SkillCloak: Kỹ thuật mới giúp mã độc ‘qua mặt’ các trình quét bảo mật trên AI Agent
Nghiên cứu mới từ Đại học Khoa học và Công nghệ Hồng Kông chỉ ra rằng các 'kỹ năng' (skills) độc hại dành cho AI coding agent có thể dễ dàng vượt qua các trình quét tĩnh bằng kỹ thuật tự giải nén và...
Các công cụ quét bảo mật dành cho các add-on “kỹ năng” (skills) trên AI coding agent đang đối mặt với thách thức lớn. Một nghiên cứu mới từ Đại học Khoa học và Công nghệ Hồng Kông đã chỉ ra rằng, chỉ cần vài thay đổi nhỏ trong cấu trúc tệp tin, mã độc có thể dễ dàng vượt qua các lớp bảo vệ này mà vẫn duy trì được khả năng thực thi.
Table Of Content
Kỹ thuật SkillCloak hoạt động như thế nào?
Công cụ nghiên cứu mang tên SKILLCLOAK cho phép kẻ tấn công viết lại các kỹ năng độc hại để chúng trông có vẻ “sạch” nhưng vẫn giữ nguyên hành vi nguy hiểm. Có hai phương thức chính:
- Thay đổi mã nguồn (Rewriting): Kẻ tấn công thay thế các byte hoặc ký tự mà trình quét thường dựa vào để nhận diện, hoặc chia nhỏ các lệnh bị gắn cờ bằng cách chèn thêm các dòng mới, khiến trình quét không thể khớp mẫu (pattern matching).
- Đóng gói tự giải nén (Self-extracting packing): Đây là phương thức tinh vi hơn, nơi payload độc hại được di chuyển vào các thư mục mà trình quét thường bỏ qua (như
.git/). Một bộ giải mã đơn giản sẽ tái cấu trúc kỹ năng ngay khi AI agent bắt đầu chạy. Do trình quét thường bỏ qua các thư mục này để tối ưu hiệu suất, đây trở thành điểm mù hoàn hảo cho mã độc.
Kết quả thử nghiệm cho thấy, kỹ thuật đóng gói này giúp mã độc vượt qua 8 trình quét phổ biến với tỷ lệ thành công lên tới hơn 90%, thậm chí hơn 99% đối với một số công cụ.
Chuyển dịch từ quét tĩnh sang giám sát hành vi
Vì vẻ ngoài của mã độc có thể dễ dàng bị làm giả, các nhà nghiên cứu đề xuất giải pháp SKILLDETONATE – một công cụ kiểm tra hành vi. Thay vì quét tệp tin tĩnh, nó chạy kỹ năng trong môi trường sandbox và giám sát các hoạt động ở cấp độ hệ điều hành: tệp tin nào được đọc/ghi, dữ liệu được gửi đi đâu.
Trong các thử nghiệm, SKILLDETONATE đã phát hiện 87% các kỹ năng độc hại thực tế, với tỷ lệ cảnh báo sai (false-positive) thấp hơn nhiều so với các trình quét truyền thống.
Thực trạng đáng báo động
Vấn đề này không còn là giả thuyết. Các marketplace công cộng hiện đã xuất hiện nhiều kỹ năng chứa mã độc. Một số chiến dịch như ClawHavoc đã bị phát hiện với hàng trăm kỹ năng độc hại. Các kỹ thuật như chèn dữ liệu rác (junk data) để vượt giới hạn dung lượng quét hay sử dụng script để tải mã độc từ bản ghi DNS tại thời điểm thực thi (runtime) đang trở nên phổ biến.
Khuyến nghị cho người dùng và doanh nghiệp
Các chuyên gia nhấn mạnh rằng, việc một kỹ năng “vượt qua trình quét” chỉ là bước khởi đầu, không phải là sự đảm bảo an toàn. Để phòng thủ hiệu quả, người dùng cần:
- Giám sát hành vi runtime: Theo dõi kỹ các tệp tin mà kỹ năng truy cập, các lệnh được thực thi và lưu lượng mạng phát sinh.
- Cảnh giác với các dấu hiệu bất thường: Cẩn trọng với các tệp tin có dung lượng lớn bất thường hoặc chứa các khối dữ liệu khó hiểu trong các thư mục bị bỏ qua (như
.git/,build/). - Nguyên tắc đặc quyền tối thiểu: Chỉ cung cấp cho AI agent quyền truy cập tối thiểu cần thiết và tránh chạy chúng trên các máy chủ chứa dữ liệu nhạy cảm.
- Nguồn tin cậy: Chỉ cài đặt các kỹ năng từ các nguồn đã được xác thực và kiểm duyệt kỹ lưỡng.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.