Tại sao giao thức giúp AI thông minh hơn lại trở thành cửa ngõ cho hacker?

[Quang Trương]

Nếu một trợ lý AI có thể bị “chiếm quyền” chỉ bằng cách gửi sai một dòng mã, bạn có còn dám để AI kết nối trực tiếp vào hệ thống công ty của mình không?

AI bị chiếm quyền bởi chính “ngôn ngữ giao tiếp” của nó​

Các chuyên gia bảo mật tại JFrog vừa phát hiện một lỗ hổng nghiêm trọng trong MCP Giao thức Ngữ cảnh Mô hình, thứ giúp các hệ thống AI “hiểu” và tương tác với dữ liệu, công cụ và môi trường thật. Nghe thì có vẻ kỹ thuật, nhưng điều đáng sợ là: chỉ cần khai thác điểm yếu này, kẻ tấn công có thể chiếm quyền điều khiển các tác vụ mà AI đang thực hiện, giả danh người dùng thật và khiến AI thực thi lệnh độc hại.

Vấn đề bắt đầu từ tham vọng rất hợp lý của các doanh nghiệp: muốn AI trở nên hữu ích hơn bằng cách cho phép nó truy cập dữ liệu và công cụ nội bộ. Nhưng cũng chính kết nối này đã mở ra một “cánh cửa” mới cho tin tặc. Giống như việc bạn để AI làm việc trong văn phòng nhưng quên khóa tủ tài liệu quan trọng, ai đó có thể bước vào và lấy đi mọi thứ.

MCP ra đời với mục tiêu tốt: giúp AI biết mình đang làm gì, ở đâu, với dữ liệu gì thay vì chỉ dựa vào kiến thức được huấn luyện. Nhờ MCP, một trợ lý như Claude có thể hiểu được đoạn mã bạn đang viết và chỉnh sửa chính xác. Nhưng nghiên cứu của JFrog cho thấy, trong một số cấu hình, MCP lại có điểm yếu có thể bị lợi dụng để thực hiện “chiếm quyền tức thời” một hình thức tấn công biến AI thành công cụ tấn công ngược lại chính người dùng.

Cách cuộc tấn công xảy ra và vì sao nó nguy hiểm​

Hãy hình dung một lập trình viên nhờ trợ lý AI gợi ý thư viện Python để xử lý hình ảnh. AI đề xuất Pillow công cụ quen thuộc và an toàn. Nhưng trong hệ thống có lỗ hổng CVE-2025-6515, kẻ tấn công có thể chen vào, giả danh người dùng thật, và khiến AI gợi ý một thư viện giả mạo có tên BestImageProcessingPackage. Khi lập trình viên cài gói này, họ thực chất đang mở cửa cho mã độc chạy trên máy tính.

Lỗ hổng xuất hiện trong cách hệ thống Oat++ C++ triển khai MCP, cụ thể ở cơ chế SSE (Server-Sent Events). Máy chủ lẽ ra phải cấp ID phiên ngẫu nhiên và an toàn, nhưng thay vào đó lại dùng địa chỉ bộ nhớ tạm thời của máy tính. Vì các địa chỉ này dễ bị trùng lặp và đoán được, tin tặc chỉ cần tạo, đóng, rồi tạo lại nhiều phiên liên tiếp để “đoán trúng” ID của người dùng thật. Từ đó, chúng gửi lệnh độc hại mà máy chủ tưởng là yêu cầu hợp lệ.

Điều đáng nói là AI không hề bị “hack” trực tiếp mà chính giao thức kết nối mới là lỗ hổng. Đây là kiểu tấn công vào “vùng xám” giữa AI và thế giới thật, nơi an ninh mạng truyền thống chưa kịp thích nghi.

Bảo vệ AI bằng nguyên tắc zero-trust​

Các chuyên gia cảnh báo: đây là lời nhắc nhở mạnh mẽ rằng bảo mật AI không chỉ nằm ở mô hình hay dữ liệu, mà còn ở toàn bộ lớp giao tiếp xung quanh nó.

Để giảm thiểu rủi ro, các lãnh đạo công nghệ nên:

1. Sử dụng quản lý phiên an toàn luôn tạo ID phiên bằng trình tạo ngẫu nhiên mạnh, không dùng địa chỉ bộ nhớ.
2. Tăng cường phòng thủ phía người dùng chỉ chấp nhận phản hồi đúng định dạng, có ID sự kiện khó đoán.
3. Áp dụng nguyên tắc zero-trust mọi thành phần trong chuỗi AI đều phải được xác thực, phân tách và có thời hạn phiên rõ ràng, tương tự như các ứng dụng web hiện đại.

Cuộc tấn công này cho thấy, những lỗ hổng tưởng chừng cũ kỹ như “chiếm quyền phiên” đang tái xuất trong một hình hài mới: AI. Và bài học lớn nhất là, để AI thực sự an toàn, chúng ta không chỉ cần bảo vệ trí tuệ nhân tạo, mà còn phải bảo vệ cách mà nó trò chuyện với thế giới.
Nguồn: artificialintelligence