Cảnh báo: Các AI Coding Agent có thể bị ‘lừa’ thực thi mã độc thay vì quét lỗ hổng
Nghiên cứu mới từ AI Now Institute cho thấy các AI coding agent như Claude Code và OpenAI Codex có thể bị thao túng để tự động chạy mã độc trên máy chủ của người dùng thay vì thực hiện nhiệm vụ kiểm...
Các công cụ AI coding agent hiện nay được quảng bá như một giải pháp đắc lực để quét lỗ hổng trong mã nguồn mở. Tuy nhiên, một nghiên cứu mới từ AI Now Institute đã chỉ ra một lỗ hổng thiết kế nghiêm trọng mang tên “Friendly Fire”, cho phép kẻ tấn công biến chính các trợ lý AI này thành công cụ thực thi mã độc trên máy chủ của người dùng.
Table Of Content
Cơ chế tấn công “Friendly Fire”
Thay vì phát hiện các mối đe dọa, AI agent lại bị đánh lừa để trở thành “cửa ngõ” cho kẻ tấn công. Khi người dùng kích hoạt chế độ tự động (autonomous mode) trên các công cụ như Claude Code hoặc OpenAI Codex, AI sẽ tự động phê duyệt các lệnh mà nó cho là an toàn. Kẻ tấn công lợi dụng điều này bằng cách chèn các tệp tin độc hại vào thư viện mã nguồn mở.
Trong thử nghiệm, các nhà nghiên cứu đã sử dụng thư viện geopy làm ví dụ. Họ tạo ra một tệp tin security.sh được nhắc đến trong README.md như một bước kiểm tra bảo mật định kỳ. Khi người dùng yêu cầu AI “quét bảo mật dự án”, agent sẽ đọc tệp README, tin tưởng lệnh này và tự động thực thi một binary ẩn chứa mã độc mà không đưa ra bất kỳ cảnh báo nào.
Tại sao đây là vấn đề thiết kế?
Điểm đáng lo ngại là lỗ hổng này không thể khắc phục bằng các bản vá phần mềm thông thường. Các nhà nghiên cứu khẳng định vấn đề nằm ở kiến trúc cốt lõi của mô hình AI: chúng không thể phân biệt rõ ràng giữa mã nguồn cần kiểm tra và các chỉ dẫn (instructions) mà chúng được yêu cầu thực hiện. Ngay cả khi được hỏi trực tiếp, các mô hình như Claude Sonnet 4.6 hay GPT-5.5 vẫn không phát hiện ra các chỉ dẫn độc hại ẩn giấu.
Khuyến nghị cho người dùng
Mặc dù đây hiện là một nghiên cứu chứng minh khái niệm (PoC), nhưng nó cảnh báo về rủi ro thực tế khi các tổ chức tin tưởng giao phó việc kiểm tra bảo mật cho AI. Các chuyên gia đưa ra lời khuyên:
- Hạn chế quyền hạn: Không nên cấp quyền thực thi lệnh cho AI khi làm việc với mã nguồn từ bên thứ ba không xác định.
- Cảnh giác với tài liệu: Cần đặc biệt chú ý nếu AI tự động thực thi các tệp lệnh (script) hoặc binary chỉ vì chúng được nhắc đến trong các tệp tài liệu như README.
- Không dựa dẫm vào Sandbox: Mặc dù môi trường sandbox có thể giúp giảm thiểu rủi ro, nhưng chúng không hoàn hảo và đã từng ghi nhận các lỗ hổng thoát sandbox (như CVE-2026-39861).
Việc sử dụng các chế độ yêu cầu phê duyệt thủ công (manual approval) cho từng bước là cách an toàn nhất hiện nay, dù điều này làm giảm đi tính tiện lợi của các AI agent.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.