Nhóm Threat Intelligence của Google vừa phát hiện một nhóm hacker tội phạm sử dụng công cụ AI để tạo ra một lỗ hổng zero-day và khai thác nó trực tiếp ngoài đời thực lần đầu tiên, ngăn chặn kịp thời một cuộc tấn công quy mô lớn trước khi nó kịp xảy ra.
Phát hiện này nằm trong một báo cáo cho thấy các đối tượng tấn công hiện nay sử dụng mô hình ngôn ngữ lớn (LLM) ở mọi giai đoạn xâm nhập. Những người bảo vệ cũng đang gấp rút triển khai các công cụ AI của mình để đối đầu trên chính mặt trận này.
AI đã tạo ra lỗ hổng zero-day hoạt động như thế nào
Mã độc nguy hiểm được viết bằng Python, đã vượt qua được xác thực hai yếu tố (2FA) trên một công cụ quản trị hệ thống mã nguồn mở phổ biến. Google không tiết lộ tên nhà cung cấp bị ảnh hưởng.
Theo dõi chúng tôi trên X để nhận tin tức mới nhất ngay khi chúng được cập nhật
Một số dấu hiệu đã chỉ ra rằng mã độc được viết bởi một mô hình ngôn ngữ lớn. Script có phần mô tả chi tiết dạng hướng dẫn, và kèm theo một mức điểm Common Vulnerability Scoring System (CVSS) do máy tạo ra, điều mà các nhà nghiên cứu bảo mật con người sẽ không làm.
Google cho biết mô hình Gemini của hãng không liên quan đến vụ việc này. Ông John Hultquist, nhà phân tích trưởng của GTIG, cảnh báo rằng có thể đã có những cuộc tấn công tinh vi hơn do AI hỗ trợ nhưng vẫn chưa bị phát hiện.
“Mỗi thế hệ mô hình AI mới sẽ càng ít cần đến sự can thiệp của chuyên gia hơn, nhưng chắc chắn bên ngoài đã có những khai thác như vậy rồi. Chúng ta cần nhận ra hạn chế trong khả năng quan sát của mình đối với hoạt động của các gián điệp và tội phạm mạng. Các dấu hiệu sẽ không dễ nhận ra đâu. Cuộc đua đã bắt đầu rồi,” ông cho biết.
Các chuyên gia phòng thủ phản công
Báo cáo cũng chỉ ra các mã độc liên quan đến Nga như PROMPTFLUX và PROMPTSPY, một loại backdoor trên hệ điều hành Android có thể gọi Gemini theo thời gian thực để lên kế hoạch cho bước tấn công tiếp theo.
Các nhóm hacker nhà nước từ Trung Quốc và Triều Tiên cũng được cho là đang đào tạo những mô hình riêng của họ dựa trên bộ dữ liệu gồm 85,000 lỗ hổng bảo mật.
Để đáp trả, Google đã phát triển Big Sleep, một công cụ AI săn tìm lỗ hổng zero-day trước khi hacker phát hiện ra, và hệ thống tự động vá lỗi CodeMender. Big Sleep đã kịp thời phát hiện và xử lý một lỗ hổng mà các hacker sắp khai thác.
Tại sao lĩnh vực crypto cần đặc biệt chú ý
Khoảng cách giữa tấn công và phòng thủ ngày càng rút ngắn lại. Theo nghiên cứu của Binance Research, AI có khả năng khai thác lỗ hổng trong hợp đồng thông minh hiệu quả gấp đôi so với việc phát hiện các mối đe dọa.
Trước đó, đã có nhiều cảnh báo về việc công cụ AI của Google có thể giúp kẻ xấu rút tiền trong ví, cũng như một lỗ hổng mới trên Chrome vừa được phát hiện gây lộ khóa cá nhân.
Trong bối cảnh này, các sàn giao dịch cũng triển khai các công cụ AI của riêng mình để bảo vệ, nhưng tiêu chuẩn an toàn cũng ngày càng khắt khe hơn.
Khi cả hai bên tấn công lẫn phòng thủ đều đang dùng các tác nhân AI tự động, lỗ hổng zero-day tiếp theo rất có thể sẽ xuất hiện từ bất cứ máy nào trong cuộc chiến này.
