Lỗ hổng nguy hiểm: AI agents gây xâm nhập hệ thống doanh nghiệp

Lỗ hổng nguy hiểm: AI agents gây xâm nhập hệ thống doanh nghiệp

Nghiên cứu mới từ Tego AI đã phát hiện ra một lỗ hổng bảo mật tiềm ẩn trong Claude Tag, tính năng tích hợp gốc của Anthropic với Slack. Lỗ hổng này cho phép các nội dung không mong muốn trên Slack kích hoạt Claude Tag và dẫn đến các hành động trái phép trên hệ thống doanh nghiệp. Nghiên cứu tập trung vào các mối đe dọa mạng phát sinh từ việc AI agents xử lý dữ liệu không tin cậy.

Lỗ hổng trong Claude Tag và Slack

Các nhà nghiên cứu đã quan sát thấy Claude Tag phản hồi với các tin nhắn chỉ chứa văn bản theo nghĩa đen là “@Claude”, mà không cần một lượt nhắc (mention) chính thức trên Slack. Điều này có nghĩa là nội dung được gửi qua các bot, webhook, nguồn cấp dữ liệu tự động hoặc các nguồn bên ngoài khác có thể bị hiểu nhầm là chỉ dẫn cho AI.

Khai thác hành vi không mong muốn

Để minh họa, nhóm nghiên cứu đã tạo ra một kịch bản khai thác trên một tài nguyên nội bộ được kết nối. Tin nhắn do bot tạo ra đã hướng dẫn Claude Tag truy xuất thông tin nội bộ, đăng tải nó lên Slack, và sau đó xóa tài nguyên gốc thông qua kết nối đã được cấu hình của tổ chức. Đoạn video dưới đây cho thấy hành vi quan sát được và tác động tiềm ẩn của nó đối với các hệ thống tổ chức được kết nối.

https://www.youtube.com/embed/WLraBvCQxM8

Câu hỏi về thẩm quyền ra lệnh cho AI

“Nghiên cứu của chúng tôi đặt ra một câu hỏi cơ bản cho mọi tổ chức triển khai AI agents trong môi trường doanh nghiệp: ai thực sự được phép ra lệnh cho agent?” Ông Tal Melamed, Giám đốc Công nghệ (CTO) và Đồng sáng lập của Tego AI, cho biết. “Các tổ chức cần có các biện pháp kiểm soát để xác thực nguồn gốc và mục đích của các hành động nhạy cảm trước khi agent được phép thực hiện chúng.”

Rủi ro bảo mật rộng hơn

Nghiên cứu cũng chỉ ra những lo ngại rộng lớn hơn liên quan đến nội dung tự động không đáng tin cậy trở thành kênh chỉ dẫn gián tiếp. Các ứng dụng được kết nối và máy chủ quản lý trung tâm (MCP) làm tăng phạm vi tác động tiềm ẩn. Bên cạnh đó, quyền truy cập của quản trị viên vào thông tin kênh đã lưu trữ bên ngoài mô hình thành viên gốc của Slack và khả năng hiển thị hạn chế thông qua các giao diện lịch sử, tuân thủ và kiểm toán hiện có là những điểm cần lưu ý.

Kiểm soát an toàn cho hành động nhạy cảm

“Một bộ phân loại an toàn có thể là một biện pháp phòng thủ quan trọng, nhưng nó không nên là ranh giới ủy quyền cuối cùng cho các hành động của doanh nghiệp,” ông Melamed nói thêm. “Các hoạt động nhạy cảm đòi hỏi các biện pháp kiểm soát xác định, vẫn hiệu quả ngay cả khi mô hình hiểu sai yêu cầu, tin tưởng nhầm danh tính hoặc đưa ra quyết định không chính xác.”

Khuyến nghị bảo mật từ Tego AI

Tego AI khuyến nghị áp dụng các quyền hạn theo nguyên tắc đặc quyền tối thiểu (least-privilege permissions) cho các kết nối Claude Tag, ưu tiên quyền chỉ đọc (read-only access). Ngoài ra, nên tránh các kênh tiếp nhận nội dung bên ngoài không đáng tin cậy, hạn chế quyền truy cập của quản trị viên, giữ lại các bản ghi Slack có liên quan và giới thiệu cơ chế ủy quyền thực thi độc lập cho các hành động nhạy cảm.

Phản hồi từ Anthropic

Tego AI đã báo cáo những phát hiện này một cách có trách nhiệm cho Anthropic. Anthropic xem xét báo cáo này là mang tính thông tin và cho rằng văn bản “@Claude” theo nghĩa đen hoặc tin nhắn do bot tạo ra không khởi tạo các phiên Claude Tag theo cấu hình mặc định của sản phẩm. Để tìm hiểu chi tiết hơn về phát hiện này, có thể tham khảo báo cáo kỹ thuật đầy đủ của Tego AI tại đây.

Tego AI là một công ty khởi nghiệp về an ninh mạng chuyên phát triển công nghệ bảo mật và kiểm soát thời gian thực cho các AI agent trong doanh nghiệp. Nền tảng của họ giúp các tổ chức giám sát hoạt động của agent và ngăn chặn các hành động trái phép hoặc rủi ro trước khi agent truy cập dữ liệu nhạy cảm hoặc các hệ thống được kết nối. Đây là bản công bố bảo mật công khai thứ hai của công ty.

Các khuyến nghị về bảo mật này rất quan trọng để tăng cường an ninh mạng cho các tổ chức sử dụng AI tích hợp trong quy trình làm việc của họ, giúp giảm thiểu nguy cơ hệ thống bị xâm nhập và đảm bảo an toàn dữ liệu.