An ninh mạng

Cảnh báo: AI Agent Skill giả mạo vượt qua mọi lớp quét bảo mật, lây nhiễm 26.000 thiết bị

Một thử nghiệm từ công ty bảo mật AIR cho thấy các AI agent skill có thể dễ dàng qua mặt các công cụ quét bảo mật bằng cách sử dụng các liên kết bên ngoài thay đổi nội dung sau khi được phê...

Nguyen Hung
24 Tháng 6, 2026 3 Min Read
1 0

Công ty bảo mật AIR vừa thực hiện một thử nghiệm gây sốc khi tạo ra một AI agent skill giả mạo, phát tán thông qua các chợ ứng dụng phổ biến và quảng cáo trên Instagram. Kết quả cho thấy công cụ này đã tiếp cận được khoảng 26.000 agent, bao gồm cả các tài khoản doanh nghiệp, mà không bị bất kỳ hệ thống quét bảo mật nào phát hiện.

Table Of Content

Phương thức tấn công tinh vi

Được đặt tên là “brand-landingpage”, skill này được quảng cáo với tính năng hỗ trợ người dùng không chuyên tạo trang đích (landing page). Để tạo lòng tin, AIR đã sử dụng hai tín hiệu uy tín: số lượng sao trên GitHub và kết quả quét sạch từ các công cụ bảo mật. Bằng cách gửi pull request vào một kho lưu trữ uy tín, skill này đã “thừa hưởng” được độ tin cậy từ cộng đồng.

Điểm mấu chốt nằm ở cách các công cụ quét vận hành. Các trình quét hiện nay thường chỉ kiểm tra các tệp tin được đóng gói sẵn (SKILL.md và các tệp đi kèm). Skill của AIR không chứa mã độc trực tiếp mà chỉ chứa một liên kết đến “Stitch SDK” trên một tên miền do AIR kiểm soát. Ban đầu, liên kết này trỏ đến tài liệu chính thống nên các trình quét đã bỏ qua. Sau khi được cài đặt rộng rãi, AIR mới thay đổi nội dung trang web đó để thực thi script độc hại.

Lỗ hổng cấu trúc trong bảo mật AI

Vấn đề nằm ở chỗ các trình quét chỉ kiểm tra một lần tại thời điểm cài đặt, trong khi nội dung mà skill trỏ đến có thể bị thay đổi bất cứ lúc nào. Điều này tạo ra một “điểm mù” lớn khi các AI agent thực thi các lệnh từ bên ngoài với quyền hạn của người dùng.

Các nghiên cứu trước đó từ Trail of Bits cũng đã chỉ ra thực trạng tương tự: kẻ tấn công có thể liên tục tinh chỉnh payload cho đến khi vượt qua được các bộ lọc. Đây là một lỗ hổng cấu trúc khi hệ thống bảo mật hiện tại vẫn coi các skill là văn bản thay vì xem chúng là phần mềm thực thụ.

Khuyến nghị cho doanh nghiệp

Để đối phó với rủi ro này, các chuyên gia bảo mật đưa ra những lời khuyên sau:

  • Coi skill là phần mềm: Cần kiểm duyệt kỹ lưỡng các liên kết bên ngoài mà skill trỏ đến, không chỉ kiểm tra nội dung bên trong gói cài đặt.
  • Kiểm soát tập trung: Doanh nghiệp nên thiết lập một nguồn cung cấp skill nội bộ đã được kiểm duyệt thay vì cho phép cài đặt tự do.
  • Nguyên tắc đặc quyền tối thiểu: Giới hạn quyền truy cập của các AI agent và giả định rằng bất kỳ lệnh bên ngoài nào cũng có thể gây hại.
  • Ghim phiên bản: Sử dụng các phiên bản cố định để tránh việc nội dung bị thay đổi ngoài ý muốn sau khi đã kiểm duyệt.

Mặc dù con số 26.000 agent do AIR công bố cần được xem xét thận trọng do mục đích thương mại của công ty, nhưng phương pháp tấn công mà họ chứng minh là hoàn toàn có thực và đang là một lỗ hổng nghiêm trọng mà các tổ chức cần sớm khắc phục.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept