Duy Linh
Writer
Các cuộc tấn công mạng dựa trên trí tuệ nhân tạo đang bước vào giai đoạn mới, khi các mô hình AI hiện đại có thể tự động phát hiện và khai thác lỗ hổng phần mềm với tốc độ chưa từng có.
Theo các thử nghiệm thực tế của Unit 42, AI không còn chỉ là công cụ hỗ trợ lập trình mà đã thể hiện khả năng suy luận tương đương các nhà nghiên cứu bảo mật chuyên sâu. Điều này làm thay đổi hoàn toàn cách lỗ hổng được phát hiện và khai thác.
Những tiến bộ này đang thu hẹp đáng kể “khoảng thời gian vá lỗi” – khoảng thời gian giữa lúc lỗ hổng được phát hiện và khi bị khai thác. Trước đây, quá trình này có thể kéo dài nhiều ngày hoặc nhiều tuần, nhưng hiện nay có thể chỉ còn vài giờ.
AI có thể tự động xác định lỗ hổng chưa được vá (zero-day), kết hợp nhiều điểm yếu thành các chuỗi tấn công phức tạp và thích ứng theo thời gian thực để vượt qua các hệ thống phòng thủ.
Các mô hình AI có thể quét lỗ hổng mới, tạo mã khai thác, thử nghiệm trên nhiều môi trường và tối ưu hóa trước khi bản vá được triển khai. Điều này khiến các tổ chức khó phản ứng kịp.
Phần mềm mã nguồn mở (OSS) đang đối mặt với rủi ro cao hơn trong ngắn hạn. AI có khả năng phân tích mã nguồn công khai rất hiệu quả, nhanh chóng phát hiện lỗi và xây dựng chuỗi tấn công.
Dữ liệu thu thập được sẽ được gửi về máy chủ MCP, lưu trữ và phân tích bằng các mô hình ngôn ngữ lớn (LLM) để tạo báo cáo tự động cho người vận hành.
Lộ trình tấn công được hỗ trợ bởi trí tuệ nhân tạo (Nguồn: Đơn vị 42).
Trong khi đó, mã đã biên dịch chỉ cho thấy mức cải thiện phân tích hạn chế, tạo ra sự mất cân bằng và khiến hệ sinh thái mã nguồn mở trở thành mục tiêu dễ bị tấn công hơn.
Rủi ro không chỉ nằm ở từng dự án riêng lẻ. Do phần lớn phần mềm thương mại đều sử dụng thành phần mã nguồn mở, một lỗ hổng trong thư viện phổ biến có thể dẫn đến các cuộc tấn công chuỗi cung ứng quy mô lớn.
Các sự cố trước đây liên quan đến thư viện JavaScript đã cho thấy mức độ ảnh hưởng rộng của loại lỗ hổng này.
Tuy nhiên, theo Unit 42, AI không tạo ra kỹ thuật tấn công hoàn toàn mới mà chủ yếu tăng tốc, mở rộng quy mô và tự động hóa các phương pháp hiện có.
Điều này buộc các đội ngũ bảo mật phải thay đổi cách phòng thủ. Các ưu tiên bao gồm:
Về dài hạn, AI có thể hỗ trợ cả hai phía: giúp kẻ tấn công tăng hiệu quả nhưng cũng giúp các đội phòng thủ phát hiện và xử lý lỗ hổng sớm hơn.
Trong ngắn hạn, yếu tố quyết định sẽ là tốc độ thích ứng của các tổ chức trong bối cảnh các cuộc tấn công diễn ra với tốc độ ngày càng cao. (gbhackers)
Đọc chi tiết tại đây: https://gbhackers.com/ai-driven-exploitation/
Theo các thử nghiệm thực tế của Unit 42, AI không còn chỉ là công cụ hỗ trợ lập trình mà đã thể hiện khả năng suy luận tương đương các nhà nghiên cứu bảo mật chuyên sâu. Điều này làm thay đổi hoàn toàn cách lỗ hổng được phát hiện và khai thác.
Những tiến bộ này đang thu hẹp đáng kể “khoảng thời gian vá lỗi” – khoảng thời gian giữa lúc lỗ hổng được phát hiện và khi bị khai thác. Trước đây, quá trình này có thể kéo dài nhiều ngày hoặc nhiều tuần, nhưng hiện nay có thể chỉ còn vài giờ.
AI có thể tự động xác định lỗ hổng chưa được vá (zero-day), kết hợp nhiều điểm yếu thành các chuỗi tấn công phức tạp và thích ứng theo thời gian thực để vượt qua các hệ thống phòng thủ.
Thời gian vá lỗi bị rút ngắn nghiêm trọng
Một trong những rủi ro lớn nhất là tốc độ khai thác lỗ hổng tăng mạnh. Theo mô hình truyền thống, các chuyên gia bảo mật có thời gian để xử lý lỗ hổng N-ngày. Tuy nhiên, với AI, thời gian này gần như bị thu hẹp đáng kể.Các mô hình AI có thể quét lỗ hổng mới, tạo mã khai thác, thử nghiệm trên nhiều môi trường và tối ưu hóa trước khi bản vá được triển khai. Điều này khiến các tổ chức khó phản ứng kịp.
Phần mềm mã nguồn mở (OSS) đang đối mặt với rủi ro cao hơn trong ngắn hạn. AI có khả năng phân tích mã nguồn công khai rất hiệu quả, nhanh chóng phát hiện lỗi và xây dựng chuỗi tấn công.
Dữ liệu thu thập được sẽ được gửi về máy chủ MCP, lưu trữ và phân tích bằng các mô hình ngôn ngữ lớn (LLM) để tạo báo cáo tự động cho người vận hành.
Lộ trình tấn công được hỗ trợ bởi trí tuệ nhân tạo (Nguồn: Đơn vị 42).
Trong khi đó, mã đã biên dịch chỉ cho thấy mức cải thiện phân tích hạn chế, tạo ra sự mất cân bằng và khiến hệ sinh thái mã nguồn mở trở thành mục tiêu dễ bị tấn công hơn.
Rủi ro không chỉ nằm ở từng dự án riêng lẻ. Do phần lớn phần mềm thương mại đều sử dụng thành phần mã nguồn mở, một lỗ hổng trong thư viện phổ biến có thể dẫn đến các cuộc tấn công chuỗi cung ứng quy mô lớn.
Các sự cố trước đây liên quan đến thư viện JavaScript đã cho thấy mức độ ảnh hưởng rộng của loại lỗ hổng này.
AI hỗ trợ toàn bộ chuỗi tấn công mạng
AI không chỉ dừng lại ở việc phát hiện lỗ hổng mà còn hỗ trợ toàn bộ quá trình tấn công:- Thu thập thông tin: AI phân tích dữ liệu công khai để xác định mục tiêu, công nghệ và nhân sự
- Truy cập ban đầu: Tạo nội dung lừa đảo có chủ đích phù hợp từng nạn nhân
- Di chuyển ngang: Tự động lập bản đồ mạng và mở rộng quyền truy cập
- Khai thác: Viết và triển khai mã khai thác dựa trên lỗ hổng phát hiện
- Đánh cắp dữ liệu: Phân tích và ưu tiên dữ liệu để tống tiền hoặc bán
Tuy nhiên, theo Unit 42, AI không tạo ra kỹ thuật tấn công hoàn toàn mới mà chủ yếu tăng tốc, mở rộng quy mô và tự động hóa các phương pháp hiện có.
Điều này buộc các đội ngũ bảo mật phải thay đổi cách phòng thủ. Các ưu tiên bao gồm:
- Áp dụng tư duy “giả định đã bị xâm nhập”
- Tăng cường bảo vệ điểm cuối
- Sử dụng SBOM để theo dõi thành phần phần mềm
- Đẩy nhanh vá lỗi bằng tự động hóa
- Bảo mật quy trình phát triển
- Ứng dụng AI để phát hiện và phản ứng với mối đe dọa
Về dài hạn, AI có thể hỗ trợ cả hai phía: giúp kẻ tấn công tăng hiệu quả nhưng cũng giúp các đội phòng thủ phát hiện và xử lý lỗ hổng sớm hơn.
Trong ngắn hạn, yếu tố quyết định sẽ là tốc độ thích ứng của các tổ chức trong bối cảnh các cuộc tấn công diễn ra với tốc độ ngày càng cao. (gbhackers)
Đọc chi tiết tại đây: https://gbhackers.com/ai-driven-exploitation/
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
