Cảnh báo: AI Agent thực hiện tấn công Ransomware tự động đầu tiên thông qua lỗ hổng Langflow
Các chuyên gia bảo mật tại Sysdig vừa phát hiện chiến dịch tấn công mang tên JADEPUFFER, trong đó một AI agent đã tự động hóa toàn bộ quy trình từ khai thác lỗ hổng, leo thang đặc quyền đến mã hóa dữ...
Công ty bảo mật Sysdig vừa công bố phát hiện về một chiến dịch tấn công ransomware mà họ tin là trường hợp đầu tiên được thực hiện hoàn toàn bởi một AI agent từ đầu đến cuối. Nhóm nghiên cứu đe dọa của Sysdig đặt tên cho tác nhân này là JADEPUFFER, cho biết một mô hình ngôn ngữ lớn (LLM) đã tự xử lý toàn bộ các bước: xâm nhập, đánh cắp thông tin xác thực, di chuyển ngang trong mạng, cuối cùng là mã hóa và xóa sạch cơ sở dữ liệu sản xuất của nạn nhân.
Table Of Content
Phương thức tấn công thông qua lỗ hổng cũ
JADEPUFFER khai thác CVE-2025-3248, một lỗ hổng thiếu xác thực trong Langflow – công cụ mã nguồn mở phổ biến để xây dựng các ứng dụng AI và luồng công việc cho agent. Lỗ hổng này cho phép bất kỳ ai có quyền truy cập vào server có thể thực thi mã Python mà không cần đăng nhập. Mặc dù đã được vá từ phiên bản 1.3.0, nhiều hệ thống vẫn chưa cập nhật, tạo điều kiện cho các cuộc tấn công.
Sau khi xâm nhập, AI agent hoạt động với tốc độ cao. Nó quét máy chủ để tìm kiếm các khóa API (OpenAI, Anthropic, DeepSeek, Gemini), thông tin xác thực cloud (AWS, Google, Azure, Alibaba, Tencent) và khóa ví tiền điện tử. Đáng chú ý, agent này còn tận dụng các cấu hình yếu như tài khoản mặc định trên MinIO để củng cố quyền kiểm soát.
Hành vi kỳ lạ của AI trong quá trình tấn công
Điểm khác biệt lớn nhất so với hacker con người là các payload tấn công chứa đầy các ghi chú giải thích bằng tiếng Anh về lý do thực hiện từng bước. AI cũng có khả năng tự sửa lỗi cực nhanh; Sysdig ghi nhận agent này đã chẩn đoán và khắc phục lỗi đăng nhập thất bại chỉ trong 31 giây. Tuy nhiên, một chi tiết gây tranh cãi là địa chỉ ví Bitcoin trong thông báo đòi tiền chuộc lại trùng khớp với ví mẫu trong tài liệu phát triển của Bitcoin, dẫn đến khả năng AI đã “ảo giác” hoặc sao chép dữ liệu từ tập huấn luyện.
Hệ quả là dữ liệu bị mã hóa không thể khôi phục vì AI đã tạo khóa ngẫu nhiên nhưng không lưu lại, biến cuộc tấn công thành hành vi phá hoại thay vì tống tiền thuần túy.
Lời khuyên cho đội ngũ bảo mật
Sysdig nhấn mạnh rằng JADEPUFFER là hồi chuông cảnh báo về sự chuyển dịch trong an ninh mạng. Để phòng thủ, các tổ chức cần:
- Patching: Cập nhật ngay các lỗ hổng như CVE-2025-3248 và không để các endpoint thực thi mã của AI lộ diện trên internet.
- Quản lý bí mật: Không lưu trữ khóa API hoặc thông tin xác thực cloud trong môi trường chạy ứng dụng AI.
- Cấu hình an toàn: Thay đổi các khóa ký mặc định trên Nacos, hạn chế quyền root của database và cô lập các server quan trọng khỏi internet công cộng.
- Giám sát runtime: Thay vì chỉ dựa vào việc vá lỗi, cần tập trung giám sát các hành vi bất thường tại thời điểm thực thi (runtime) để phát hiện sớm các agent tự động.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.