Hàng loạt nền tảng AI phổ biến bị phát hiện lỗ hổng nghiêm trọng

[Nguyễn Tiến Đạt]

Các chuyên gia an ninh mạng vừa phát hiện nhiều lỗ hổng nghiêm trọng trong các nền tảng AI phổ biến như Amazon Bedrock, LangSmith và SGLang, có thể bị khai thác để đánh cắp dữ liệu hoặc thực thi mã từ xa (RCE).

Khai thác DNS để vượt sandbox của Amazon Bedrock​

Theo báo cáo từ BeyondTrust, môi trường sandbox của dịch vụ AgentCore Code Interpreter trong Amazon Bedrock vẫn cho phép truy vấn DNS ra ngoài, tạo ra một kênh rò rỉ dữ liệu tiềm ẩn.

Kẻ tấn công có thể lợi dụng điểm yếu này để:

• Thiết lập kênh liên lạc hai chiều qua DNS
• Tạo shell điều khiển từ xa
• Đánh cắp dữ liệu từ các dịch vụ như S3 nếu có quyền IAM
• Thực thi lệnh trái phép

Lỗ hổng này có điểm CVSS 7.5, cho thấy mức độ rủi ro cao, đặc biệt khi hệ thống được cấp quyền truy cập rộng.

Amazon cho biết đây là hành vi “theo thiết kế”, đồng thời khuyến nghị người dùng chuyển sang môi trường VPC và triển khai tường lửa DNS để giảm thiểu rủi ro.

LangSmith đối mặt nguy cơ chiếm đoạt tài khoản​

Trong khi đó, Miggo Security đã phát hiện lỗ hổng nghiêm trọng (CVE-2026-25750, CVSS 8.5) trong LangSmith.

Lỗi này cho phép:

• Đánh cắp token xác thực
• Lộ ID người dùng và workspace
• Chiếm quyền truy cập hệ thống

Kẻ tấn công chỉ cần dụ nạn nhân nhấp vào liên kết độc hại có tham số baseUrl bị thao túng để chuyển dữ liệu về máy chủ của chúng.

Hệ quả có thể bao gồm:

• Rò rỉ dữ liệu CRM
• Lộ truy vấn SQL nội bộ
• Mất mã nguồn hoặc dữ liệu AI

Lỗ hổng đã được vá trong phiên bản 0.12.71, nhưng vẫn là lời cảnh báo về rủi ro từ các công cụ quan sát AI.

SGLang tồn tại lỗ hổng RCE chưa được vá​

Đáng lo ngại hơn, framework mã nguồn mở SGLang hiện tồn tại nhiều lỗ hổng nghiêm trọng chưa được vá.

Các lỗi chính gồm:

• CVE-2026-3059 (CVSS 9.8): RCE không cần xác thực qua ZeroMQ
• CVE-2026-3060 (CVSS 9.8): RCE qua module phân tách dữ liệu
• CVE-2026-3989 (CVSS 7.8): Giải mã pickle không an toàn

Nguyên nhân chủ yếu đến từ việc sử dụng pickle.loads() và pickle.load() để xử lý dữ liệu không đáng tin cậy, cho phép kẻ tấn công chèn mã độc.

Theo CERT Coordination Center, chỉ cần biết cổng TCP của máy chủ ZeroMQ, hacker có thể gửi payload độc hại và chiếm quyền hệ thống.

Cảnh báo cho doanh nghiệp triển khai AI​

Dù chưa ghi nhận việc khai thác ngoài thực tế, các chuyên gia nhấn mạnh rằng rủi ro là hoàn toàn có thể xảy ra, đặc biệt trong môi trường doanh nghiệp.

Các biện pháp phòng ngừa bao gồm:

• Sử dụng VPC thay vì sandbox với hệ thống nhạy cảm
• Áp dụng nguyên tắc đặc quyền tối thiểu cho IAM
• Hạn chế truy cập vào các dịch vụ AI từ mạng công cộng
• Giám sát kết nối bất thường và hành vi hệ thống
• Tránh xử lý dữ liệu không tin cậy bằng pickle

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview