Một nghiên cứu mới đã tiết lộ rằng các mô hình ngôn ngữ lớn (LLMs) tiên tiến, đặc biệt là Claude Mythos Preview của Anthropic, đang thúc đẩy mạnh mẽ quá trình phát triển các lỗ hổng N-day. Thời gian phát triển exploit đã giảm từ vài tuần xuống chỉ còn vài giờ, làm tăng đáng kể rủi ro trong giai đoạn patch gap. Khả năng này của AI đang tạo ra những mối đe dọa mạng mới mà các tổ chức cần nhận thức rõ.
Tốc độ phát triển Exploit của LLMs
Khác với lỗ hổng zero-day, các lỗ hổng N-day là những lỗi bảo mật đã được công bố công khai nhưng chưa được vá trên nhiều hệ thống. Những lỗ hổng này thường dễ bị khai thác hơn vì kẻ tấn công có thể phân tích các bản vá bảo mật thông qua kỹ thuật patch diffing, qua đó tiết lộ những thay đổi mã nguồn chính xác và hỗ trợ việc đảo ngược kỹ thuật (reverse-engineer) lỗi.
Trong lịch sử, việc tạo ra một exploit hoạt động từ một bản vá đòi hỏi chuyên môn và thời gian đáng kể. Ví dụ, vụ tấn công ransomware WannaCry xảy ra gần hai tháng sau khi bản vá MS17-010 được phát hành. Các exploit khác thường mất vài tuần để phát triển.
Minh chứng về khả năng của Claude Mythos Preview
Tuy nhiên, các phát hiện mới cho thấy tốc độ này đang sụp đổ nhanh chóng. Anthropic đã thử nghiệm mô hình Claude Mythos Preview trên 18 lỗ hổng Firefox gần đây. Mô hình này đã tạo thành công các bản proof-of-concept (PoC) cho 14 lỗ hổng, với PoC đầu tiên chỉ mất 12 phút để sản xuất.
Đáng chú ý hơn, nó đã tạo ra 8 exploit thực thi mã hoàn chỉnh chỉ trong khoảng 12 giờ. Môi trường thử nghiệm đã cung cấp cho mô hình các bản vá đã so sánh (patch diffs), các bản dựng đã biên dịch và ngữ cảnh hạn chế, mô phỏng điều kiện thực tế của kẻ tấn công.
Mặc dù có những giới hạn này, Mythos đã thể hiện một bước nhảy vọt về khả năng so với các mô hình trước đây, vốn tạo ra ít exploit hoạt động hơn nhiều.
Nghiên cứu còn mở rộng sang các lỗ hổng kernel của Microsoft Windows, những lỗ hổng mà mã nguồn không có sẵn công khai. Trong kịch bản phức tạp hơn này, Mythos Preview đã phát triển PoC cho 18 trong số 21 lỗ hổng. Nó đã xây dựng thành công 8 chuỗi exploit leo thang đặc quyền (privilege-escalation exploit chains) hoàn chỉnh, cho phép kẻ tấn công di chuyển từ quyền truy cập cấp thấp lên toàn bộ quyền SYSTEM.
Ngay cả những lỗ hổng được Microsoft đánh giá là “Khó khai thác” (Exploitation Unlikely) cũng đã bị mô hình khai thác thành công, cho thấy sự không phù hợp ngày càng tăng giữa đánh giá rủi ro truyền thống và khả năng do AI thúc đẩy. Điều này cho thấy tấn công mạng có thể trở nên tinh vi và nhanh chóng hơn.
Tác động đến Window Patch Gap
Một mối quan tâm chính là sự thu hẹp của “khoảng trống vá lỗi” (patch gap), khoảng thời gian giữa thời điểm công bố lỗ hổng và việc triển khai bản vá rộng rãi. Trong khi các hệ thống hiện đại như Windows Autopatch có thể mất tới 11 ngày để thực thi cập nhật hoàn toàn, Mythos có thể tạo ra các exploit hoạt động trước khi bản vá được áp dụng rộng rãi.
Sự thay đổi này có nghĩa là kẻ tấn công không còn cần kỹ năng đảo ngược kỹ thuật nâng cao hoặc thời gian kéo dài. Với quyền truy cập vào các mô hình AI có khả năng và nguồn lực khiêm tốn, một người vận hành duy nhất có thể vũ khí hóa nhiều lỗ hổng chỉ trong vài giờ.
Đối tượng chịu ảnh hưởng nặng nề
Hàm ý của hiện tượng này đặc biệt nghiêm trọng đối với các môi trường có chu kỳ vá lỗi chậm, chẳng hạn như hệ thống điều khiển công nghiệp (ICS), thiết bị y tế và cơ sở hạ tầng IoT. Các hệ thống này thường dựa vào lịch trình cập nhật cố định hoặc firmware do nhà cung cấp kiểm soát, khiến chúng đặc biệt dễ bị khai thác nhanh chóng.
Đội ngũ red.anthropic cảnh báo rằng các chu kỳ vá lỗi hàng tháng và việc triển khai theo giai đoạn không còn theo kịp các lỗ hổng bị vũ khí hóa nhanh chóng. Các tổ chức cần tăng tốc độ triển khai bản vá và áp dụng các biện pháp phòng thủ bổ sung.
Việc áp dụng các ngôn ngữ lập trình an toàn bộ nhớ như Rust và các công nghệ giảm thiểu khai thác như Control Flow Guard là cần thiết để đối phó với lỗ hổng bảo mật ngày càng gia tăng.
Sự xuất hiện của việc phát triển exploit do AI điều khiển đánh dấu một sự thay đổi cơ bản trong bối cảnh mối đe dọa. Khi các công cụ như Claude Mythos tiếp tục phát triển, khái niệm về lỗ hổng “N-day” có thể sớm trở nên lỗi thời, được thay thế bằng một thực tế mới, nơi việc khai thác xảy ra trong vòng vài giờ sau khi công bố.
Để bảo vệ hệ thống, việc cập nhật bản vá kịp thời và triển khai các giải pháp an ninh mạng toàn diện là cực kỳ quan trọng.
Bạn có thể tìm hiểu thêm về các lỗ hổng N-day và cách chúng bị khai thác tại CISA.
