Tin tức an ninh mạng mới từ Google Threat Intelligence Group (GTIG) cho thấy AI tạo sinh đang được tích hợp ngày càng sâu vào các quy trình khai thác, phát triển mã độc và tự động hóa tấn công. Báo cáo nêu bật một lỗ hổng CVE dạng logic cấp cao, một chuỗi công cụ khai thác zero-day được hỗ trợ bởi AI, cùng nhiều hoạt động sử dụng mô hình ngôn ngữ lớn (LLM) để mở rộng phạm vi mối đe dọa mạng.
Lỗ hổng CVE Và Mã Khai Thác Zero-Day Được Tạo Bằng AI
Điểm đáng chú ý nhất trong báo cáo là một zero-day vulnerability được một nhóm tội phạm mạng phát triển thành công hoàn toàn với sự hỗ trợ của AI. Mã khai thác viết bằng Python nhằm vượt qua cơ chế xác thực hai yếu tố (2FA) trên một công cụ quản trị web mã nguồn mở phổ biến.
GTIG cho biết đây không phải là lỗi memory corruption hay lỗi lọc đầu vào, mà là một lỗ hổng CVE ở tầng logic nghiệp vụ. Cụ thể, hệ thống tồn tại một giả định tin cậy được hardcode trong luồng cưỡng chế 2FA, khiến các công cụ SAST truyền thống và fuzzer có thể bỏ sót.
Phân tích mã cho thấy nhiều dấu hiệu của nội dung sinh bởi LLM: docstring mang tính giáo dục, cấu trúc Python “sạch” theo kiểu textbook, và một CVSS bị “hallucinate” trong tài liệu đi kèm. GTIG đã công bố có trách nhiệm với nhà cung cấp bị ảnh hưởng và chặn hoạt động trước khi chiến dịch có thể triển khai trên diện rộng.
Đặc điểm kỹ thuật của exploit
Mã khai thác được mô tả là một script Python hoạt động như sau:
- Nhắm vào cơ chế 2FA bypass của nền tảng quản trị web.
- Thể hiện cấu trúc mã rõ ràng, dễ đọc, tương thích với phong cách đầu ra của LLM.
- Không dựa trên lỗi bộ nhớ, mà khai thác giả định logic ở lớp xác thực.
Đây là kiểu khai thác zero-day khó bị phát hiện bằng chữ ký đơn thuần vì không có chuỗi payload đặc trưng hay hành vi exploit cổ điển.
Tham chiếu bổ sung về phát hiện khai thác lỗ hổng có thể xem tại Google Cloud Threat Intelligence.
Tin Tức An Ninh Mạng Về Việc Lạm Dụng AI Trong Phát Hiện Lỗ Hổng
Báo cáo của GTIG cũng ghi nhận nhiều tác nhân đe dọa đã dùng AI để tăng tốc phát hiện lỗ hổng CVE ở quy mô lớn. Các tác động này tập trung vào phân tích firmware, kiểm tra PoC, và tạo logic điều hướng xâm nhập khó bị giám sát.
UNC2814 sử dụng kỹ thuật “persona-driven” jailbreaking, yêu cầu Gemini đóng vai chuyên gia bảo mật nhị phân C/C++ để phân tích firmware TP-Link và triển khai OFTP. Cách tiếp cận này giúp vượt qua một phần rào chắn an toàn của mô hình.
APT45 thực hiện hàng nghìn prompt lặp lại để phân tích đệ quy các lỗ hổng CVE và xác thực proof-of-concept exploits. Kết quả là một kho công cụ được AI hỗ trợ, vượt xa năng lực vận hành thủ công.
APT27 cũng được quan sát sử dụng Gemini để tăng tốc phát triển một ứng dụng quản lý cụm relay box (ORB), trong đó có tham số hardcoded maxHops=3 và kiểu thiết bị di động nhằm che giấu nguồn gốc xâm nhập.
Android Backdoor PROMPTSPY Và Dòng Điều Khiển Qua Gemini API
Một phát hiện đáng chú ý khác là PROMPTSPY, một backdoor Android tích hợp trực tiếp Gemini API vào luồng thực thi. Mô-đun GeminiAutomationAgent của mã độc này tuần tự hóa cây giao diện người dùng đang hiển thị thành XML, gửi tới mô hình gemini-2.5-flash-lite, rồi nhận lại lệnh JSON có cấu trúc như CLICK và SWIPE.
Cơ chế này cho phép mã độc điều hướng thiết bị nạn nhân một cách tự động mà không cần tương tác con người. Ngoài ra, PROMPTSPY còn có khả năng thu thập dữ liệu sinh trắc học, triển khai lớp phủ vô hình để ngăn gỡ cài đặt, và xoay vòng hạ tầng C2 cùng API key Gemini ngay trong thời gian chạy.
GTIG cho biết các tài sản liên quan đến PROMPTSPY đã bị vô hiệu hóa và chưa ghi nhận ứng dụng nhiễm trên Google Play.
IOC liên quan đến PROMPTSPY
- GeminiAutomationAgent
- gemini-2.5-flash-lite
- CLICK và SWIPE trong JSON command
- Cơ chế XML serialization của cây giao diện UI
AI-Enabled Malware Và Lớp Ngụy Trang Logic
GTIG cũng ghi nhận các họ mã độc như CANFAIL và LONGSTREAM sử dụng nội dung do LLM sinh ra để che giấu hành vi. LONGSTREAM chứa 32 lần truy vấn dư thừa về daylight saving time, được chèn vào để làm mã trông vô hại trước công cụ phân tích tĩnh.
HONESTCUE thì tương tác thời gian thực với Gemini API để yêu cầu obfuscation VBScript “just-in-time”, qua đó làm suy giảm hiệu quả của phát hiện dựa trên chữ ký. Đây là dấu hiệu cho thấy mối đe dọa mạng đang chuyển sang lớp ngụy trang động, thay vì chỉ dựa vào packing hay obfuscation truyền thống.
Hệ Sinh Thái Middleware LLM Và Rủi Ro Bảo Mật
Bên cạnh việc khai thác mô hình, các tác nhân đe dọa còn xây dựng middleware chuyên nghiệp để vượt qua rào chắn an toàn và giới hạn thanh toán của dịch vụ AI. Một script Python công khai trên GitHub được sử dụng để tự động đăng ký tài khoản LLM premium, vượt CAPTCHA, xác minh SMS và hủy ngay sau đó để xoay vòng miễn phí.
UNC5673 triển khai các công cụ như Claude-Relay-Service và CLI-Proxy-API để gom nhiều tài khoản Gemini, Claude và OpenAI cùng lúc. Mô hình này làm tăng khả năng mở rộng của chiến dịch và che giấu dấu vết sử dụng.
Đây là một rủi ro bảo mật đáng chú ý đối với các môi trường phụ thuộc AI, vì lớp trung gian này có thể được dùng để tự động hóa thăm dò, né hạn mức, hoặc kết hợp với chiến dịch xâm nhập.
Chuỗi Cung Ứng Phần Mềm Bị Xâm Nhập Trong CI/CD
Trong cuối tháng 3/2026, TeamPCP (còn gọi là UNC6780) đã thực hiện các vụ xâm nhập chuỗi cung ứng nhắm vào nhiều kho GitHub liên quan đến Trivy, Checkmarx, LiteLLM và BerriAI. Nhóm này nhúng SANDCLOCK credential stealer để thu thập AWS keys và GitHub tokens trực tiếp từ môi trường build CI/CD.
Thông tin xác thực bị đánh cắp sau đó được thương mại hóa thông qua các liên minh ransomware và tống tiền. Đặc biệt, việc xâm nhập vào LiteLLM gây lo ngại vì đây là công cụ gateway AI dùng để tích hợp nhiều nhà cung cấp LLM, từ đó có thể làm lộ AI API secrets và tạo điều kiện cho xâm nhập trái phép sâu hơn vào mạng doanh nghiệp.
Chi tiết tổng quan về các chiến thuật khai thác AI có thể tham khảo thêm trong bài viết liên quan của Google Cloud và các advisory bảo mật công khai từ nhà cung cấp phần mềm tương ứng.
Ưu Tiên Phát Hiện Xâm Nhập Và Giảm Thiểu
GTIG nhấn mạnh rằng tổ chức cần rà soát pipeline CI/CD, GitHub tokens và chuỗi phụ thuộc AI khi các môi trường tích hợp LLM trở thành mục tiêu chính của các chiến dịch tinh vi. Đây là điểm trọng yếu để giảm nguy cơ bảo mật từ cả khai thác zero-day lẫn xâm nhập chuỗi cung ứng.
Trong thực tế vận hành, các đội ngũ phát hiện xâm nhập nên ưu tiên theo dõi:
- Token GitHub và AWS xuất hiện bất thường trong log build.
- Thay đổi không mong đợi ở repo phụ thuộc LLM.
- Chuỗi gọi API AI có pattern lặp, tự động hóa cao.
- Binary hoặc script có cấu trúc logic “quá sạch”, nhưng hành vi thực thi bất thường.
Với loại lỗ hổng CVE mang tính logic như trường hợp 2FA bypass, việc kết hợp phân tích mã nguồn, giám sát hành vi và kiểm tra quyền truy cập là cần thiết. Các công cụ SAST, fuzzing và phát hiện tấn công bằng chữ ký đơn lẻ thường không đủ để nhận diện đầy đủ bề mặt rủi ro.
