Google cảnh báo tin tặc dùng AI săn lỗ hổng bảo mật

Trong nhiều năm, trí tuệ nhân tạo (AI) được biết đến chủ yếu như một công cụ hỗ trợ con người trong các công việc hằng ngày như viết email, tạo bảng tính, xử lý dữ liệu hay lập kế hoạch du lịch. Tuy nhiên, theo một báo cáo mới đây của Nhóm Tình báo Đe dọa (Threat Intelligence Group) thuộc Google, AI hiện đã bước sang một vai trò hoàn toàn khác: trở thành công cụ giúp tin tặc phát hiện những lỗ hổng bảo mật mà trước đây gần như không thể dò ra bằng các phương pháp thông thường.

Mục tiêu của vụ tấn công là một công cụ quản trị hệ thống phổ biến hoạt động trên nền web. Lỗ hổng này đặc biệt nguy hiểm vì cho phép tin tặc vượt qua cơ chế xác thực hai lớp (2FA), vốn được xem là lớp bảo mật quan trọng giúp bảo vệ tài khoản người dùng khỏi các hành vi truy cập trái phép.

Theo Google, hãng đã phát hiện cuộc tấn công trước khi nó được triển khai trên diện rộng và âm thầm cảnh báo cho nhà phát triển phần mềm liên quan.

“Đối tượng tấn công có kế hoạch sử dụng lỗ hổng này trong một chiến dịch khai thác quy mô lớn, nhưng hoạt động phát hiện chủ động của chúng tôi có thể đã ngăn chặn được điều đó”, báo cáo nêu rõ.

LỖ HỔNG “VÔ HÌNH” MÀ CÔNG CỤ QUÉT KHÔNG THỂ NHÌN THẤY

Điều khiến vụ việc này gây lo ngại đặc biệt nằm ở chỗ lỗ hổng nói trên không phải là dạng lỗi bảo mật truyền thống. Thông thường, các công cụ quét an ninh mạng hiện nay hoạt động bằng cách tìm kiếm các dấu hiệu bất thường như lỗi bộ nhớ, xung đột dữ liệu hay tình trạng phần mềm bị treo. Có thể hình dung chúng giống như các công cụ kiểm tra chính tả trong văn bản, chuyên dò tìm những “lỗi đánh máy” trong môi trường số.

Tuy nhiên, lỗ hổng mà AI phát hiện lần này lại nằm sâu trong logic vận hành của mã nguồn - một giả định được lập trình viên “mã hóa cứng” vào hệ thống mà chính họ cũng không nhận ra có thể trở thành điểm yếu bảo mật.

Đó là kiểu lỗi mà bề ngoài mọi thứ đều vận hành hoàn toàn bình thường, nhưng logic nền tảng bên dưới lại tồn tại mâu thuẫn nguy hiểm.

Google ví dụ tình huống này giống như một két sắt ngân hàng có khóa hoạt động bình thường, nhưng vẫn tồn tại một “ngoại lệ bí mật” cho phép ai biết trước cơ chế đó có thể mở khóa mà không cần phá két. Nhà thiết kế hệ thống vô tình tạo ra ngoại lệ ấy mà không hề nhận ra. Đây chính là loại mâu thuẫn mà các mô hình AI tiên tiến đặc biệt giỏi trong việc phát hiện.

“Các mô hình ngôn ngữ lớn tiên tiến (frontier LLMs) thể hiện năng lực vượt trội trong việc nhận diện các lỗ hổng logic cấp cao và các bất thường cố định trong mã nguồn”, báo cáo của Google cho biết.

Google nhận định dù các mô hình AI hiện nay vẫn gặp khó khăn trong việc xử lý những hệ thống phân quyền doanh nghiệp quá phức tạp nhưng đang ngày càng cải thiện khả năng suy luận theo ngữ cảnh và phát hiện các ngoại lệ bất thường trong hệ thống mã hóa.

Điều này đồng nghĩa với việc AI giờ đây có thể tìm ra những lỗi logic tiềm ẩn vốn “vô hình” với các công cụ quét bảo mật truyền thống nhưng lại có thể gây hậu quả nghiêm trọng về an ninh mạng.

TIN TẶC ĐANG DÙNG AI ĐỂ TẤN CÔNG Ở QUY MÔ CÔNG NGHIỆP

Báo cáo của Google cho thấy việc AI được sử dụng để phát hiện lỗ hổng zero-day chỉ là phần nổi của tảng băng. Các nhóm tin tặc được cho là có liên hệ với Trung Quốc và Triều Tiên hiện đang sử dụng AI để săn tìm lỗ hổng bảo mật trên quy mô công nghiệp, với tốc độ và mức độ tự động hóa chưa từng có.

Theo Google, một nhóm tin tặc Triều Tiên đã sử dụng AI để gửi hàng nghìn câu lệnh tự động nhằm phân tích các CVE - cơ sở dữ liệu chứa thông tin về lỗ hổng bảo mật đã được công bố - đồng thời kiểm tra khả năng khai thác thông qua các đoạn mã PoC (Proof of Concept).

Quá trình này giúp các nhóm tấn công nhanh chóng xây dựng một “kho vũ khí khai thác” lớn hơn nhiều lần so với trước đây. Google nhận định quy mô vận hành như vậy gần như không thể thực hiện nếu thiếu sự hỗ trợ của AI.

Trong khi đó, các nhóm tin tặc có liên hệ với Nga được cho là đang sử dụng AI để phát triển các loại mã độc có khả năng tự thay đổi cấu trúc nhằm né tránh hệ thống phát hiện.

Không chỉ hỗ trợ phát triển mã độc hay khai thác lỗ hổng, AI còn đang thay đổi hoàn toàn cách thức tiến hành các cuộc tấn công phishing.

Nếu như trước đây, tin tặc thường gửi hàng loạt email với nội dung chung chung để đánh lừa người dùng, thì giờ đây AI cho phép chúng phân tích cấu trúc tổ chức doanh nghiệp, xác định các cá nhân nắm quyền truy cập dữ liệu quan trọng và tạo ra các email lừa đảo được “cá nhân hóa” ở mức độ rất cao.

Theo Google, các cuộc tấn công kiểu mới này tạo ra những email và nội dung giả mạo có độ chân thực rất cao, được thiết kế riêng cho các cá nhân có quyền quản trị, vượt xa các hình thức phishing đại trà trước đây.

AI ĐANG TRỞ THÀNH “TÁC NHÂN TẤN CÔNG” TRONG AN NINH MẠNG

Điều khiến Google lo ngại nhất không chỉ nằm ở việc AI giúp tăng tốc các hoạt động tấn công mạng, mà còn ở sự thay đổi vai trò của AI trong toàn bộ chuỗi tấn công.

“LLM giờ đây không còn đơn thuần là một cố vấn thụ động mà đã trở thành một thành phần chủ động trong chuỗi tấn công, có khả năng điều phối các bộ công cụ phức tạp và đưa ra quyết định chiến thuật với tốc độ của máy móc”, báo cáo nhấn mạnh. Nói cách khác, AI đang chuyển từ vai trò hỗ trợ sang vai trò “tham chiến” trực tiếp trong các chiến dịch tấn công mạng.

Dù vậy, Google cũng cho rằng AI đồng thời là công cụ quan trọng nhất để phòng thủ trước chính các mối đe dọa mới này. Theo hãng, chính các hệ thống AI của Google đã phát hiện lỗ hổng zero-day nói trên trước khi nó gây ra thiệt hại thực tế. Công ty hiện đang triển khai các tác nhân AI có khả năng tự động tìm kiếm và vá lỗ hổng nhanh hơn nhiều so với các nhóm kỹ sư bảo mật truyền thống.

Cuộc chạy đua giữa AI tấn công và AI phòng thủ vì thế được dự báo sẽ trở thành mặt trận trung tâm của an ninh mạng toàn cầu trong những năm tới, khi cả các công ty công nghệ lẫn các nhóm tin tặc đều đang tận dụng năng lực ngày càng mạnh của trí tuệ nhân tạo để giành lợi thế.