AI có thể tìm thấy lỗ hổng, nhưng chỉ con người mới chứng minh được chúng
Dù AI đang thay đổi cách thức thực hiện tấn công và kiểm thử bảo mật, khả năng xác thực và đánh giá rủi ro thực tế vẫn phụ thuộc hoàn toàn vào tư duy của chuyên gia con...
Trí tuệ nhân tạo (AI) đang tạo ra những thay đổi đáng kể trong lĩnh vực an ninh mạng tấn công (offensive security). Các công cụ hỗ trợ bởi AI có khả năng đọc mã nguồn, tạo payload, tóm tắt bề mặt tấn công và tự động hóa các quy trình kiểm thử lặp đi lặp lại với tốc độ ấn tượng. Tuy nhiên, một lỗ hổng chỉ thực sự có giá trị khi nó được chứng minh là tồn tại và có khả năng khai thác.
Table Of Content
Sự khác biệt giữa ‘có vẻ là lỗ hổng’ và ‘lỗ hổng thực sự’
Vấn đề lớn nhất hiện nay là nhiều báo cáo do AI tạo ra trông rất chuyên nghiệp, có xếp hạng mức độ nghiêm trọng và thậm chí kèm theo proof-of-concept (PoC) thuyết phục, nhưng lại thiếu đi bằng chứng xác thực trong môi trường triển khai thực tế. Trong kiểm thử bảo mật, việc viết một báo cáo nghe có vẻ nguy hiểm không khó, cái khó nằm ở việc chứng minh được rủi ro đó là có thật.
Các chương trình bug bounty đang đối mặt với làn sóng các báo cáo chất lượng thấp từ AI. Những báo cáo này thường thiếu dữ liệu kiểm chứng, gây áp lực lên đội ngũ triage thay vì cung cấp các tín hiệu bảo mật hữu ích. Nếu không có sự đánh giá từ con người, AI chỉ đơn thuần tạo ra thêm các hàng đợi xử lý thay vì cải thiện tình hình an ninh.
Tại sao kiến thức chuyên gia vẫn là yếu tố then chốt?
AI rất giỏi trong việc đưa ra các giả thuyết: nó có thể phát hiện input người dùng gần một truy vấn cơ sở dữ liệu và cảnh báo về SQL injection, hoặc thấy một hàm API nguy hiểm và gợi ý về khả năng remote code execution. Nhưng AI thường bỏ qua các điều kiện thực tế như: liệu input đó có thực sự đến được hàm nguy hiểm không? Cơ chế xác thực và phân quyền có chặn nó lại không? Cấu hình production có cho phép thực thi không?
Những chuyên gia bảo mật giỏi nhất không chỉ là người chạy công cụ giỏi, mà là người hiểu sâu về hệ thống, giao thức, hành vi ứng dụng và các ranh giới bảo mật. Kiến thức này được tích lũy qua nhiều năm thực hành thủ công: từ việc đọc mã nguồn, reverse engineering, cho đến việc hiểu cách các hệ thống thất bại.
Rủi ro khi quá phụ thuộc vào AI
Có một lo ngại thực tế rằng sự phụ thuộc quá mức vào AI có thể khiến kỹ năng của các chuyên gia bị ‘mai một’. Khi công cụ giải quyết mọi vấn đề ngay lập tức, người làm bảo mật dễ mất đi khả năng tư duy phản biện và xây dựng mô hình tâm trí về hệ thống. AI nên được coi là công cụ hỗ trợ để giảm bớt các công việc lặp đi lặp lại, giúp chuyên gia tập trung vào việc phân tích và xác thực chuyên sâu.
Quy trình xác thực cần thiết
Trước khi một phát hiện từ AI được coi là một lỗ hổng thực sự, chuyên gia cần trả lời được các câu hỏi:
- Hành vi cụ thể nào đã được quan sát và xảy ra ở đâu?
- Ranh giới bảo mật nào đã bị vượt qua (xác thực, phân quyền, bộ nhớ…)?
- Các bước chính xác để tái hiện lỗi trong môi trường mục tiêu là gì?
- Tác động thực tế (không phải lý thuyết) là gì?
Tóm lại, tương lai của an ninh mạng tấn công không thuộc về những người tạo ra nhiều báo cáo nhất, mà thuộc về những cá nhân và đội ngũ có khả năng chứng minh được những gì thực sự quan trọng. AI có thể tăng tốc quá trình tìm kiếm, nhưng sự phán đoán và kiến thức kỹ thuật của con người vẫn là chốt chặn cuối cùng để đảm bảo tính chính xác và hiệu quả.
Nguồn tham khảo: The Hacker News
No Comment! Be the first one.