HalluSquatting: Kỹ thuật tấn công mới biến AI thành công cụ phát tán botnet
Các nhà nghiên cứu vừa phát hiện HalluSquatting, một phương thức tấn công lợi dụng khả năng 'ảo giác' của AI để lừa người dùng cài đặt mã độc thông qua các trợ lý lập...
Các trợ lý lập trình dựa trên AI thường có xu hướng ‘ảo giác’ (hallucination) – tự tạo ra các tên gọi nghe có vẻ hợp lý cho những công cụ hoặc dự án không hề tồn tại. Một nghiên cứu mới mang tên HalluSquatting đã biến điểm yếu này thành một vũ khí tấn công nguy hiểm: kẻ xấu dự đoán các tên gọi giả mà AI thường tạo ra, đăng ký trước các tên đó, và chờ đợi trợ lý AI của người dùng ‘sập bẫy’.
Cơ chế hoạt động của HalluSquatting
Cuộc tấn công này kết hợp hai đặc tính của AI: khả năng ảo giác và kỹ thuật prompt injection gián tiếp. Quy trình thực hiện thường diễn ra như sau:
- Xác định mục tiêu: Kẻ tấn công nhắm vào các thư viện hoặc plugin đang thịnh hành. Khi một tài nguyên quá mới và chưa có trong dữ liệu huấn luyện, AI có xu hướng tự đoán tên.
- Huấn luyện AI: Kẻ tấn công liên tục yêu cầu AI truy xuất tài nguyên đó để ghi lại những cái tên giả mà mô hình tạo ra nhiều nhất.
- Chiếm đoạt tên giả: Kẻ tấn công đăng ký các tên giả này trên GitHub hoặc các kho lưu trữ plugin, sau đó chèn các đoạn mã độc hoặc lệnh điều khiển ẩn bên trong.
- Kích hoạt: Khi người dùng yêu cầu trợ lý AI tải tài nguyên phổ biến, AI sẽ vô tình tạo ra tên giả đó và truy xuất nhầm phiên bản độc hại của kẻ tấn công.
Vì các trợ lý AI hiện nay thường được tích hợp quyền thực thi lệnh trong terminal, các lệnh độc hại này có thể chạy trực tiếp trên máy tính của người dùng mà không cần sự can thiệp thủ công, từ đó biến thiết bị thành một phần của mạng lưới botnet.
Tại sao đây là mối đe dọa mới?
Khác với các botnet truyền thống dựa vào lỗ hổng phần mềm hoặc mật khẩu yếu, HalluSquatting sử dụng chính AI làm ‘phương tiện vận chuyển’. Mã độc không cần khai thác lỗ hổng mạng (network exploit) mà được thực thi thông qua các lệnh mà chính AI tin tưởng. Các nhà nghiên cứu đã thử nghiệm thành công trên nhiều công cụ phổ biến như Cursor, Windsurf, GitHub Copilot, Cline và Gemini CLI.
Cách phòng ngừa
Hiện tại không có một bản vá CVE đơn lẻ nào cho vấn đề này, vì đây là lỗ hổng trong cách các agent AI xử lý thông tin. Để tự bảo vệ, người dùng và nhà phát triển cần:
- Không chạy tự động: Tránh sử dụng các chế độ ‘auto-run’ hoặc bỏ qua xác nhận quyền (như chế độ ‘yolo’ hoặc ‘skip-permissions’) khi AI thực hiện các lệnh tải về từ bên ngoài.
- Xác minh tài nguyên: Luôn kiểm tra kỹ tên repository hoặc package trước khi cho phép AI thực thi. Đừng mặc định coi những gì AI cung cấp là sự thật.
- Kiểm tra trước khi tải: Các nhà phát triển công cụ AI nên tích hợp cơ chế tìm kiếm xác thực (lookup) trước khi thực hiện lệnh tải, giúp AI đối chiếu với dữ liệu thực tế thay vì đoán mò.
Các nhà nghiên cứu nhấn mạnh rằng đây là một điểm yếu hệ thống trong cách các agent AI đặt niềm tin vào các tên gọi mà chúng chưa từng được xác nhận, đòi hỏi sự thay đổi trong tư duy bảo mật khi tích hợp AI vào quy trình làm việc.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.