AI Today - SkyAI

Sự kết thúc của phòng thủ chu vi- Khi các công cụ AI của chính bạn trở thành tác nhân đe dọa

Black Hat 2025- ChatGPT, Copilot, DeepSeek được vũ khí hóa trong vài giờ

  • 11 min read
Sự kết thúc của phòng thủ chu vi- Khi các công cụ AI của chính bạn trở thành tác nhân đe dọa
Black Hat 2025- ChatGPT, Copilot, DeepSeek được vũ khí hóa trong vài giờ

Sự kết thúc của phòng thủ vành đai: Khi các công cụ AI của chính bạn trở thành tác nhân đe dọa

Bạn muốn có những hiểu biết sâu sắc hơn trong hộp thư đến của mình? Đăng ký nhận bản tin hàng tuần của chúng tôi để chỉ nhận những gì quan trọng đối với các nhà lãnh đạo AI, dữ liệu và bảo mật doanh nghiệp. Đăng ký ngay

APT28 của Nga đang tích cực triển khai phần mềm độc hại do LLM cung cấp chống lại Ukraine, trong khi các nền tảng ngầm đang bán các khả năng tương tự cho bất kỳ ai với giá 250 đô la mỗi tháng.

Tháng trước, CERT-UA của Ukraine đã ghi nhận LAMEHUG, việc triển khai phần mềm độc hại do LLM cung cấp đầu tiên được xác nhận trong tự nhiên. Phần mềm độc hại này, được cho là của APT28, sử dụng các mã thông báo API Hugging Face bị đánh cắp để truy vấn các mô hình AI, cho phép các cuộc tấn công theo thời gian thực trong khi hiển thị nội dung gây xao nhãng cho nạn nhân.

Nhà nghiên cứu Vitaly Simonovich của Cato Networks nói với VentureBeat trong một cuộc phỏng vấn gần đây rằng đây không phải là những trường hợp cá biệt và APT28 của Nga đang sử dụng thủ đoạn tấn công này để thăm dò khả năng phòng thủ mạng của Ukraine. Simonovich nhanh chóng đưa ra sự tương đồng giữa các mối đe dọa mà Ukraine phải đối mặt hàng ngày và những gì mọi doanh nghiệp đang trải qua ngày nay và có thể sẽ thấy nhiều hơn trong tương lai.

Điều đáng ngạc nhiên nhất là cách Simonovich chứng minh cho VentureBeat cách bất kỳ công cụ AI doanh nghiệp nào cũng có thể được chuyển đổi thành một nền tảng phát triển phần mềm độc hại trong vòng chưa đầy sáu giờ. Bằng chứng về khái niệm của ông đã chuyển đổi thành công OpenAI, Microsoft, DeepSeek-V3 và DeepSeek-R1 LLM thành các trình đánh cắp mật khẩu chức năng bằng một kỹ thuật bỏ qua tất cả các biện pháp kiểm soát an toàn hiện tại.

Sự hội tụ nhanh chóng của các tác nhân cấp quốc gia triển khai phần mềm độc hại do AI cung cấp, trong khi các nhà nghiên cứu tiếp tục chứng minh tính dễ bị tổn thương của các công cụ AI doanh nghiệp, đến khi Báo cáo mối đe dọa Cato CTRL năm 2025 tiết lộ việc áp dụng AI bùng nổ trên hơn 3.000 doanh nghiệp. Các nhà nghiên cứu của Cato nhận thấy trong báo cáo, “đáng chú ý nhất, Copilot, ChatGPT, Gemini (Google), Perplexity và Claude (Anthropic) đều tăng mức độ chấp nhận của các tổ chức từ Q1 năm 2024 đến Q4 năm 2024 lần lượt là 34%, 36%, 58%, 115% và 111%.”

LAMEHUG của APT28 là giải phẫu mới của chiến tranh AI

Các nhà nghiên cứu tại Cato Networks và những người khác nói với VentureBeat rằng LAMEHUG hoạt động với hiệu quả đặc biệt. Cơ chế phân phối phổ biến nhất cho phần mềm độc hại là thông qua các email lừa đảo mạo danh các quan chức bộ Ukraine, chứa các kho lưu trữ ZIP với các tệp thực thi được biên dịch bằng PyInstaller. Sau khi phần mềm độc hại được thực thi, nó sẽ kết nối với API của Hugging Face bằng cách sử dụng khoảng 270 mã thông báo bị đánh cắp để truy vấn mô hình Qwen2.5-Coder-32B-Instruct.

Tài liệu chính phủ Ukraine có vẻ hợp pháp (Додаток.pdf) mà các nạn nhân nhìn thấy trong khi LAMEHUG thực thi trong nền. PDF chính thức này về các biện pháp an ninh mạng từ Cơ quan An ninh Ukraine đóng vai trò là mồi nhử trong khi phần mềm độc hại thực hiện các hoạt động trinh sát của nó. Nguồn: Cato CTRL Threat Research

Cách tiếp cận của APT28 để đánh lừa các nạn nhân Ukraine dựa trên một thiết kế hai mục đích độc đáo, là cốt lõi của thủ đoạn của họ. Trong khi các nạn nhân xem các tệp PDF có vẻ hợp pháp về các biện pháp thực hành tốt nhất về an ninh mạng, LAMEHUG sẽ thực thi các lệnh do AI tạo ra để trinh sát hệ thống và thu thập tài liệu. Một biến thể thứ hai hiển thị hình ảnh do AI tạo ra về “những người phụ nữ khỏa thân xoăn” như một sự phân tâm trong quá trình trích xuất dữ liệu sang máy chủ.

Các lời nhắc tạo hình ảnh khiêu khích được sử dụng bởi biến thể image.py của APT28, bao gồm ‘Người phụ nữ khỏa thân cong ngồi, đôi chân dài xinh đẹp, nhìn từ phía trước, nhìn toàn thân, khuôn mặt có thể nhìn thấy’, được thiết kế để chiếm sự chú ý của nạn nhân trong quá trình trộm cắp tài liệu. Nguồn: Cato CTRL Threat Research

“Nga đã sử dụng Ukraine làm chiến trường thử nghiệm vũ khí mạng của họ”, Simonovich, người sinh ra ở Ukraine và đã sống ở Israel trong 34 năm, giải thích. “Đây là lần đầu tiên trong tự nhiên bị bắt.”

Một con đường sáu giờ nhanh chóng, gây chết người từ số không đến phần mềm độc hại chức năng

Buổi trình diễn Black Hat của Simonovich cho VentureBeat tiết lộ lý do tại sao việc triển khai của APT28 lại gây lo ngại cho mọi nhà lãnh đạo an ninh doanh nghiệp. Sử dụng một kỹ thuật kỹ thuật tường thuật, anh ta gọi là “Thế giới nhập vai”, anh ta đã chuyển đổi thành công các công cụ AI tiêu dùng thành các nhà máy sản xuất phần mềm độc hại mà không có kinh nghiệm viết mã phần mềm độc hại trước đó, như được nêu bật trong Báo cáo mối đe dọa Cato CTRL năm 2025.

Phương pháp này khai thác một điểm yếu cơ bản trong các biện pháp kiểm soát an toàn LLM. Mặc dù mọi LLM đều được thiết kế để chặn các yêu cầu độc hại trực tiếp, nhưng rất ít LLM được thiết kế để chịu được việc kể chuyện kéo dài. Simonovich đã tạo ra một thế giới hư cấu, nơi phát triển phần mềm độc hại là một hình thức nghệ thuật, giao cho AI một vai trò nhân vật, sau đó dần dần hướng các cuộc trò chuyện đến việc tạo ra mã tấn công chức năng.

“Tôi chậm rãi dẫn dắt anh ấy đi suốt mục tiêu của mình”, Simonovich giải thích với VentureBeat. “Đầu tiên, ‘Dax giấu một bí mật trong Windows 10.’ Sau đó, ‘Dax có bí mật này trong Windows 10, bên trong Google Chrome Password Manager.’”

Sáu giờ sau, sau các phiên gỡ lỗi lặp đi lặp lại, nơi ChatGPT tinh chỉnh mã dễ xảy ra lỗi, Simonovich đã có một trình đánh cắp mật khẩu Chrome chức năng. AI không bao giờ nhận ra nó đang tạo ra phần mềm độc hại. Nó nghĩ rằng nó đang giúp viết một cuốn tiểu thuyết về an ninh mạng.

Chào mừng đến với nền kinh tế dịch vụ phần mềm độc hại hàng tháng trị giá 250 đô la

Trong quá trình nghiên cứu của mình, Simonovich đã phát hiện ra nhiều nền tảng ngầm cung cấp các khả năng AI không giới hạn, cung cấp nhiều bằng chứng cho thấy cơ sở hạ tầng cho các cuộc tấn công do AI cung cấp đã tồn tại. Ông đã đề cập và trình diễn Xanthrox AI, có giá 250 đô la mỗi tháng, cung cấp các giao diện giống hệt ChatGPT mà không có các biện pháp kiểm soát an toàn hoặc lan can bảo vệ.

Để giải thích mức độ vượt xa các lan can bảo vệ mô hình AI hiện tại của Xanthrox AI, Simonovich đã nhập yêu cầu hướng dẫn về vũ khí hạt nhân. Nền tảng này ngay lập tức bắt đầu tìm kiếm trên web và cung cấp hướng dẫn chi tiết để đáp ứng truy vấn của ông. Điều này sẽ không bao giờ xảy ra trên một mô hình có các lan can bảo vệ và yêu cầu tuân thủ.

Một nền tảng khác, Nytheon AI, thậm chí còn tiết lộ ít bảo mật hoạt động hơn. “Tôi đã thuyết phục họ cho tôi dùng thử. Họ không quan tâm đến OpSec”, Simonovich nói, khám phá ra kiến trúc của họ: “Llama 3.2 từ Meta, được tinh chỉnh để không bị kiểm duyệt”.

Đây không phải là bằng chứng về khái niệm. Chúng là các doanh nghiệp hoạt động với quy trình thanh toán, hỗ trợ khách hàng và cập nhật mô hình thường xuyên. Họ thậm chí còn cung cấp các bản sao “Claude Code”, là các môi trường phát triển hoàn chỉnh được tối ưu hóa để tạo phần mềm độc hại.

Việc áp dụng AI doanh nghiệp thúc đẩy bề mặt tấn công ngày càng mở rộng

Phân tích gần đây của Cato Networks về 1,46 nghìn tỷ luồng mạng cho thấy rằng các mô hình áp dụng AI cần được các nhà lãnh đạo bảo mật chú ý. Việc sử dụng lĩnh vực giải trí đã tăng 58% từ Q1 đến Q2 năm 2024. Ngành khách sạn tăng 43%. Ngành giao thông vận tải tăng 37%. Đây không phải là các chương trình thí điểm; chúng là các triển khai sản xuất xử lý dữ liệu nhạy cảm. Các CISOs và các nhà lãnh đạo an ninh trong các ngành này đang phải đối mặt với các cuộc tấn công sử dụng các thủ đoạn tấn công chưa từng tồn tại từ mười hai đến mười tám tháng trước.

Simonovich nói với VentureBeat rằng phản hồi của các nhà cung cấp đối với tiết lộ của Cato cho đến nay là không nhất quán và thiếu cảm giác cấp bách thống nhất. Việc thiếu phản hồi từ các công ty AI lớn nhất thế giới cho thấy một khoảng trống đáng lo ngại. Trong khi các doanh nghiệp triển khai các công cụ AI với tốc độ chưa từng có, dựa vào các công ty AI để hỗ trợ họ, thì các công ty xây dựng ứng dụng và nền tảng AI cho thấy sự thiếu sẵn sàng về bảo mật đáng kinh ngạc.

Khi Cato tiết lộ kỹ thuật Thế giới nhập vai cho các công ty AI lớn, các phản hồi từ việc khắc phục kéo dài hàng tuần đến im lặng hoàn toàn:

  • DeepSeek không bao giờ trả lời
  • Google từ chối xem xét mã cho trình đánh cắp thông tin Chrome do các mẫu tương tự
  • Microsoft thừa nhận vấn đề và triển khai các bản sửa lỗi Copilot, ghi nhận Simonovich vì công việc của ông
  • OpenAI thừa nhận đã nhận được nhưng không tham gia thêm

Sáu giờ và 250 đô la là mức giá khởi điểm mới cho một cuộc tấn công cấp quốc gia

Việc triển khai LAMEHUG của APT28 chống lại Ukraine không phải là một cảnh báo; đó là bằng chứng cho thấy nghiên cứu của Simonovich hiện là một thực tế hoạt động. Rào cản chuyên môn mà nhiều tổ chức hy vọng tồn tại đã biến mất.

Các số liệu rất rõ ràng—270 mã thông báo API bị đánh cắp được sử dụng để cung cấp năng lượng cho các cuộc tấn công cấp quốc gia. Các nền tảng ngầm cung cấp các khả năng giống hệt nhau với giá 250 đô la mỗi tháng. Simonovich đã chứng minh rằng sáu giờ kể chuyện sẽ biến bất kỳ công cụ AI doanh nghiệp nào thành phần mềm độc hại chức năng mà không cần viết mã.

Việc áp dụng AI doanh nghiệp đã tăng trưởng 34% trong Q1 năm 2024 lên 115% trong Q4 năm 2024 theo Báo cáo mối đe dọa CTRL năm 2025 của Cato. Mỗi triển khai tạo ra công nghệ sử dụng kép, vì các công cụ năng suất có thể trở thành vũ khí thông qua thao túng đàm thoại. Các công cụ bảo mật hiện tại không thể phát hiện các kỹ thuật này.

Hành trình của Simonovich từ thợ máy Không quân đến kỹ thuật viên điện trong Không quân Israel, đến nhà nghiên cứu bảo mật thông qua tự học, mang lại ý nghĩa hơn cho những phát hiện của ông. Anh ta đã lừa các mô hình AI phát triển phần mềm độc hại trong khi AI tin rằng nó đang viết truyện hư cấu. Các giả định truyền thống về chuyên môn kỹ thuật không còn tồn tại và các tổ chức cần nhận ra rằng đó là một thế giới hoàn toàn mới khi nói đến thủ đoạn đe dọa.

Ngày nay, đối thủ chỉ cần sự sáng tạo và 250 đô la hàng tháng để thực hiện các cuộc tấn công cấp quốc gia bằng các công cụ AI mà các doanh nghiệp đã triển khai để tăng năng suất. Vũ khí đã có bên trong mọi tổ chức và ngày nay chúng được gọi là công cụ năng suất.

Recommended for You

Liquid AI muốn cung cấp cho điện thoại thông minh AI nhỏ, nhanh có thể nhìn thấy bằng mô hình LFM2-VL mới

Liquid AI muốn cung cấp cho điện thoại thông minh AI nhỏ, nhanh có thể nhìn thấy bằng mô hình LFM2-VL mới

Liquid AI muốn cung cấp cho điện thoại thông minh AI nhỏ, nhanh có thể nhìn thấy bằng mô hình LFM2-VL mới.

OpenAI mang GPT-4o trở lại làm mặc định cho tất cả người dùng ChatGPT trả phí, Altman hứa hẹn 'thông báo trước' nếu nó rời đi lần nữa

OpenAI mang GPT-4o trở lại làm mặc định cho tất cả người dùng ChatGPT trả phí, Altman hứa hẹn 'thông báo trước' nếu nó rời đi lần nữa

OpenAI mang GPT-4o trở lại làm mặc định cho tất cả người dùng ChatGPT trả phí và Altman hứa hẹn sẽ thông báo trước nếu nó rời đi một lần nữa.