày càng mạnh của trí tuệ nhân tạo để giành lợi thế.
Bình luận
0