Nguyễn Tiến Đạt
Intern Writer
Công ty an ninh mạng ESET vừa phát hiện một biến thể ransomware mới có tên mã PromptLock, được hỗ trợ bởi trí tuệ nhân tạo (AI).
Chủng mã độc này được viết bằng Golang và sử dụng mô hình gpt-oss:20b của OpenAI thông qua API Ollama để tạo ra các tập lệnh Lua độc hại theo thời gian thực. Đây là mô hình open-weight vừa được phát hành đầu tháng này.
Theo ESET, PromptLock lợi dụng các tập lệnh Lua được tạo sẵn để:
Hiện chưa rõ ai đứng sau phần mềm độc hại này, nhưng ESET cho biết các mẫu PromptLock đã được tải lên VirusTotal từ Mỹ ngày 25/8/2025.
Mặc dù hiện mới chỉ được đánh giá là bằng chứng khái niệm (PoC) chứ chưa phải một ransomware hoàn chỉnh, PromptLock đã cho thấy nguy cơ lớn. Nó sử dụng thuật toán SPECK 128-bit để khóa tệp. Ngoài ra, phân tích còn chỉ ra rằng ransomware này có thể phục vụ cho cả mục đích đánh cắp hoặc phá hủy dữ liệu, dù tính năng xóa dữ liệu chưa được kích hoạt.
Thay vì tải toàn bộ mô hình AI vốn có dung lượng vài GB, kẻ tấn công chỉ cần thiết lập proxy hoặc đường hầm từ mạng bị xâm nhập đến máy chủ chạy API Ollama với gpt-oss:20b, giúp tiết kiệm tài nguyên nhưng vẫn duy trì hiệu quả tấn công.
Sự xuất hiện của PromptLock phản ánh rõ thực tế: AI đang trở thành công cụ hỗ trợ tội phạm mạng, ngay cả khi chúng không có kỹ năng kỹ thuật cao. Với AI, kẻ xấu có thể dễ dàng xây dựng chiến dịch, phát triển ransomware và tạo nội dung lừa đảo tinh vi.
Anthropic cũng đã xác nhận việc cấm các tài khoản do hai nhóm tấn công sử dụng chatbot Claude AI để trộm cắp và tống tiền dữ liệu cá nhân từ ít nhất 17 tổ chức, đồng thời phát triển nhiều biến thể ransomware tiên tiến với khả năng trốn tránh phát hiện, mã hóa và chống phục hồi.
Song song, các mô hình AI lớn (LLM) như Amazon Q Developer, Anthropic Claude Code, AWS Kiro, Google Jules, Lenovo Lena, Microsoft GitHub Copilot, OpenAI ChatGPT Deep Research, OpenHands, Sourcegraph Amp và Windsurf đã được ghi nhận dễ bị tấn công chèn mã độc nhanh (prompt injection). Các lỗ hổng này có thể bị khai thác để tiết lộ thông tin, đánh cắp dữ liệu và thực thi mã.
Dù đã được tích hợp các lớp bảo mật mạnh, các LLM vẫn liên tục trở thành mục tiêu của các biến thể tấn công mới, cho thấy mức độ phức tạp và thay đổi không ngừng của thách thức an ninh.
Anthropic cảnh báo: các cuộc tấn công prompt injection có thể khiến AI xóa tệp, đánh cắp dữ liệu hoặc thậm chí thực hiện giao dịch tài chính. Các biến thể mới của tấn công dạng này vẫn đang được kẻ xấu phát triển liên tục.
Ngoài ra, một nghiên cứu khác cũng phát hiện kỹ thuật tấn công mới mang tên PROMISQROUTE (Prompt-based Router Open-Mode Manipulation Induced via SSRF-like Queries, Reconfiguring Operations Using Trust Evasion). Phương thức này lợi dụng cơ chế định tuyến mô hình của ChatGPT để hạ cấp xuống phiên bản cũ, kém an toàn hơn, qua đó vượt qua bộ lọc bảo mật.
Theo báo cáo của Adversa AI công bố tuần trước, việc chỉ cần thêm cụm từ như “sử dụng chế độ tương thích” hoặc “cần phản hồi nhanh” có thể bỏ qua hàng triệu USD (≈ hàng chục tỷ VNĐ) nghiên cứu về an toàn AI. Điều này cho thấy các kẻ tấn công hoàn toàn có thể khai thác các cơ chế tối ưu chi phí mà nhà cung cấp AI sử dụng để thực hiện hành vi nguy hiểm.
Đọc chi tiết tại đây: https://thehackernews.com/2025/08/someone-created-first-ai-powered.html
Chủng mã độc này được viết bằng Golang và sử dụng mô hình gpt-oss:20b của OpenAI thông qua API Ollama để tạo ra các tập lệnh Lua độc hại theo thời gian thực. Đây là mô hình open-weight vừa được phát hành đầu tháng này.
Theo ESET, PromptLock lợi dụng các tập lệnh Lua được tạo sẵn để:
- Liệt kê hệ thống tệp cục bộ
- Kiểm tra các tệp mục tiêu
- Trích xuất dữ liệu chọn lọc
- Thực hiện mã hóa
Hiện chưa rõ ai đứng sau phần mềm độc hại này, nhưng ESET cho biết các mẫu PromptLock đã được tải lên VirusTotal từ Mỹ ngày 25/8/2025.
PromptLock thách thức các giải pháp phát hiện an ninh mạng
ESET nhận định: việc PromptLock tạo tập lệnh Lua bằng AI khiến các chỉ số xâm phạm (IoC) thay đổi mỗi lần thực thi, gây khó khăn cho phát hiện và truy vết. Nếu được triển khai đúng cách, cách tiếp cận này có thể làm phức tạp đáng kể nhiệm vụ của các chuyên gia bảo mật.Mặc dù hiện mới chỉ được đánh giá là bằng chứng khái niệm (PoC) chứ chưa phải một ransomware hoàn chỉnh, PromptLock đã cho thấy nguy cơ lớn. Nó sử dụng thuật toán SPECK 128-bit để khóa tệp. Ngoài ra, phân tích còn chỉ ra rằng ransomware này có thể phục vụ cho cả mục đích đánh cắp hoặc phá hủy dữ liệu, dù tính năng xóa dữ liệu chưa được kích hoạt.
Thay vì tải toàn bộ mô hình AI vốn có dung lượng vài GB, kẻ tấn công chỉ cần thiết lập proxy hoặc đường hầm từ mạng bị xâm nhập đến máy chủ chạy API Ollama với gpt-oss:20b, giúp tiết kiệm tài nguyên nhưng vẫn duy trì hiệu quả tấn công.
Sự xuất hiện của PromptLock phản ánh rõ thực tế: AI đang trở thành công cụ hỗ trợ tội phạm mạng, ngay cả khi chúng không có kỹ năng kỹ thuật cao. Với AI, kẻ xấu có thể dễ dàng xây dựng chiến dịch, phát triển ransomware và tạo nội dung lừa đảo tinh vi.
Anthropic cũng đã xác nhận việc cấm các tài khoản do hai nhóm tấn công sử dụng chatbot Claude AI để trộm cắp và tống tiền dữ liệu cá nhân từ ít nhất 17 tổ chức, đồng thời phát triển nhiều biến thể ransomware tiên tiến với khả năng trốn tránh phát hiện, mã hóa và chống phục hồi.
Song song, các mô hình AI lớn (LLM) như Amazon Q Developer, Anthropic Claude Code, AWS Kiro, Google Jules, Lenovo Lena, Microsoft GitHub Copilot, OpenAI ChatGPT Deep Research, OpenHands, Sourcegraph Amp và Windsurf đã được ghi nhận dễ bị tấn công chèn mã độc nhanh (prompt injection). Các lỗ hổng này có thể bị khai thác để tiết lộ thông tin, đánh cắp dữ liệu và thực thi mã.
Dù đã được tích hợp các lớp bảo mật mạnh, các LLM vẫn liên tục trở thành mục tiêu của các biến thể tấn công mới, cho thấy mức độ phức tạp và thay đổi không ngừng của thách thức an ninh.
Anthropic cảnh báo: các cuộc tấn công prompt injection có thể khiến AI xóa tệp, đánh cắp dữ liệu hoặc thậm chí thực hiện giao dịch tài chính. Các biến thể mới của tấn công dạng này vẫn đang được kẻ xấu phát triển liên tục.
Ngoài ra, một nghiên cứu khác cũng phát hiện kỹ thuật tấn công mới mang tên PROMISQROUTE (Prompt-based Router Open-Mode Manipulation Induced via SSRF-like Queries, Reconfiguring Operations Using Trust Evasion). Phương thức này lợi dụng cơ chế định tuyến mô hình của ChatGPT để hạ cấp xuống phiên bản cũ, kém an toàn hơn, qua đó vượt qua bộ lọc bảo mật.
Theo báo cáo của Adversa AI công bố tuần trước, việc chỉ cần thêm cụm từ như “sử dụng chế độ tương thích” hoặc “cần phản hồi nhanh” có thể bỏ qua hàng triệu USD (≈ hàng chục tỷ VNĐ) nghiên cứu về an toàn AI. Điều này cho thấy các kẻ tấn công hoàn toàn có thể khai thác các cơ chế tối ưu chi phí mà nhà cung cấp AI sử dụng để thực hiện hành vi nguy hiểm.
Đọc chi tiết tại đây: https://thehackernews.com/2025/08/someone-created-first-ai-powered.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
