Chiến dịch mã độc tống tiền bằng AI đầu tiên: Sức mạnh của công nghệ và vai trò thực sự của con người
- Thảo Nguyên

- 1 thg 7
- 5 phút đọc
Giới bảo mật công nghệ vừa chứng kiến một bước ngoặt đáng chú ý khi trí tuệ nhân tạo (AI) lần đầu tiên tự mình thực hiện một cuộc tấn công mạng. Chiến dịch này mang tên JadePuffer, được ghi nhận là trường hợp đầu tiên một "tác tử AI" (AI agent - một hệ thống AI có khả năng tự hoạt động độc lập) đảm nhận toàn bộ các bước kỹ thuật của một vụ tống tiền bằng mã độc từ đầu đến cuối mà không cần con người trực tiếp can thiệp.
Tuy nhiên, đi sâu vào chi tiết, các chuyên gia nhận thấy thế giới ngầm vẫn chưa hoàn toàn sa thải con người trong các phi vụ này.
AI tự tay hack hệ thống diễn ra như thế nào?
Theo công bố từ công ty an ninh mạng đám mây Sysdig, tác tử AI trong chiến dịch JadePuffer đã thể hiện khả năng thích ứng linh hoạt không thua kém gì một tin tặc thực thụ.
Sau khi lọt được vào hệ thống, thực thể AI này tự mình thực hiện một chuỗi hành động: lấy cắp thông tin xác thực, di chuyển sâu hơn vào mạng nội bộ của mục tiêu, tiến hành mã hóa các tệp tin để đòi tiền chuộc và thậm chí là tự viết thư đe dọa nạn nhân. Nhiều báo cáo ban đầu mô tả cuộc tấn công này diễn ra hoàn toàn tự động, "không có bóng dáng con người ngồi trước bàn phím".
Vai trò thực sự của con người phía sau hậu trường
Dù AI xử lý toàn bộ khâu kỹ thuật, nhưng điều đó không đồng nghĩa với việc con người hoàn toàn đứng ngoài cuộc. Trong một cuộc phỏng vấn, ông Michael Clark, Giám đốc cấp cao về nghiên cứu mối đe dọa của Sysdig, đã làm rõ hơn về bức tranh toàn cảnh này.
Thực tế, con người vẫn đóng vai trò cốt lõi trong việc thiết lập, định hướng và chuẩn bị nền móng cho chiến dịch. Họ là bên xây dựng hệ thống hạ tầng phía sau, bao gồm máy chủ điều khiển và máy chủ lưu trữ tạm thời dùng để chứa dữ liệu đánh cắp, đồng thời cũng chính con người là bên lựa chọn nạn nhân.
Đặc biệt, chìa khóa để AI xâm nhập vào cơ sở dữ liệu ban đầu không phải do nó tự tìm ra. Thông tin đăng nhập này đã được con người thu thập từ một vụ rò rỉ dữ liệu trước đó và cung cấp sẵn cho AI.
Diễn biến cuộc tấn công: Không mới về kỹ thuật nhưng cực nhanh
Mặc dù các phương thức xâm nhập được sử dụng trong chiến dịch này khá cơ bản, điểm khiến các chuyên gia kinh ngạc chính là tốc độ xử lý vô cùng đáng sợ của AI:
Cách thức xâm nhập: AI lợi dụng một lỗi bảo mật đã biết trên Langflow (một công cụ nguồn mở phổ biến dùng để xây dựng các ứng dụng AI).
Leo thang đặc quyền: Từ bước đệm đó, nó chuyển sang một máy chủ dữ liệu MySQL đang hoạt động và khai thác một lỗ hổng khác để chiếm quyền quản trị cao nhất (admin).
Hậu quả: Tổng cộng có hơn 1.300 bản ghi cấu hình đã bị mã hóa. AI tự soạn một bức thư đòi tiền chuộc kèm theo một địa chỉ ví Bitcoin để nhận tiền. Danh tính cụ thể của nạn nhân hiện vẫn được giữ kín.
Đáng chú ý, khi gặp phải sự cố đăng nhập thất bại trên đường đi, tác tử AI này chỉ mất đúng 31 giây để tự sửa lỗi thành công. Trong suốt quá trình thao tác, nó còn liên tục để lại các đoạn bình luận bằng ngôn ngữ tự nhiên ngay trong mã nguồn để giải thích cho các lập luận và hành động của chính mình.

Ẩn số về mô hình AI đứng sau chiến dịch
Ban đầu, việc Sysdig tìm thấy nhiều mã khóa (API key) của các nhà phát triển lớn như OpenAI, Anthropic, DeepSeek và Gemini trong hệ thống đã gây ra một số hiểu lầm. Nhiều người tự hỏi liệu có phải các mô hình này đã cùng phối hợp để vận hành cuộc tấn công hay không.
Tuy nhiên, phía Sysdig đã đính chính rằng những mã khóa này thực chất chỉ là một phần "chiến lợi phẩm" mà AI lục lọi và lấy cắp được từ máy chủ Langflow. Chúng phản ánh những tài sản có giá trị mà kẻ tấn công muốn nhắm tới, chứ không phải là bằng chứng cho thấy mô hình nào đang điều khiển cuộc tấn công. Hiện tại, Sysdig vẫn chưa thể xác định chính xác dòng AI nào đứng sau JadePuffer, cũng như không thể tiếp cận câu lệnh hệ thống hay cấu hình của nó.
Dưới góc nhìn chuyên gia, ông Geoff McDonald từ Microsoft đưa ra giả thuyết rằng thủ phạm có thể là một mô hình "trọng số mở" (open-weight model - loại mô hình AI mà người dùng có thể tự do chỉnh sửa) đã bị tin tặc can thiệp để loại bỏ các hàng rào an toàn. Dựa trên kinh nghiệm thử nghiệm tấn công bảo mật (red-teaming) của mình, ông cho biết các bộ lọc an toàn của những mô hình tiên tiến từ các hãng lớn hiện vẫn hoạt động rất tốt trước các hành vi độc hại. Bản báo cáo của Sysdig không khẳng định hay phủ định nhận định này.
Tương lai của mối đe dọa và những điểm nghẽn
Chuyên gia từ Microsoft cũng đưa ra lời cảnh báo rằng, một khi AI tham gia vào các chiến dịch mã độc tống tiền, giới hạn của các cuộc tấn công sẽ không còn phụ thuộc vào sức người mà nằm ở ngân sách của kẻ xấu. Điều này mở ra nguy cơ xuất hiện hàng nghìn, thậm chí hàng chục nghìn chiến dịch diễn ra đồng thời.
Tuy nhiên, mối lo ngại này phần nào được giảm bớt khi đối chiếu với thực tế mà Sysdig mô tả. Chừng nào con người vẫn phải tự tay chọn nạn nhân, tự xây dựng hạ tầng mạng và thu thập tài khoản đăng nhập cho từng chiến dịch, thì đó vẫn là một "điểm nghẽn" cố định ngăn chặn các cuộc tấn công bùng phát một cách tràn lan.
Dù vậy, do chi phí để vận hành một tác tử AI là cực kỳ rẻ, chuyên gia của Sysdig nhận định rằng xu hướng tin tặc sử dụng công nghệ này chắc chắn sẽ gia tăng trong tương lai, mặc dù hiện tại họ chưa phát hiện thêm nạn nhân nào khác ngoài chiến dịch JadePuffer.
Chiến dịch JadePuffer là minh chứng rõ ràng cho thấy AI đã bắt đầu bị vũ khí hóa trong thế giới tội phạm mạng. Dù công nghệ này có thể tự động hóa các khâu kỹ thuật với tốc độ chóng mặt, con người hiện tại vẫn là bên giật dây và chuẩn bị các điều kiện cốt lõi. Đây là một lời nhắc nhở quan trọng đối với ngành an toàn thông tin trong việc chuẩn bị các giải pháp đối phó với những mối đe dọa tự vận hành thế hệ mới.











Bình luận