Tội phạm mạng vừa hé lộ một biến thể mới của kỹ thuật tấn công mạng ClickFix, sử dụng các công cụ tóm tắt dựa trên AI để lén lút phân phối hướng dẫn mã độc tống tiền. Kỹ thuật này lợi dụng phương pháp tiêm lệnh ẩn và chiến lược “quá liều lệnh” để nhúng các chỉ thị độc hại vào các phần tử HTML, sau đó được các công cụ tóm tắt AI tái tạo nguyên vẹn.
Cách thức Hoạt Động của Kỹ thuật Tấn Công Mạng ClickFix Mới
Cơ chế này khai thác niềm tin của người dùng vào các công cụ AI được cho là đáng tin cậy. Thay vì yêu cầu nạn nhân nhấp vào liên kết đáng ngờ, các hướng dẫn độc hại xuất hiện trực tiếp từ bản tóm tắt của AI.
Giấu Payload qua CSS và HTML
Trọng tâm của cuộc tấn công mạng này là việc che giấu các payload thông qua các thủ thuật CSS và HTML. Các kỹ thuật này bao gồm sử dụng ký tự có độ rộng bằng không (zero-width characters), văn bản trắng trên nền trắng (white-on-white text), cỡ chữ cực nhỏ, và định vị ngoài màn hình.
Những thủ thuật này làm cho các nội dung độc hại trở nên vô hình đối với mắt người. Tuy nhiên, chúng hoàn toàn có thể đọc được đối với các mô hình ngôn ngữ lớn (LLMs).
Chiến lược “Prompt Overdose”
Các lệnh độc hại được nhúng ẩn này được lặp lại hàng chục lần trong các vùng chứa vô hình. Điều này tạo ra một lượng lớn dữ liệu hướng dẫn độc hại, làm quá tải cửa sổ ngữ cảnh của mô hình AI.
Hậu quả là, bản tóm tắt được tạo ra bị lái theo hướng các chỉ thị của kẻ tấn công thay vì nội dung hợp pháp. Ngay cả khi có nội dung lành tính, khối lượng lớn các lệnh ẩn vẫn chiếm ưu thế trong bản tóm tắt.
Việc tinh chỉnh cách diễn đạt lệnh và cấu trúc vùng chứa còn làm tăng khả năng tạo ra các kết quả chỉ chứa các hướng dẫn độc hại rõ ràng.
Minh họa Thực tế và Khai thác
Trong các bản trình diễn POC (Proof-of-Concept), các công cụ tóm tắt AI đã được điều khiển để xuất ra các lệnh PowerShell được mã hóa Base64 thông qua hộp thoại Windows Run. Điều này cho thấy khả năng thực thi mã từ các bản tóm tắt tưởng chừng vô hại.
Kỹ thuật tấn công mạng này biến các công cụ tóm tắt AI từ những trợ lý thụ động thành các kênh phân phối chủ động cho các mồi nhử mã độc. Nó khai thác lòng tin mà người dùng đặt vào “AI đáng tin cậy”, từ đó tăng tỷ lệ thành công của các chiến dịch mã độc ransomware.
Tác Động và Rủi Ro của Kỹ thuật Tấn Công Mạng Này
Kỹ thuật mới này có những tác động sâu sắc đến an ninh mạng. Các ứng dụng email, đoạn trích tìm kiếm (search snippets) và tiện ích mở rộng trình duyệt được hàng triệu người sử dụng có thể trở thành các vectơ phân phối hàng loạt cho các payload ẩn.
Các Kênh Phân Phối Tiềm Năng
- Bài đăng blog và diễn đàn: Các bài đăng blog được tối ưu hóa SEO hoặc các chuỗi diễn đàn được tổng hợp có thể trở thành các nguồn chứa nội dung độc hại lâu dài. Chúng sẽ được các trình tổng hợp lập chỉ mục và tái xuất hiện trên nhiều nền tảng.
- AI Copilots Doanh nghiệp: Các doanh nghiệp dựa vào các AI copilot nội bộ và hệ thống phân loại tài liệu cũng đối mặt với rủi ro. Các bản tóm tắt nội bộ có thể vô tình trở thành kênh dẫn cho các hướng dẫn tấn công.
Các nhà nghiên cứu đã chỉ ra rằng, bằng cách lợi dụng kỹ thuật tiêm lệnh ẩn (invisible prompt injection) và chiến lược “quá liều lệnh” (prompt overdose), kẻ tấn công nhúng các chỉ thị độc hại vào các phần tử HTML ẩn mà các công cụ tóm tắt AI trong ứng dụng email, tiện ích mở rộng trình duyệt và nền tảng năng suất vẫn tái tạo nguyên vẹn trong kết quả của chúng. Chi tiết kỹ thuật về phương pháp này đã được CloudSEK phân tích trong báo cáo của họ.
Biện Pháp Phòng Chống và Giảm Thiểu Rủi Ro
Để đối phó với mối đe dọa này, các đội ngũ bảo mật và nhà phát triển AI cần triển khai các biện pháp làm sạch và phát hiện mạnh mẽ.
Lọc và Chuẩn hóa Phía Client
- Các bộ lọc phía client nên loại bỏ hoặc chuẩn hóa các thuộc tính CSS liên quan đến khả năng hiển thị. Ví dụ, gắn cờ các nội dung có thuộc tính như
opacity: 0,font-size: 0, hoặc các ký tự có độ rộng bằng không. - Các lớp trung hòa prompt có thể phát hiện các meta-instructions và sự lặp lại quá mức. Đây là những đặc điểm điển hình của các cuộc tấn công “quá liều lệnh”.
Phát hiện và Phân tích Mẫu
Các công cụ nhận dạng mẫu cần giải mã và phân tích các chuỗi dòng lệnh bị làm rối. Mục tiêu là tìm kiếm các mẫu triển khai mã độc ransomware đã biết. Điều này giúp ngăn chặn các cuộc tấn công trước khi chúng gây hại.
Cân bằng Token và Bảo vệ Trải nghiệm Người dùng
Việc cân bằng token ở cấp độ trong quá trình tóm tắt có thể làm giảm trọng số của nội dung lặp lại. Điều này giúp bảo toàn tính toàn vẹn của tài liệu gốc.
Các biện pháp bảo vệ trải nghiệm người dùng, như chỉ báo nguồn gốc nội dung (content-origin indicators) phân biệt văn bản hiển thị và văn bản ẩn, sẽ cảnh báo người nhận về khả năng bị thao túng. Đây là một bước quan trọng để tăng cường nhận thức về tấn công mạng.
Chính sách AI Doanh nghiệp
Việc thực thi chính sách AI cấp doanh nghiệp cần được tích hợp vào các cổng email bảo mật (secure email gateways) và hệ thống quản lý nội dung. Điều này nhằm chặn hoặc cách ly các tài liệu đáng ngờ trước khi chúng đến các công cụ tóm tắt. Đây là một yếu tố quan trọng trong việc bảo vệ hệ thống khỏi các mối đe dọa tấn công mạng mới.
Thách Thức và Hướng Nghiên Cứu Tương Lai
Khi kẻ tấn công tinh chỉnh các kỹ thuật tiêm lệnh ẩn và quá liều, các nhà phòng thủ phải thích nghi nhanh chóng. Việc công khai các phương pháp này có thể thúc đẩy một cuộc chạy đua vũ trang giữa các đối thủ và nhà cung cấp bảo mật.
Nghiên cứu trong tương lai nên tập trung vào đánh giá đa nền tảng, kỹ thuật phòng thủ prompt, và phát triển các tiêu chuẩn đánh giá tóm tắt đối kháng (adversarial summarization benchmarks). Những nỗ lực này sẽ củng cố khả năng phục hồi của các quy trình làm việc dựa trên AI trước các hình thức tấn công mạng tinh vi.
