Điều gì xảy ra khi kẻ tấn công có thể "thuyết phục" trí tuệ nhân tạo thực hiện những lệnh độc hại mà nó không được phép làm? Google vừa phải đối mặt với câu hỏi này khi phát hiện lỗ hổng bảo mật nghiêm trọng trong công cụ AI Antigravity - sản phẩm AI tích hợp khả năng thao tác với hệ thống tập tin. Lỗ hổng prompt injection này cho phép tin tặc thoát khỏi sandbox bảo mật và thực thi mã độc tùy ý trên hệ thống. Chúng tôi cho rằng đây là một trong những mối đe dọa nghiêm trọng nhất từ trước đến nay đối với các sản phẩm AI tích hợp sâu vào hệ thống.

Khi AI trở thành "cửa sau" cho tin tặc

Antigravity là sản phẩm AI thế hệ mới của Google với khả năng thực hiện các thao tác phức tạp trên hệ thống tập tin. Khác với chatbot thông thường chỉ trò chuyện, công cụ này có quyền tạo, sửa, xóa file và thư mục theo yêu cầu người dùng. Tính năng mạnh mẽ này lại trở thành "gót chân Achilles" khi bị khai thác.

Lỗ hổng được phát hiện thuộc dạng prompt injection - kỹ thuật "lừa" AI thực hiện các hành động ngoài ý muốn ban đầu bằng cách chèn lệnh độc hại vào câu hỏi hoặc dữ liệu đầu vào. Chúng tôi đánh giá đây không phải lỗi lập trình đơn thuần mà là vấn đề cốt lõi của việc thiết kế hệ thống AI có quyền truy cập cao vào tài nguyên hệ thống mà thiếu cơ chế kiểm soát chặt chẽ.

Kỹ thuật tấn công tinh vi vượt mọi rào cản bảo mật

Theo phân tích kỹ thuật, nguyên nhân gốc rễ nằm ở khâu sanitization (làm sạch dữ liệu đầu vào) không đầy đủ. Hệ thống AI không thể phân biệt được đâu là lệnh hợp pháp từ người dùng, đâu là mã độc được ngụy trang tinh vi. Kẻ tấn công có thể chèn payload (mã tải trọng) độc hại vào prompt, khiến AI hiểu nhầm và thực thi các lệnh nguy hiểm.

Điều đáng lo ngại nhất là khả năng sandbox escape - thoát khỏi môi trường bảo mật bị cách ly. Sandbox được thiết kế như "nhà tù ảo" nhằm hạn chế quyền truy cập của ứng dụng, ngăn chặn tác động xấu đến hệ thống chính. Tuy nhiên, lỗ hổng này cho phép tin tặc phá vỡ hoàn toàn rào cản này, đạt được quyền thực thi mã tùy ý (arbitrary code execution) trên máy chủ hoặc thiết bị người dùng.

Mối đe dọa thực tế với người dùng Việt Nam

Tác động của lỗ hổng này không chỉ dừng lại ở phạm vi lý thuyết. Theo số liệu từ Cục An toàn thông tin, Việt Nam ghi nhận trung bình 3.000 cuộc tấn công mạng mỗi tháng, trong đó các lỗ hổng RCE (Remote Code Execution - thực thi mã từ xa) chiếm 15% tổng số vụ việc nghiêm trọng. Nếu bị khai thác, tin tặc có thể truy cập trái phép vào dữ liệu nhạy cảm, cài đặt ransomware, hoặc biến hệ thống thành botnet phục vụ các cuộc tấn công khác.

Đặc biệt nguy hiểm với các doanh nghiệp Việt Nam đang tích cực ứng dụng AI vào quy trình sản xuất kinh doanh. Chúng tôi lo ngại rằng nhiều tổ chức vẫn chưa có kế hoạch ứng phó cụ thể với các mối đe dọa từ AI, tạo ra "điểm mù" trong hệ thống phòng thủ mạng.

Hành động khẩn cấp cần thực hiện ngay

Google đã phát hành bản vá bảo mật khẩn cấp và khuyến nghị người dùng cập nhật ngay lập tức. Đối với doanh nghiệp Việt Nam đang sử dụng các sản phẩm AI tương tự, cần thực hiện các bước sau: rà soát toàn bộ hệ thống AI có quyền truy cập vào dữ liệu nhạy cảm, thiết lập cơ chế giám sát real-time để phát hiện các prompt bất thường, và đào tạo nhân viên nhận biết các dấu hiệu tấn công prompt injection.

Quan trọng hơn cả, các CIO và CISO Việt Nam cần xây dựng chiến lược bảo mật AI toàn diện, bao gồm việc thiết lập sandbox đa lớp, kiểm tra bảo mật định kỳ và xây dựng kế hoạch ứng cự sự cố cụ thể cho các mối đe dọa AI. Thời đại trí tuệ nhân tạo đã đến, nhưng cùng với đó là những thách thức bảo mật chưa từng có.