Kỷ nguyên hacker AI bắt đầu: Google phát hiện mã độc Zero-day đầu tiên do trí tuệ nhân tạo tự viết

Tưởng chừng như chỉ xuất hiện trong các kịch bản phim viễn tưởng, một ranh giới đỏ trong lĩnh vực an ninh mạng toàn cầu đã chính thức bị vượt qua. Nhóm Tình báo Mối đe dọa của Google (Google Threat Intelligence Group) vừa công bố một phát hiện gây chấn động giới công nghệ: Lần đầu tiên, một cuộc tấn công mạng ngoài môi trường kiểm soát được xác nhận có sự can thiệp trực tiếp của trí tuệ nhân tạo (AI) để tự tạo ra mã khai thác lỗ hổng bảo mật chưa từng được công bố (zero-day exploit).

Sự kiện này đánh dấu một bước chuyển dịch đáng lo ngại, từ việc AI chỉ đóng vai trò hỗ trợ lập trình viên hoặc phân tích dữ liệu sang vị thế một thực thể chủ động chế tạo vũ khí số nguy hiểm.

Bước ngoặt lịch sử: Khi AI tự tạo vũ khí tấn công mạng

Trong các báo cáo trước đây, các chuyên gia bảo mật thường chỉ ghi nhận AI hỗ trợ tin tặc ở mức độ cơ bản như viết các đoạn mã (code) nhỏ lẻ, tối ưu hóa kịch bản tấn công có sẵn hoặc dịch thuật các email lừa đảo (phishing). Tuy nhiên, trong chiến dịch tấn công vừa bị Google phát hiện, hệ thống AI đã trực tiếp thiết kế và hoàn thiện một đoạn mã độc lập để khai thác một lỗ hổng zero-day hoàn toàn mới.

Mục tiêu của cuộc tấn công này nhắm vào một công cụ quản trị mã nguồn mở phổ biến. Đáng chú ý, đích đến của mã độc là vượt qua cơ chế xác thực hai lớp (2FA) - lớp phòng thủ vốn lâu nay được xem là "bất khả xâm phạm" đối với hầu hết các phương thức tấn công thông thường.

Việc AI có thể tự phát hiện điểm yếu trong kiến trúc logic của hệ thống và tự động viết mã khai thác thành công cho thấy trình độ của các mô hình ngôn ngữ lớn (LLM) trong mảng mã hóa đã tiến xa hơn nhiều so với dự đoán của giới chuyên gia.

"Dấu vân tay số" từ hiện tượng ảo giác của AI

Làm thế nào các chuyên gia của Google có thể khẳng định chắc chắn đoạn mã này do AI viết chứ không phải một hacker sừng sỏ bằng xương bằng thịt? Câu trả lời nằm ở một điểm yếu cố hữu của công nghệ trí tuệ nhân tạo: hiện tượng "ảo giác" (hallucination).

Trong quá trình phân tích mã nguồn của cuộc tấn công, các kỹ sư Google Threat Intelligence phát hiện ra những chi tiết bất hợp lý mà con người không bao giờ mắc phải. Cụ thể, đoạn mã độc này tự gán cho mình một điểm số đánh giá mức độ nghiêm trọng (CVSS - Common Vulnerability Scoring System) hoàn toàn không tồn tại trong hệ thống tiêu chuẩn thực tế.

Sự nhầm lẫn mang tính "ngây ngô" nhưng chứa đầy kỹ thuật tinh vi này là bằng chứng đanh thép xác nhận tác giả của dòng code không ai khác ngoài một mô hình AI. AI đã học hỏi từ hàng triệu tài liệu bảo mật, nhưng trong lúc xuất bản mã nguồn, nó đã tự "sáng tạo" ra một thông số kỹ thuật giả lập.

Ông John Hultquist, chuyên gia phân tích trưởng tại Google Threat Intelligence Group, nhận định đầy lo ngại: "Có một quan niệm sai lầm phổ biến rằng cuộc đua vũ khí AI trong bảo mật vẫn còn ở thì tương lai. Thực tế là nó đã bắt đầu ngay lúc này".

Lớp giáp xác thực hai lớp (2FA) có còn tuyệt đối an toàn?

Từ trước đến nay, xác thực hai lớp (2FA) được coi là tiêu chuẩn vàng để bảo vệ tài khoản cá nhân lẫn hệ thống doanh nghiệp. Ngay cả khi mật khẩu đăng nhập bị rò rỉ, lớp xác thực thứ hai (mã OTP gửi qua SMS, ứng dụng Authenticator hoặc khóa bảo mật vật lý) vẫn giữ vai trò chốt chặn cuối cùng.

Tuy nhiên, vụ tấn công lần này chỉ ra một thực tế phũ phàng: bản thân cơ chế 2FA không bị bẻ gãy trực tiếp bằng toán học, nhưng các hệ thống phụ trợ xung quanh nó lại tồn tại kẽ hở. AI đã cực kỳ nhạy bén khi phát hiện ra các lỗi logic trong cách hệ thống xử lý phiên đăng nhập và luồng dữ liệu của ứng dụng mã nguồn mở, từ đó tạo ra đường vòng để vượt qua bước xác thực mà không cần mã OTP thực tế.

Điều này đồng nghĩa với việc các doanh nghiệp không thể tiếp tục phó thác hoàn toàn sự an toàn của mình vào một lớp phòng thủ duy nhất.

Cuộc đua tốc độ khốc liệt giữa phòng thủ và tấn công

Thách thức lớn nhất mà AI mang lại cho thế giới ngầm không chỉ là độ tinh vi, mà còn là tốc độ cực hạn. Trong thế giới an ninh mạng truyền thống, quy trình từ khi phát hiện lỗ hổng, nghiên cứu cách hoạt động, viết mã thử nghiệm (PoC) cho đến khi triển khai tấn công diện rộng thường mất từ vài tuần đến vài tháng.

Với sự can thiệp của AI, quy trình này bị nén chặt lại chỉ còn tính bằng giờ, thậm chí bằng phút. Khả năng tự động hóa vượt trội của AI cho phép quét hàng triệu dòng code mã nguồn mở, tìm ra kẽ hở và xuất bản mã độc tấn công gần như lập tức.

Hệ quả là các tổ chức, đặc biệt là các đơn vị vận hành hạ tầng trọng yếu dựa trên các thư viện mã nguồn mở, sẽ phải đối mặt với rủi ro cực lớn nếu vẫn giữ thói quen cập nhật bảo mật định kỳ theo tháng hoặc theo quý.

Doanh nghiệp cần thay đổi tư duy phòng thủ

Mặc dù mối đe dọa là hiện hữu, giới chuyên môn nhấn mạnh cộng đồng công nghệ không nên hoảng loạn. AI thực chất là một con dao hai lưỡi. Trong khi hacker dùng AI để tìm lỗi và tấn công, các liên minh bảo mật toàn cầu cũng đang ứng dụng AI để tự động vá lỗi, phát hiện hành vi bất thường và ngăn chặn mã độc ở quy mô lớn.

Để tự vệ trước làn sóng tấn công thế hệ mới này, các doanh nghiệp được khuyến nghị thực hiện ngay các biện pháp:

• Áp dụng mô hình Zero Trust: Nguyên lý "không tin tưởng bất kỳ ai, luôn luôn xác minh" đối với mọi truy cập, dù là từ bên trong hay bên ngoài hệ thống.
• Giám sát hành vi thời gian thực: Thay vì chỉ dựa vào tường lửa, cần sử dụng các giải pháp giám sát hành vi để phát hiện ngay các dấu hiệu bất thường từ tài khoản đã được xác thực.
• Xác thực đa yếu tố nâng cao (MFA): Chuyển dịch từ mã OTP SMS truyền thống sang các phương thức chống lừa đảo (phishing-resistant MFA) như khóa bảo mật vật lý FIDO2.

Cơn khát nhân lực am hiểu AI trong ngành công nghệ

Cuộc chiến công nghệ mới này cũng đang định hình lại thị trường lao động toàn cầu. Theo ghi nhận thực tế, tại các trung tâm công nghệ lớn của khu vực như Singapore, những kỹ sư phần mềm có năng lực và kinh nghiệm sử dụng các công cụ AI đang có lợi thế đàm phán rất lớn. Mức lương của nhóm nhân sự này hiện cao hơn từ 13% đến 25% so với các đồng nghiệp không trang bị kỹ năng AI.

Rõ ràng, việc làm chủ trí tuệ nhân tạo không còn là một điểm cộng ưu tiên trên CV, mà đã trở thành tấm vé quyết định sự sống còn của cả nhân sự lẫn doanh nghiệp trong kỷ nguyên số hóa toàn diện.