Tấn công AI thế hệ mới: Khi chỉ một giá trị công khai cũng khiến bạn mất quyền truy cập

[CyberThao]

Lỗi xác thực nghiêm trọng cho phép bỏ qua SSO chỉ bằng một giá trị công khai​

Các chuyên gia an ninh mạng của Wiz vừa phát hiện một lỗ hổng nghiêm trọng trong nền tảng mã hóa Vibe – một công cụ sử dụng AI hỗ trợ phát triển ứng dụng của Base44. Lỗ hổng này đã được vá, nhưng từng cho phép kẻ tấn công vượt qua toàn bộ hệ thống xác thực để truy cập các ứng dụng riêng tư do người dùng tạo ra.

Theo báo cáo của Wiz, lỗ hổng này rất dễ khai thác: chỉ cần biết giá trị app_id (không phải thông tin bí mật), kẻ tấn công có thể sử dụng hai điểm cuối của hệ thống xác thực để đăng ký và xác minh tài khoản, từ đó chiếm quyền truy cập vào ứng dụng riêng tư của người khác. Hai điểm cuối đó là:

• api/apps/{app_id}/auth/register: Đăng ký tài khoản mới bằng email và mật khẩu
• api/apps/{app_id}/auth/verify-otp: Xác minh OTP gửi qua email

Điều đáng lo ngại là app_id có thể dễ dàng tìm thấy trong URL hoặc tệp manifest.json của ứng dụng. Khi sử dụng app_id này, kẻ tấn công có thể bỏ qua hoàn toàn bước xác thực đăng nhập một lần (SSO), vốn được coi là lớp bảo mật chính trong nhiều doanh nghiệp.
Nhà nghiên cứu Gal Nagli của Wiz cho biết: “Sau khi xác minh địa chỉ email, chúng tôi có thể truy cập vào ứng dụng thông qua trang SSO mà không cần xác thực.” Điều này đồng nghĩa với việc mọi biện pháp bảo mật có thể bị vượt qua dễ dàng chỉ bằng một thông tin công khai.
Base44, thuộc sở hữu của công ty Wix, đã nhanh chóng phản hồi và vá lỗi trong vòng 24 giờ kể từ khi được Wiz báo cáo vào ngày 9/7/2025. Hiện không có bằng chứng cho thấy lỗ hổng này đã bị khai thác ngoài thực tế.

Mặt tối của sự phát triển AI: tấn công tiêm mã, vượt kiểm soát và rủi ro bảo mật​

Sự cố ở Base44 chỉ là một trong nhiều ví dụ về những rủi ro bảo mật mới xuất hiện cùng sự bùng nổ của các công cụ AI trong phát triển phần mềm. Các nền tảng sử dụng AI tạo sinh (GenAI) và mô hình ngôn ngữ lớn (LLM) như Claude, Gemini, ChatGPT, hay Grok đang đối mặt với hàng loạt hình thức tấn công tinh vi:

• Lợi dụng email lạ trên Gmail để thực thi mã qua Claude Desktop
• Tiêm mã độc ngay lập tức khiến LLM phản hồi nội dung sai lệch, độc hại hoặc vượt rào an toàn
• Dùng HTML và CSS để giấu chỉ thị lừa đảo trong tóm tắt email do Google Gemini tạo
• Qua mặt tường lửa Llama bằng cách sử dụng ngôn ngữ khác tiếng Anh hoặc ký tự Unicode đặc biệt
• Ép ChatGPT tiết lộ khóa sản phẩm Windows qua trò chơi đoán chữ
• Tấn công giao thức MCP, tận dụng cấu hình sai để đánh cắp dữ liệu, thực thi mã lệnh hoặc lạm dụng tài nguyên

Một phân tích từ Invariant Labs (thuộc Snyk) cho thấy, việc đánh giá dòng độc hại (TFA) có thể giúp xây dựng kịch bản tấn công tiềm tàng từ sớm, thay vì chỉ phản ứng với rủi ro cấp thời. Trong khi đó, Knostic cảnh báo có tới 1.862 máy chủ MCP kết nối Internet không có kiểm soát truy cập, cho phép tin tặc dễ dàng thu thập token OAuth, khóa API và thông tin cơ sở dữ liệu, từ đó xâm nhập toàn bộ hệ thống doanh nghiệp.
Nhà nghiên cứu Gal Nagli nhấn mạnh: “Chúng ta không thể coi bảo mật là thứ đến sau. Nó phải được tích hợp ngay từ đầu để AI có thể phát triển mà vẫn đảm bảo an toàn cho dữ liệu doanh nghiệp.”

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview