Rủi ro bảo mật trong các hệ sinh thái AI đang gia tăng khi chiến dịch phân phối mã độc lợi dụng hai nền tảng phổ biến là Hugging Face và ClawHub để phát tán trojan, cryptominer và infostealer ngụy trang thành công cụ AI hợp lệ. Đây là một dạng tấn công chuỗi cung ứng chuyển trọng tâm từ kho phần mềm truyền thống sang các môi trường AI được tin cậy.
Chiến dịch phân phối mã độc qua hệ sinh thái AI
Trong hệ sinh thái OpenClaw được phân phối qua ClawHub, Acronis TRU ghi nhận 575 skill độc hại được công bố bởi 13 tài khoản nhà phát triển. Hai tài khoản nổi bật nhất là “hightower6eu” với 334 skill độc hại, chiếm 58%, và “sakaen736jih” với 199 skill, chiếm 34,6%.
Các skill trojan hóa này giả mạo thành các tiện ích hữu ích như trình tóm tắt transcript YouTube, nhưng bên trong chứa hướng dẫn tải về tệp nén có mật khẩu hoặc thực thi lệnh đã được mã hóa. Cách triển khai này làm tăng nguy cơ bảo mật vì nội dung độc hại xuất hiện như một phần hợp lệ của workflow AI.
Liên kết ngoài tham chiếu
Tham khảo thêm phân tích kỹ thuật tại Acronis TRU và nền tảng NVD để đối chiếu các chỉ số lỗ hổng và thực hành đánh giá cảnh báo CVE khi áp dụng trong môi trường AI.
Kỹ thuật tấn công và chuỗi lây nhiễm
Trên ClawHub, một kỹ thuật then chốt là indirect prompt injection. Kẻ tấn công nhúng chỉ dẫn ẩn vào file skill, sau đó tác nhân AI đọc và thực thi thay mặt người dùng. Do OpenClaw agent được thiết kế để hoạt động tự động dựa trên các chỉ dẫn trong skill definition, chúng có thể bị biến thành trung gian vô tình, làm mở rộng tác động của tấn công mạng vượt xa nạn nhân ban đầu.
Đây là đặc điểm đáng chú ý của mối đe dọa mạng trong bối cảnh AI agent: nội dung không nhất thiết phải khai thác CVE truyền thống, nhưng vẫn có thể dẫn đến thực thi lệnh trái phép, tải payload từ xa và duy trì hiện diện lâu dài trong hệ thống.
Hugging Face và chuỗi tấn công nhiều giai đoạn
Trên Hugging Face, nơi lưu trữ hơn 1 triệu mô hình machine learning, các repository bị lạm dụng như điểm trung chuyển cho chuỗi lây nhiễm nhiều giai đoạn, với payload trên Windows, Linux và Android. Hai chiến dịch được theo dõi cho thấy cách tấn công chuỗi cung ứng bị đẩy vào các thành phần AI được người dùng tin tưởng.
Chiến dịch ITHKRPAW
Chiến dịch ITHKRPAW nhắm vào các tổ chức thuộc lĩnh vực tài chính tại Việt Nam trong tháng 1, sử dụng một tệp LNK độc hại để gọi tới Cloudflare Workers. Thành phần này phân phối một PowerShell dropper, sau đó lấy payload từ một Hugging Face dataset repository, đồng thời mở một ảnh mèo mồi nhử để che giấu hoạt động.
Nhà nghiên cứu đánh giá với mức tin cậy trung bình rằng script PowerShell có thể được tạo bởi LLM, dựa trên các chú thích tiếng Việt nhúng bên trong mã. Đây là dấu hiệu cho thấy rủi ro bảo mật không chỉ nằm ở payload mà còn ở cách nội dung được sinh và đóng gói.
Chiến dịch FAKESECURITY
Chiến dịch FAKESECURITY sử dụng batch script CDC1.bat chứa một PowerShell blob đã mã hóa để tải về một batch script thứ cấp được làm rối mạnh từ Hugging Face repository. Sau khi loại bỏ Mark-of-the-Web để vượt qua Windows SmartScreen, mã độc tiêm shellcode vào explorer.exe và thả một file giả mạo Windows Security.
Cách triển khai này cho thấy hệ thống bị xâm nhập qua chuỗi tải xuống nhiều lớp, kết hợp né tránh kiểm tra an toàn mặc định của Windows và ngụy trang tiến trình hợp pháp để duy trì hoạt động.
Hành vi trên Windows và macOS
Với máy đích Windows, payload được phát hiện là trojan được đóng gói bằng VMProtect. Một payload khác dùng 30-byte XOR key để giải mã chuỗi tại thời gian chạy, phân giải động các NT API, rồi thực hiện process injection trong bộ nhớ vào explorer.exe.
Đoạn mã được chèn thiết lập kênh liên lạc AES-encrypted C2 qua HTTPS tới hxxps://velvet-parrot[.]com:443, tải cryptominer giả dạng svchost.exe, và duy trì tồn tại bằng scheduled tasks cùng các đường dẫn loại trừ của Windows Defender.
Payload trên macOS
Trên macOS, một lệnh được mã hóa base64 kết nối tới IP ngoài 91.92.242[.]30 và âm thầm tải rồi thực thi AMOS Stealer, một infostealer nhắm vào macOS và thường được bán dưới dạng malware-as-a-service. Trong bối cảnh tin bảo mật mới nhất, đây là ví dụ rõ ràng về việc tải payload đa nền tảng qua cùng một chiến dịch.
IOC cần theo dõi
Các chỉ số xâm nhập dưới đây có thể được dùng để phát hiện phát hiện xâm nhập và đối chiếu trong hệ thống giám sát:
- 91.92.242[.]30
- velvet-parrot[.]com
- explorer.exe bị tiêm mã hoặc bị thao túng bất thường
- svchost.exe giả mạo dưới vai trò cryptominer
- CDC1.bat
- Tệp LNK dùng để khởi chạy chuỗi tải xuống
Biện pháp kiểm tra và giảm thiểu
Các tổ chức và nhà phát triển cần xem mô hình AI, dataset và agent extension là đầu vào không đáng tin cậy, áp dụng quy trình xác thực tương tự như với mã của bên thứ ba. Điều này đặc biệt quan trọng trong an toàn thông tin khi AI agent có quyền thực thi lệnh hoặc truy cập tài nguyên nội bộ.
Các bước cụ thể bao gồm rà soát skill OpenClaw đã cài đặt để tìm lệnh mã hóa hoặc chỉ dẫn tải xuống bên ngoài, giám sát các dấu hiệu process injection bất thường vào explorer.exe, chặn các IOC đã biết, và hạn chế thay đổi đường dẫn loại trừ của Windows Defender thông qua Group Policy.
Mẫu kiểm tra CLI và dấu hiệu giám sát
# Rà soát các đường dẫn loại trừ của Windows Defender
Get-MpPreference | Select-Object -ExpandProperty ExclusionPath
# Kiểm tra tác vụ theo lịch đáng ngờ
Get-ScheduledTask | Where-Object {$_.TaskName -match '.*'}
# Tìm tiến trình explorer.exe bất thường
Get-Process explorer | Select-Object Id,Path,StartTime
# Kiểm tra kết nối tới IOC
netstat -ano | findstr ":443"
Trong bối cảnh cập nhật bản vá và bảo mật mạng, việc giám sát hành vi tải xuống, thực thi mã động và injection vào tiến trình hợp pháp là trọng tâm để giảm rủi ro an toàn thông tin. Khi các hệ sinh thái AI tiếp tục mở rộng, các dấu hiệu như payload từ repository công khai, script bị làm rối và chỉ dẫn nhúng trong skill files cần được xem là tín hiệu cảnh báo sớm của mối đe dọa đang hoạt động.
