Đừng để hạ tầng cũ trở thành ‘cửa sau’ cho tin tặc tấn công AI Agents

Trong khi các tổ chức đang chạy đua triển khai AI, một điểm mù bảo mật nghiêm trọng đang dần lộ diện: cách tin tặc lợi dụng hạ tầng cũ (legacy infrastructure) để chiếm quyền điều khiển các AI agents. Theo thống kê, khoảng 71% doanh nghiệp đang thử nghiệm AI agents và 31% đã đưa chúng vào quy trình vận hành thực tế.

Khi AI kế thừa ‘nợ bảo mật’

Nhiều đội ngũ an ninh đang tập trung vào các rủi ro đặc thù của AI như model poisoning, prompt injection hay rò rỉ dữ liệu. Tuy nhiên, họ lại bỏ quên những gì nằm bên dưới lớp AI. Các AI agents không hoạt động độc lập; chúng sử dụng các identity provider hiện có, lưu trữ dữ liệu trên cloud bucket, thực thi tác vụ qua các Lambda functions và kế thừa quyền hạn từ các IAM roles sẵn có. Nếu hạ tầng này tồn tại các lỗ hổng như server chưa được patch, cấu hình sai Active Directory (AD) hay các credential bị lưu trữ trái phép, tin tặc sẽ có con đường trực tiếp để tiếp cận mọi tài nguyên mà AI phụ thuộc vào.

Đáng lo ngại hơn, nhiều tổ chức đang vô tình làm trầm trọng thêm vấn đề bằng cách cấp quyền cho hệ thống AI vượt quá mức cần thiết (over-privileged). Các nghiên cứu chỉ ra rằng những hệ thống AI có quyền hạn quá mức có tỷ lệ gặp sự cố cao hơn gấp nhiều lần so với những hệ thống áp dụng nguyên tắc đặc quyền tối thiểu (least privilege).

Kịch bản tấn công: Từ CVE cũ đến chiếm quyền AI

Tin tặc không cần tấn công trực diện vào AI. Thay vào đó, chúng khai thác chuỗi các lỗ hổng nhỏ để đạt được mục đích:

• Giai đoạn 1: Một S3 bucket chứa dữ liệu nhạy cảm bị cấu hình sai, cho phép người dùng không liên quan (như lập trình viên) truy cập.
• Giai đoạn 2: Một server chạy Apache Tomcat trên vành đai mạng chưa được patch lỗ hổng CVE-2025-24813 (Remote Code Execution). Tin tặc khai thác lỗ hổng này để chiếm quyền truy cập vào tài khoản AD.
• Giai đoạn 3: Sử dụng cấu hình sai trong AD để di chuyển ngang (lateral movement), chiếm quyền máy trạm của lập trình viên và đánh cắp các AWS access keys được lưu trữ tại đây.

Kết quả là tin tặc có thể đọc toàn bộ dữ liệu trong S3 bucket—nguồn dữ liệu đầu vào cho AI agent. Lúc này, kẻ tấn công hoàn toàn kiểm soát những gì AI đọc, tin tưởng và phản hồi cho người dùng, dù chúng chưa từng chạm vào lớp AI.

Giải pháp cho đội ngũ an ninh

Để ngăn chặn các kịch bản này, các tổ chức cần thay đổi cách tiếp cận quản lý rủi ro:

• Coi các thành phần phụ thuộc của AI là tài sản quan trọng: Phải đưa các knowledge base, storage bucket, và Lambda functions vào danh mục cần bảo vệ đặc biệt.
• Ánh xạ đường tấn công (Attack Path Mapping): Xác định các mối quan hệ về định danh, quyền hạn và hạ tầng kết nối với AI. Tìm ra các “điểm nghẽn” (choke points) nơi một bản vá hoặc thay đổi cấu hình có thể chặn đứng nhiều con đường tấn công cùng lúc.
• Vượt ra ngoài các công cụ đơn lẻ: Các công cụ như EASM, CSPM hay AD security thường chỉ báo cáo các lỗ hổng riêng lẻ. Cần một nền tảng có khả năng kết nối các dữ liệu này để thấy được bức tranh toàn cảnh về đường tấn công từ hạ tầng cũ đến AI.

Tóm lại, câu hỏi dành cho các nhà lãnh đạo an ninh không phải là liệu lớp AI đã được bảo vệ hay chưa, mà là liệu hạ tầng nền tảng có đang vô tình mở đường cho tin tặc chiếm quyền điều khiển các tài sản AI quý giá của doanh nghiệp hay không.

Nguồn tham khảo: The Hacker News