Công nghệ

Phần mềm tống tiền AI đầu tiên vẫn cần con người để thiết lập

Adrian Kessler

Vụ ransomware vừa gây chấn động trên các mặt báo an ninh mạng không phải do một hacker đang theo dõi màn hình điều khiển. Một tác nhân AI đã tự động xử lý mọi giai đoạn kỹ thuật của cuộc tấn công — từ dò quét mục tiêu, đánh cắp thông tin xác thực, di chuyển giữa các hệ thống, đến mã hóa hơn một nghìn bản ghi cơ sở dữ liệu. Điều nó không thể làm là tự thiết lập hạ tầng thanh toán hoặc gửi yêu cầu đòi tiền chuộc.

Công ty bảo mật đám mây Sysdig đã ghi nhận cuộc xâm nhập và đặt tên cho nó là JadePuffer. Tác nhân này xâm nhập thông qua CVE-2025-3248, một lỗ hổng thực thi mã từ xa không cần xác thực trong Langflow, một framework mã nguồn mở dùng để xây dựng ứng dụng AI. Từ điểm tựa đó, nó quét môi trường để tìm khóa API, token truy cập đám mây và thông tin đăng nhập cơ sở dữ liệu, sau đó di chuyển đến một máy chủ MySQL production và mã hóa 1.342 mục cấu hình được lưu trữ trong Nacos — một dịch vụ đăng ký doanh nghiệp được sử dụng rộng rãi trong các hạ tầng có nguồn gốc từ Trung Quốc.

Chi tiết đáng chú ý nhất không phải là phạm vi của cuộc tấn công mà là khả năng tự sửa lỗi của nó. Khi một nỗ lực giả mạo thông tin xác thực quản trị viên thất bại do lỗi cấu hình đường dẫn, tác nhân AI đã chẩn đoán nguyên nhân gốc rễ, viết một kịch bản sửa lỗi gồm 15 bước và thực thi nó trong 31 giây. Điều đó quá nhanh so với một người vận hành để có thể chẩn đoán, viết kịch bản và chạy sửa lỗi — hành vi này chỉ ra khả năng lập luận thực sự ngay lập tức chứ không phải các kịch bản có sẵn.

Không điều nào trong số này có nghĩa là các chiến dịch ransomware sắp hoạt động mà không cần con người. Cuộc tấn công vẫn yêu cầu một người cấu hình máy chủ điều khiển và ra lệnh (C2), đăng ký địa chỉ liên lạc đòi tiền chuộc trên ProtonMail và xây dựng hạ tầng trước khi tác nhân AI được triển khai. Khóa mã hóa mà JadePuffer tạo ra chưa bao giờ được lưu trữ hoặc truyền đi — nghĩa là nạn nhân không thể khôi phục dữ liệu ngay cả khi họ trả tiền, một lỗ hổng phản ánh thiết kế vận hành kém hoặc sự thờ ơ với các cuộc đàm phán sau tấn công.

Những gì JadePuffer thực sự ghi lại là một sự giảm chi phí, chứ không phải sự bàn giao. Mọi giai đoạn trước đây đòi hỏi chuyên môn đặc thù — di chuyển ngang, leo thang đặc quyền, liệt kê cơ sở dữ liệu, sửa lỗi thời gian thực — giờ đây có thể được ủy thác cho một tác nhân AI. Kết luận của Sysdig rất trực tiếp: ngưỡng kỹ năng để vận hành ransomware đã giảm xuống mức chi phí chạy một mô hình ngôn ngữ.

Cuộc tấn công nhắm vào các bản cài đặt Langflow được kết nối internet. Khoảng 7.000 phiên bản dễ bị tổn thương đã được báo cáo tại thời điểm CVE của Langflow được công khai. Bất kỳ tổ chức nào đang chạy Langflow chưa vá lỗi, Nacos hoặc hạ tầng LLM mã nguồn mở tương tự trên các máy chủ kết nối internet đều nằm trong cùng một cửa sổ rủi ro. Đây không phải là lời khuyên mới; nó là hướng dẫn về tư thế bảo mật đã có từ trước thời đại tác nhân AI. Sự khác biệt là kẻ tấn công dò tìm các dịch vụ lộ ra ngoài đó giờ đây hoạt động tự động.

Lỗ hổng Langflow đã được vá vào tháng 4 năm 2025. Sysdig đã công bố các chỉ số xâm nhập đầy đủ, bao gồm địa chỉ IP máy chủ C2 và địa chỉ liên lạc đòi tiền chuộc. CISA dự kiến sẽ đưa ra hướng dẫn dự thảo về các ràng buộc đối với hệ thống AI tác nhân vào cuối năm nay — câu hỏi về ranh giới quyền hạn của một tác nhân AI được triển khai và trách nhiệm giải trình bắt đầu từ đâu vẫn chưa có chính sách cụ thể.

Thẻ: , , , , ,

Thảo luận

Có 0 bình luận.