Tưởng tượng 300.000 hệ thống AI đang vận hành trên khắp thế giới có thể bị tấn công mà không cần mật khẩu hay bất kỳ xác thực nào. Đó chính là thực tế đáng lo ngại khi các nhà nghiên cứu bảo mật vừa phát hiện lỗ hổng nghiêm trọng trong Ollama - một trong những nền tảng AI phổ biến nhất hiện nay. Lỗ hổng được đặt tên Bleeding Llama này có thể khiến hàng trăm nghìn doanh nghiệp và tổ chức trên toàn cầu rơi vào tình thế bị đánh cắp thông tin một cách âm thầm.

Khi AI trở thành cánh cửa cho tin tặc

Ollama, nền tảng cho phép các nhà phát triển chạy các mô hình ngôn ngữ lớn (LLM) như Llama, Mistral hay Gemma trên máy tính cá nhân, đang trở thành mục tiêu béo bở của tin tặc. Với hơn 300.000 triển khai đang hoạt động trên internet, con số này đã tăng gấp đôi chỉ trong vòng 6 tháng qua. Chúng tôi cho rằng sự tăng trưởng vũ bão này của AI cục bộ chính là nguyên nhân khiến các lỗ hổng bảo mật trở nên nguy hiểm hơn bao giờ hết.

Điều đáng lo ngại nhất là nhiều tổ chức triển khai Ollama mà không nhận thức đầy đủ về rủi ro bảo mật. Khác với các dịch vụ AI đám mây có hệ thống bảo mật chuyên nghiệp, Ollama thường được cài đặt và quản lý bởi các nhà phát triển hoặc IT không chuyên sâu về an ninh mạng. Điều này tạo ra một bề mặt tấn công khổng lồ mà tin tặc có thể khai thác.

Kỹ thuật tấn công tinh vi đến mức nào?

Bleeding Llama khai thác lỗ hổng heap out-of-bounds read - một kỹ thuật cho phép đọc dữ liệu nằm ngoài vùng nhớ được cấp phát hợp lệ. Nói một cách dễ hiểu, đây giống như việc tin tặc có thể 'nhìn trộm' vào những vùng nhớ không được phép, nơi có thể chứa các thông tin nhạy cảm như API key, token xác thực, hay thậm chí là dữ liệu đầu vào của người dùng. Điểm nguy hiểm nhất là cuộc tấn công có thể thực hiện hoàn toàn từ xa mà không cần bất kỳ thông tin đăng nhập nào.

Theo phân tích kỹ thuật, lỗ hổng này nằm ở cách Ollama xử lý các yêu cầu HTTP đến API endpoint. Khi một yêu cầu được gửi với payload được chế tạo đặc biệt, hệ thống sẽ đọc vượt ra ngoài ranh giới buffer đã được cấp phát, dẫn đến việc rò rỉ thông tin từ heap memory. Chúng tôi đánh giá đây là một lỗ hổng cấp độ nghiêm trọng vì khả năng khai thác cao và tác động rộng rãi.

Cơn địa chấn với cộng đồng AI Việt Nam

Số liệu từ Shodan cho thấy Việt Nam có khoảng 2.000-3.000 instance Ollama đang chạy công khai trên internet, chủ yếu tập trung tại các doanh nghiệp công nghệ ở TP.HCM và Hà Nội. Con số này tuy không lớn so với Mỹ hay châu Âu, nhưng lại chiếm tỷ trọng cao trong tổng số hệ thống AI được triển khai tại Việt Nam. Nhiều startup AI và công ty công nghệ trong nước đang sử dụng Ollama để phát triển sản phẩm chatbot, hỗ trợ khách hàng tự động, và các ứng dụng xử lý ngôn ngữ tự nhiên.

Đặc biệt đáng lo ngại là xu hướng 'tự triển khai AI' đang gia tăng mạnh tại Việt Nam do lo ngại về chi phí và quyền riêng tư khi sử dụng dịch vụ AI đám mây. Nhiều doanh nghiệp Việt đã chọn Ollama như một giải pháp thay thế cho ChatGPT API hoặc Google AI, không biết rằng họ đang đối mặt với rủi ro bảo mật nghiêm trọng này.

Hành động ngay lập tức để bảo vệ hệ thống

Bước đầu tiên và quan trọng nhất là nâng cấp Ollama lên phiên bản mới nhất ngay lập tức. Nếu đang sử dụng phiên bản cũ hơn v0.1.48, hãy dừng hệ thống và cập nhật ngay. Đối với những hệ thống không thể cập nhật ngay, cần ngắt kết nối internet hoặc thiết lập firewall chặn mọi truy cập từ bên ngoài đến port 11434 - cổng mặc định của Ollama.

Chúng tôi khuyến nghị mạnh mẽ các doanh nghiệp Việt Nam nên thực hiện audit toàn bộ hệ thống Ollama đang vận hành. Kiểm tra log truy cập để phát hiện các dấu hiệu bất thường, đặc biệt là những request có payload lạ đến API endpoint. Đồng thời, thiết lập monitoring liên tục để phát hiện sớm các hoạt động đáng ngờ. Quan trọng hơn cả, không nên expose Ollama ra internet công cộng mà chỉ cho phép truy cập từ mạng nội bộ hoặc thông qua VPN có xác thực mạnh.