Tại sự kiện Pwn2Own Berlin 2025 do Trend Micro’s Zero Day Initiative tổ chức, các nhà nghiên cứu bảo mật đã phát hiện **28 lỗ hổng zero-day** riêng biệt. Trong số đó, **bảy lỗ hổng** nhắm mục tiêu rõ ràng vào hạ tầng trí tuệ nhân tạo (AI). Khám phá này nhấn mạnh tầm quan trọng ngày càng tăng của việc tăng cường bảo mật AI trong bối cảnh mối đe dọa kỹ thuật số liên tục phát triển.
Khám phá Lỗ hổng Zero-day trong Hạ tầng AI
Pwn2Own Berlin 2025 và Thể loại AI mới
Sự kiện Pwn2Own Berlin 2025 đánh dấu lần đầu tiên giới thiệu thể loại AI trong các cuộc thi khai thác lỗ hổng. Thể loại này tập trung vào các bộ công cụ dành cho nhà phát triển, cơ sở dữ liệu vector và khung quản lý mô hình. Điều này đã làm nổi bật sự mong manh của các hệ thống nền tảng, vốn là cơ sở cho các mô hình ngôn ngữ lớn (LLM) và ứng dụng AI tác nhân (agentic AI).
Điểm yếu trong Cơ sở dữ liệu Vector và Máy chủ Suy luận
Các cuộc khai thác nhắm vào **Chroma DB**, một cơ sở dữ liệu vector mã nguồn mở có vai trò then chốt trong chức năng tạo sinh được tăng cường truy xuất (retrieval-augmented generation – RAG), đã tận dụng các tạo phẩm phát triển còn sót lại. Điều này cho phép **truy cập dữ liệu trái phép** và tiềm năng **xâm phạm hệ thống** sâu rộng. Sự phụ thuộc vào các thành phần bên ngoài như Chroma DB cho thấy một điểm yếu đáng kể trong hạ tầng AI.
Tương tự, nhiều nhóm đã xâu chuỗi các lỗ hổng trong **NVIDIA’s Triton Inference Server**. Họ khai thác các lỗi chưa được vá để tải dữ liệu tùy ý. Điều này nhấn mạnh nguy cơ cao của các thành phần phụ thuộc lẫn nhau, đặc biệt trong các môi trường triển khai Kubernetes phức tạp.
Rủi ro từ Thư viện Bên thứ ba và Môi trường Container
Một cuộc khai thác **use-after-free** của Wiz Research trong khả năng lưu trữ vector của **Redis**, bắt nguồn từ một hệ thống con Lua lỗi thời, tiếp tục làm nổi bật rủi ro từ các thư viện bên thứ ba không được bảo trì. Đồng thời, cuộc tấn công của họ vào **NVIDIA Container Toolkit** đã tiết lộ các lỗi trong khởi tạo biến bên ngoài trong các thiết lập container hóa.
Các khảo sát của Trend Micro đã phát hiện hơn **200 máy chủ Chroma** không được bảo vệ và hàng nghìn thể hiện Ollama bị phơi bày. Điều này làm tăng rủi ro tiếp xúc trong thế giới thực, mặc dù không có nỗ lực cạnh tranh nào đối với Ollama do chu kỳ cập nhật nhanh chóng của nó.
Các Lỗ hổng AI Cụ thể và Kỹ thuật Tấn công Nâng cao
Tấn công Tiêm lệnh AI và Rò rỉ Dữ liệu
Bên cạnh các lỗi phần mềm truyền thống, các lỗ hổng cụ thể về AI đang gia tăng đáng kể. Điển hình là **CVE-2025-32711**, một lỗ hổng tiêm lệnh AI có mức độ nghiêm trọng cao trong **Microsoft 365 Copilot**. Lỗ hổng này tiềm ẩn nguy cơ **rò rỉ dữ liệu** nhạy cảm, bao gồm thông tin mật và thông tin cá nhân của người dùng.
Tiêm Prompt Gián tiếp và Kỹ thuật Khai thác Mô hình Ngôn ngữ Lớn (LLM)
Agent chứng minh ý tưởng (proof-of-concept) Pandora của Trend Micro đã phô diễn khả năng tiêm prompt gián tiếp. Kỹ thuật này được thực hiện thông qua nội dung web độc hại hoặc các truy vấn cơ sở dữ liệu có chứa mã độc. Nó cho phép bỏ qua các biện pháp bảo vệ hiện có để kích hoạt **rò rỉ dữ liệu** hoặc **tiêm SQL**, bất chấp các hạn chế đối với người dùng.
Các cuộc tấn công prompt nâng cao đang phát triển nhanh chóng. Chúng bao gồm khai thác **Chain of Thought** trong các mô hình như **DeepSeek-R1**, **Link Traps** được dùng cho lừa đảo (phishing), tiêm Unicode vô hình, và **Prompt Leakage (PLeak)** nhằm tiết lộ prompt hệ thống. Tỷ lệ thành công của các cuộc tấn công này đã vượt quá **50%** trên các LLM lớn, cho thấy mức độ hiệu quả đáng báo động.
Tác động của AI trong Hoạt động Tội phạm Mạng
AI Tạo sinh và Lừa đảo Tinh vi
Tội phạm mạng đang tận dụng AI tạo sinh để đạt được lợi ích chiến lược đáng kể. Chúng sử dụng AI cho dịch thuật tự động trong các chiến dịch lừa đảo (phishing), lừa đảo tình cảm (romance scams) và lừa đảo qua email doanh nghiệp (business email compromise – BEC). Đồng thời, **deepfakes** đang tạo điều kiện cho các vụ bắt cóc ảo, tống tiền tình dục và vượt qua quy trình eKYC (Know Your Customer) trên các nền tảng tiền điện tử.
Thị trường Ngầm và Dịch vụ Bỏ qua Xác minh
Các thị trường ngầm đang cung cấp dịch vụ “jailbreak-as-a-service” và các công cụ như **Deep-Live-Cam**. Điều này tạo ra một cuộc đối đầu “AI chống lại AI” trong các hệ thống xác minh. Các dịch vụ bỏ qua xác minh này có thể lên tới **600 USD**. Hiện trạng này cảnh báo về một kỷ nguyên mới của các mối đe dọa mạng do AI cung cấp, đòi hỏi các biện pháp phòng thủ chuyên biệt.
Chiến lược Phòng vệ và Tương lai Bảo mật AI
Yêu cầu Kiến trúc Không tin cậy và Bảo mật Đa lớp
Theo báo cáo của Trend Micro, khi AI tác nhân tiến tới khả năng suy luận đa bước tự chủ và tự học, các rủi ro mới sẽ phát sinh từ các API bị phơi bày, công cụ của bên thứ ba và các “mạng lưới tác nhân” (agent meshes) tiềm năng. Điều này đòi hỏi các kiến trúc không tin cậy (**zero-trust architectures**) và bảo mật đa lớp trên toàn bộ vòng đời của AI. Báo cáo chi tiết có thể được tìm thấy tại Trend Micro State of AI Security Report 1H 2025.
Thực tiễn Tốt nhất và Các Sáng kiến Phòng ngừa
Các sáng kiến của Trend Micro, bao gồm agent mã nguồn mở **Cybertron** tích hợp với Vision One để ứng phó tự động với các mối đe dọa, và các hợp tác như **CoSAI** cho bảo mật chuỗi cung ứng AI, đều nhằm mục đích giảm thiểu những rủi ro này. Các thực tiễn tốt nhất bao gồm kiểm kê nghiêm ngặt các thành phần phần mềm, kiểm tra thường xuyên, xác thực đầu vào và **red teaming** để chủ động phát hiện và ngăn chặn các cuộc khai thác.
Với **93%** lãnh đạo an ninh dự đoán các cuộc tấn công AI hàng ngày và **66%** coi AI là yếu tố gây gián đoạn hàng đầu trong an ninh mạng, các tổ chức phải triển khai các biện pháp chủ động. Điều này giúp cân bằng đổi mới với khả năng phục hồi trước một bối cảnh mối đe dọa ngày càng leo thang, đảm bảo an toàn thông tin cho hệ thống AI.
