Cuộc tấn công ransomware do AI thực hiện vẫn cần "bàn tay con người"
Sysdig phát hiện vụ tấn công ransomware JadePuffer hoàn toàn do AI agent thực thi kỹ thuật, nhưng một con người vẫn đóng vai trò quan trọng trong việc lên kế hoạch, chuẩn bị hạ tầng và cung cấp thông tin đăng nhập.
Máy thông minh bị "kéo vào tội ác"
Tuần trước, công ty bảo mật đám mây Sysdig công bố phát hiện vụ tấn công ransomware đầu tiên do một AI agent tự động thực thi hoàn toàn mà không cần giám sát trực tiếp của con người. Cuộc tấn công, được đặt tên JadePuffer, là một chiến dịch tống tiền trong đó AI agent xử lý mọi khâu kỹ thuật từ xâm nhập hệ thống, di chuyển qua mạng nội bộ, mã hóa dữ liệu đến viết ghi chú yêu cầu chuộc. Công bố ban đầu khiến nhiều người hiểu rằng đây là cuộc tấn công "toàn AI, không con người", nhưng sau đó Michael Clark – giám đốc cấp cao về nghiên cứu đe dọa tại Sysdig – phải làm rõ: con người vẫn có mặt, chỉ là không trực tiếp thao tác kỹ thuật.
Con người vẫn "ngồi sau bàn phím"
Theo Clark trong cuộc phỏng vấn với CyberScoop, công đoạn lên kế hoạch và hạ tầng hoàn toàn do con người xử lý. Attacker phải tự tay thiết lập máy chủ command-and-control, máy chủ staging để lưu dữ liệu bị đánh cắp, chọn nạn nhân, và quan trọng nhất – cung cấp thông tin đăng nhập cơ sở dữ liệu cho AI agent thay vì để agent tự "hack" để lấy. Những chi tiết này không mâu thuẫn với tuyên bố ban đầu của Sysdig, nhưng cho thấy bức tranh đầy đủ hơn về sự phối hợp giữa con người và máy.
Phần kỹ thuật mà AI agent tự thực thi thì thực sự ấn tượng. Agent xâm nhập qua lỗ hổng đã biết trong Langflow – một công cụ open-source phổ biến để xây dựng ứng dụng LLM – rồi chuyển sang máy chủ MySQL trong production. Nó khai thác thêm một lỗ hổng khác để giành quyền admin, mã hóa hơn 1.300 bản ghi cấu hình, và viết ra bức thư mức chuộc hoàn toàn do chính nó sáng tác, kèm địa chỉ Bitcoin để nạn nhân gửi tiền. Điều đáng chú ý: agent sửa lỗi đăng nhập thất bại trong 31 giây, đồng thời tự ghi chú bằng natural-language code comment để giải thích lý do của từng hành động – giống hệt cách một hacker con người suy nghĩ.
Một chi tiết ban đầu gây nhầm lẫn là Sysdig tìm thấy các khóa API cho OpenAI, Anthropic, DeepSeek, và Gemini trong quá trình tấn công. Điều này khiến nhiều người tự hỏi liệu nhiều mô hình AI khác nhau có cùng điều hành các giai đoạn khác nhau của vụ tấn công. Tuy nhiên, Clark làm rõ rằng những khóa này chỉ là "chiến lợi phẩm" – những gì agent tìm thấy và cơm cắp từ máy chủ bị xâm nhập, không phải bằng chứng chúng được sử dụng để chạy agent. Agent "quét" máy chủ Langflow tìm mọi thứ có giá trị: khóa API, thông tin đăng nhập đám mây, ví tiền điện tử, cấu hình cơ sở dữ liệu – và những khóa nhà cung cấp là một phần trong đó. Chúng chỉ phản ánh những gì attacker xem là "đáng cắp", không chứng tỏ được mô hình nào đang ra quyết định.
Mô hình bí ẩn, tương lai đáng lo
Sysdig thừa nhận rằng họ không thể xác định mô hình AI cụ thể nào chạy JadePuffer, cũng như không có cách nào nhìn thấy system prompt hoặc cấu hình của nó. Geoff McDonald, nhà nghiên cứu từ Microsoft, đã đưa ra lý thuyết trên LinkedIn rằng đó có thể là một mô hình open-weight (công khai trọng số) với các lớp safety bị gỡ bỏ, hơn là một mô hình frontier từ các lab lớn. McDonald dựa trên kinh nghiệm red-teaming của mình, cho thấy các lớp bảo vệ an toàn từ các phòng lab lớn vẫn giữ vững tốt. Tuy nhiên, tuyên bố của Sysdig không xác nhận hay bác bỏ giả thuyết này.
McDonald cũng cảnh báo rằng các chiến dịch ransomware giờ đây bị giới hạn chủ yếu bởi ngân sách của attacker chứ không phải effort con người – tức là có khả năng sẽ xuất hiện hàng ngàn hay hàng chục ngàn chiến dịch ransomware đồng thời. Cảnh báo này lúc đầu có vẻ quá bi quan, nhưng nếu xét theo mô tả của Clark, con người vẫn phải chọn từng nạn nhân, chuẩn bị hạ tầng cho từng cuộc tấn công, và lấy thông tin đăng nhập riêng cho từng target – các bước này vẫn là nút cổ chai đáng kể.
Cảnh báo không còn xa
Clark nói với CyberScoop rằng mặc dù Sysdig chưa ghi nhận JadePuffer tấn công nạn nhân khác, nhưng dự báo điều đó sẽ thay đổi vì chạy một agent tấn công rất rẻ. Một khi attacker biết công thức hoạt động, sự lặp lại chỉ là vấn đề thời gian. Vụ JadePuffer cho thấy ranh giới giữa công cụ AI và vũ khí mạng ngày càng mờ nhạt. Với Việt Nam, nơi nhiều doanh nghiệp vẫn còn chậm chạp trong việc vá các lỗ hổng đã biết như Langflow hay MySQL, thì sự cảnh báo sớm từ các tổ chức như Sysdig là vô cùng quý giá. Các tổ chức cần sẵn sàng không chỉ phòng chống lạm dụng AI mà còn gia cố cơ sở hạ tầng và quy trình bảo mật để có thể kịp thời phát hiện và đối phó trước khi AI được để "tự do" tấn công.