top of page

Cảnh báo mối nguy từ Shadow AI: Kỹ thuật tấn công mới nhắm vào các AI lập trình

Nghiên cứu mới đây của Mozilla đã vạch trần một phương thức tấn công tinh vi, cho phép hacker chiếm quyền điều khiển máy tính của lập trình viên thông qua một kho mã nguồn GitHub. Thay vì cài cắm mã độc trực tiếp, kẻ tấn công khéo léo chèn các chỉ thị ẩn để đánh lừa các trợ lý AI tự chủ như Claude Code tự động kích hoạt lệnh phá hoại từ xa. Lỗ hổng này là minh chứng rõ ràng nhất cho thấy sự nguy hiểm của Shadow AI. 

Shadow AI là những công cụ AI ngoài luồng đang hoạt động âm thầm và đe dọa trực tiếp đến an toàn thông tin của doanh nghiệp.

Đòn thao túng tâm lý dành riêng cho AI

Phương thức mà các nhà nghiên cứu Mozilla sử dụng được gọi là tấn công chèn câu lệnh gián tiếp (Indirect Prompt Injection). Nếu như trong các cuộc tấn công lừa đảo truyền thống (Social Engineering), tin tặc tìm cách thao túng tâm lý để lừa con người bấm vào đường link độc hại, thì ở đây, đối tượng bị "dắt mũi" lại là các trợ lý AI.

Thay vì nhập trực tiếp câu lệnh phá hoại, kẻ tấn công ẩn giấu các chỉ thị tinh vi ngay bên trong các tệp tin mà AI sẽ đọc và xử lý, chẳng hạn như tệp hướng dẫn README hoặc các thông báo lỗi hệ thống. Khi lập trình viên yêu cầu trợ lý AI hỗ trợ thiết lập hoặc kiểm tra một dự án mã nguồn tải từ internet về, công cụ AI - với bản tính luôn cố gắng "tỏ ra có ích" và tự động giải quyết các bước cài đặt - sẽ vô tình thực hiện luôn cả những chỉ thị ngầm do tin tặc cài cắm mà không cần bất kỳ sự phê duyệt hay can thiệp nào từ con người.

Claude Code được Mozilla chọn làm môi trường thử nghiệm.
Claude Code được Mozilla chọn làm môi trường thử nghiệm.

Trận địa vô hình qua hạ tầng mạng DNS

Điểm tinh vi và nguy hiểm nhất của kỹ thuật tấn công này nằm ở chỗ: Kho mã nguồn trên GitHub thực sự không có mã độc. Mọi công cụ quét bảo mật tĩnh (Static Security Scanner) hay ngay cả các chuyên gia bảo mật kỳ cựu khi rà soát tệp tin cũng không thể tìm thấy bất kỳ dấu vết bất thường nào. Vậy mã độc đến từ đâu?

Cuộc tấn công được chuỗi hóa mượt mà qua ba bước cốt lõi:

  • Bẫy mồi: Kho mã nguồn chứa các hướng dẫn thiết lập thông thường, nhưng một gói mã nguồn Python trong dự án được cố tình lập trình để chạy lỗi ngay lần đầu tiên. Thông báo lỗi này sẽ định hướng cấu hình, yêu cầu chạy một lệnh khởi tạo (ví dụ: setup.sh) để "sửa lỗi".

  • Bàn giao quyền lực: Vì các trợ lý AI như Claude Code được thiết kế để tự động hóa việc sửa lỗi giúp lập trình viên, nó sẽ tự đứng ra kích hoạt kịch bản cài đặt này để dự án có thể vận hành.

  • Kích hoạt mã độc từ xa: Kịch bản cài đặt không chứa mã độc sẵn, mà nó thực hiện lệnh truy vấn dữ liệu từ một bản ghi hệ thống tên miền (DNS TXT) do kẻ tấn công kiểm soát. Dữ liệu này sau đó được giải mã (base64) và thực thi ngay lập tức, mở ra một reverse shell - một giao diện điều khiển đảo ngược cho phép tin tặc từ xa có thể gõ lệnh và điều khiển trực tiếp máy tính của nạn nhân.

Bằng cách giấu mã độc trong hạ tầng DNS (vốn là hệ thống dịch tên miền internet thông thường) và chỉ tải về khi ứng dụng đang chạy (runtime), kẻ tấn công có thể thay đổi nội dung mã độc bất cứ lúc nào. Toàn bộ quá trình diễn ra âm thầm, chạy bằng chính quyền hạn tối cao của lập trình viên đang đăng nhập trên máy. Từ đó, hacker dễ dàng thu thập các loại chìa khóa bảo mật tối mật như ANTHROPIC_API_KEY, AWS_SECRET_ACCESS_KEY hay GITHUB_TOKEN, mở toang cánh cửa bước vào kho mã nguồn gốc, tài khoản đám mây và dữ liệu khách hàng của doanh nghiệp.

Từ "trợ lý nhiệt huyết" thành đồng phạm của hacker

Nghiên cứu của Mozilla chỉ rõ, đây không phải là lỗi riêng của một sản phẩm nào. Dù Claude Code được chọn làm môi trường thử nghiệm, rủi ro này ảnh hưởng tới mọi công cụ lập trình có tính năng tự chủ (agentic) cao. Dù nhà phát triển Anthropic đã xây dựng các hàng rào bảo vệ rất kiên cố cho Claude Code (như việc ra mắt trình quét lỗ hổng bảo mật bằng AI), nhưng bản chất của việc cho phép các thực thể AI tự hoạt động dựa trên các nội dung chưa được kiểm chứng bên ngoài vẫn là một bài toán rủi ro mới chưa có lời giải triệt để.

Điều này giải thích lý do vì sao Shadow AI lại đáng sợ đến vậy. Khác với các chatbot thông thường chỉ phản hồi bằng văn bản (rủi ro chủ yếu dừng lại ở rò rỉ dữ liệu), các trợ lý AI tự chủ là một phần mềm có khả năng đọc tệp, chạy lệnh hệ thống và kết nối mạng thay cho con người. Khi nhân viên tự ý cài đặt và sử dụng chúng ngoài tầm kiểm soát của phòng CNTT, ba nguy cơ sau sẽ cộng hưởng:

  • Hoàn toàn mất dấu: Bộ phận quản trị không biết công cụ nào đang chạy, đang thực thi những gì và có thể tiếp cận những tài nguyên nào.

  • Quyền hạn treo: Các công cụ này thường lưu trữ các mã khóa API cấu hình dưới dạng văn bản thô (plaintext) — mục tiêu béo bở mà cuộc tấn công trên nhắm tới.

  • Sự tự chủ mù quáng: AI luôn cố gắng tự giải quyết vấn đề nhanh nhất. Chính sự "nhiệt huyết" và tiện dụng này lại là cánh tay nối dài giúp tin tặc kích hoạt lệnh phá hoại.

Đối tượng chịu rủi ro cao nhất không chỉ là các kỹ sư công nghệ cấp cao, mà còn là các nhà sáng lập, nhà thầu phụ, hoặc thậm chí là nhân sự không chuyên về kỹ thuật đang mượn AI để chạy thử một dự án tìm thấy trên mạng. 


Doanh nghiệp cần hành động thế nào?

Để quản lý rủi ro này, các nhà điều hành doanh nghiệp không nhất thiết phải là chuyên gia am hiểu tường tận về các bản ghi DNS. Thay vào đó, họ cần đặt ra những câu hỏi mang tính quản trị cốt lõi cho bộ phận CNTT hoặc các đối tác dịch vụ quản trị (MSP):

1.

Những công cụ AI nào đang có quyền thực thi mã hoặc câu lệnh trong môi trường làm việc của chúng ta, và ai đã phê duyệt chúng? (Cần phân biệt rõ trợ lý thụ động và công cụ có quyền tự chủ hành động.)

2.

Các thông tin xác thực của lập trình viên và các khóa AI đang được lưu trữ ở đâu? Có tệp cấu hình nào lưu dưới dạng văn bản thô dễ bị đánh cắp không?

3.

Các công cụ AI lập trình đang chạy bằng toàn quyền của nhân viên hay đang được cô lập trong môi trường hạn chế quyền hạn (sandbox)?

4.

Doanh nghiệp đã ban hành danh mục công cụ AI được phê duyệt chính thức và có chính sách sử dụng AI rõ ràng chưa? (Nhân viên thường tìm đến Shadow AI khi công ty không cung cấp một giải pháp thay thế hợp pháp nào.)

Các câu hỏi này cũng chính là nền tảng cốt lõi được quy định trong các khung tiêu chuẩn bảo mật uy tín toàn cầu như Kiểm soát An ninh mạng Cơ bản của CCCS, nghĩa vụ PIPEDA (tại Canada), hay NIST SP 800-171, bộ quy tắc CIS và Quy định Bảo vệ của FTC (tại Mỹ). Tất cả đều hướng tới một nguyên tắc chung: Doanh nghiệp buộc phải biết phần mềm nào đang truy cập dữ liệu nhạy cảm của mình và ai là người chịu trách nhiệm cho phần mềm đó.

Nghiên cứu từ Mozilla không phải là một lỗi kỹ thuật đơn lẻ có thể vá xong là hết, mà là phát súng mở màn cho một xu hướng tấn công mới. Khi các thực thể AI ngày càng tự chủ, mục tiêu của kẻ tấn công sẽ dịch chuyển từ việc lừa gạt con người sang lừa gạt AI - đối tượng sở hữu nhiều quyền truy cập hệ thống hơn nhưng lại ít có bản năng nghi ngờ hơn con người…

Nguồn: Cyber Unit

Bình luận


theo dõi ipsip việt nam trên google news.png
conact-ipsip-vietnam
zalo
đặt lịch hẹn
bottom of page