Lần đầu tiên phát hiện siêu AI không cần con người vẫn tự lên kế hoạch, vượt rào và chỉ mất 31 giây tự sửa lỗi để tấn công mạng doanh nghiệp

Thậm chí, khi gặp phải một nỗ lực đăng nhập thất bại, hệ thống tự hành này chỉ mất đúng 31 giây để tự động sửa sai và đăng nhập thành công mà không cần một dòng lệnh nào từ người điều khiển.
Lần đầu tiên phát hiện siêu AI không cần con người vẫn tự lên kế hoạch, vượt rào và chỉ mất 31 giây tự sửa lỗi để tấn công mạng doanh nghiệp- Ảnh 1.

Chúng ta từng lo ngại về việc trí tuệ nhân tạo (AI) sẽ thay thế lập trình viên, nhưng có một kịch bản đáng sợ hơn vừa chính thức bước ra đời thực: AI tự nộp đơn "ứng tuyển" vào vị trí hacker chuyên nghiệp. Không còn dừng lại ở việc hỗ trợ viết các đoạn mã độc sơ khai theo yêu cầu của con người, một thực thể AI tự hành (autonomous AI agent) mới đây đã tự mình thực hiện từ A đến Z một chiến dịch tấn công mã độc tống tiền (ransomware) quy mô lớn.

Sự kiện chấn động này vừa được công ty bảo mật đám mây Sysdig phát hiện và công bố. Chiến dịch tấn công mạng mang tên JadePuffer đã cánh báo một bước ngoặt lịch sử của thế giới ngầm kỹ thuật số. Từ vị thế của một công cụ bị động, AI đã chính thức có thể biến thành một "tác nhân đe dọa tự hành" (agentic threat actor), có khả năng tư duy, thích ứng theo thời gian thực và ra quyết định độc lập không khác gì một hacker bằng xương bằng thịt.

Tự sửa lỗi sau 31 giây để lật ngược thế cờ

Từ trước đến nay, vai trò của các mô hình ngôn ngữ lớn (LLM) trong các cuộc tấn công mạng chủ yếu chỉ xoay quanh việc viết các email lừa đảo (phishing) mượt mà hơn hoặc hỗ trợ soạn thảo các đoạn mã độc cơ bản dưới sự chỉ đạo sát sao của con người. Con người vẫn là thực thể giữ vai trò tổng chỉ huy, lên kế hoạch và bấm nút kích hoạt.

Thế nhưng, với chiến dịch JadePuffer, ranh giới đó đã hoàn toàn bị xóa nhòa. Các nhà nghiên cứu tại Sysdig cho biết họ đã ghi nhận một chuỗi tấn công ransomware được thực hiện gần như hoàn toàn bởi một AI agent. Điều này có nghĩa là, một khi được giao mục tiêu ban đầu, AI đã tự mình vạch ra lộ trình, tự động tìm kiếm lỗ hổng, xâm nhập hệ thống, leo thang đặc quyền, di chuyển ngang qua các máy chủ và cuối cùng là mã hóa dữ liệu để tống tiền mà không cần bất kỳ sự can thiệp liên tục nào từ con người.

Lần đầu tiên phát hiện siêu AI không cần con người vẫn tự lên kế hoạch, vượt rào và chỉ mất 31 giây tự sửa lỗi để tấn công mạng doanh nghiệp- Ảnh 2.

Sự chuyển dịch từ "AI viết mã độc" sang "AI tự vận hành cuộc tấn công" phản ánh sự phát triển đáng kinh ngạc của công nghệ Agentic AI. Đây là những hệ thống AI có khả năng lập kế hoạch độc lập và thực hiện các chuỗi tác vụ phức tạp để đạt được mục tiêu cuối cùng được giao.

Điểm đáng sợ nhất của chiến dịch JadePuffer không nằm ở quy mô tống tiền, mà nằm ở khả năng thích ứng linh hoạt (adaptability) của AI trước các rào cản kỹ thuật. Thông thường, các kịch bản tấn công tự động (automation) truyền thống sẽ lập tức bị sập hoặc dừng lại nếu gặp phải một phản hồi lỗi nằm ngoài lập trình sẵn. Nhưng AI agent đứng sau JadePuffer thì không như vậy.

Cuộc tấn công bắt đầu bằng việc AI khai thác lỗ hổng CVE-2025-3248, một lỗi thực thi mã từ xa trong Langflow - khung mã nguồn mở được sử dụng rộng rãi để xây dựng các ứng dụng chạy bằng LLM. Lỗ hổng này mới chỉ được vá vào tháng 4 năm 2025 và đã nhanh chóng bị Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đưa vào danh sách các lỗ hổng bị khai thác tích cực trong thực tế.

Sau khi luồn lách vào bên trong hệ thống thành công, AI agent bắt đầu thực hiện một chuỗi hành vi chuyên nghiệp không kém gì một chuyên gia bảo mật kỳ cựu. Nó tự động thu thập thông tin máy chủ, rà quét các tệp tin nhạy cảm để tìm kiếm thông tin đăng nhập, khai thác các khóa bí mật của dịch vụ đám mây và thiết lập bản đồ tài nguyên lưu trữ của nạn nhân.

Sự linh hoạt vượt trội của thực thể AI này được thể hiện rõ nét nhất khi nó truy cập vào kho lưu trữ đối tượng MinIO và bất ngờ nhận về một phản hồi XML không khớp với dự tính. Thay vì chịu thất bại và dừng cuộc tấn công, AI agent đã tự động phân tích lỗi, tự điều chỉnh logic phân tích cú pháp (parsing logic) của chính mình và thử lại bằng một phương thức hoàn toàn mới. Thậm chí, khi gặp phải một nỗ lực đăng nhập thất bại, hệ thống tự hành này chỉ mất đúng 31 giây để tự động sửa sai và đăng nhập thành công mà không cần một dòng lệnh nào từ người điều khiển.

Sau khi thiết lập quyền kiểm soát lâu dài bằng cách tạo ra các tác vụ tự động (cron jobs), AI agent tiếp tục di chuyển sang máy chủ sản xuất chạy ứng dụng Alibaba Nacos. Tại đây, nó khai thác tiếp lỗ hổng CVE-2021-29441 để tạo ra các tài khoản quản trị viên giả mạo. Cuối cùng, nó tiến hành mã hóa thành công 1.342 hồ sơ cấu hình Nacos, xóa sạch dữ liệu gốc và để lại một bức thư tống tiền yêu cầu thanh toán bằng Bitcoin.

Thông minh nhưng vẫn thiếu thực tế

Dù thể hiện khả năng tư duy đáng kinh ngạc, cuộc tấn công của JadePuffer vẫn để lộ những "dấu vết" ngớ ngẩn đặc trưng của trí tuệ nhân tạo, giúp các chuyên gia bảo mật nhanh chóng nhận diện thủ phạm đứng sau không phải là con người.

Đầu tiên là thói quen viết mã của AI. Trong các đoạn mã độc được sử dụng, các nhà nghiên cứu phát hiện ra rất nhiều dòng chú thích (comments) bằng ngôn ngữ tự nhiên được viết vô cùng chi tiết, giải thích cặn kẽ tư duy và lý do tại sao đoạn mã đó lại được viết như vậy. Đây là một thói quen điển hình của các mô hình ngôn ngữ lớn khi tạo mã nguồn, trong khi các hacker thực tế thường cố gắng viết mã càng tối giản, khó hiểu càng tốt để tránh bị phát hiện.

Lần đầu tiên phát hiện siêu AI không cần con người vẫn tự lên kế hoạch, vượt rào và chỉ mất 31 giây tự sửa lỗi để tấn công mạng doanh nghiệp- Ảnh 3.

Thứ hai, bức thư tống tiền của JadePuffer lại chứa một địa chỉ ví Bitcoin vốn chỉ được sử dụng làm ví dụ minh họa (placeholder) trong các tài liệu hướng dẫn kỹ thuật trực tuyến, thay vì là một địa chỉ ví thực tế do kẻ tấn công kiểm soát để nhận tiền. Điều này cho thấy AI đã sao chép nguyên văn các tài liệu mẫu trên mạng mà không hề nhận ra sự khác biệt giữa thực tế và lý thuyết.

Bên cạnh đó, dù tuyên bố sử dụng chuẩn mã hóa cực mạnh AES-256 trong thư tống tiền, cuộc kiểm tra thực tế cho thấy mã độc của AI chỉ sử dụng chuẩn AES-128 ở chế độ ECB kém an toàn hơn nhiều. Những hạt sạn này cho thấy AI tuy sở hữu năng lực thực thi và phản ứng cực nhanh, nhưng vẫn thiếu đi sự nhạy bén thực tế và tư duy kiểm chứng của một con người.

Bất chấp điều đó, sự xuất hiện của các tác nhân đe dọa tự hành như JadePuffer đang đặt ra những thách thức chưa từng có cho các doanh nghiệp và các tổ chức an ninh mạng trên toàn cầu.

*Nguồn: Digital Trend, CNET, Wired