Lần đầu AI tự tấn công mạng thay con người

Theo báo cáo mới nhất của Anthropic, giữa 9/ 2025, các chuyên gia của Anthropic phát hiện hoạt động bất thường trên hệ thống của họ. Sau khi điều tra, Anthropic xác định đây là chiến dịch gián điệp mạng tinh vi nhất từng được ghi nhận, kẻ tấn công đã biến AI từ công cụ tư vấn thành vũ khí thực thi các cuộc tấn công mạng một cách tự chủ.

Anthropic nhận định các chiến dịch này được thực hiện bởi nhóm tin tặc do Trung Quốc bảo trợ. Tin tặc thao túng công cụ Claude Code để xâm nhập khoảng 30 mục tiêu toàn cầu và đã thành công với một số ít trường hợp. Các mục tiêu bao gồm tập đoàn công nghệ lớn, tổ chức tài chính, công ty sản xuất hóa chất và các cơ quan chính phủ.

Đây là lần đầu tiên thế giới ghi nhận một cuộc tấn công mạng quy mô lớn được thực hiện mà không cần sự can thiệp nhiều từ con người.

Ngay sau khi phát hiện, Anthropic khởi động cuộc điều tra để hiểu rõ quy mô và bản chất của chiến dịch. Trong 10 ngày tiếp theo, trong khi lập bản đồ mức độ nghiêm trọng và phạm vi đầy đủ của chiến dịch, họ đã cấm các tài khoản ngay khi xác định được, thông báo cho các tổ chức bị ảnh hưởng và phối hợp với chính quyền để thu thập thông tin có giá trị.

Vòng đời của cuộc tấn công mạng cho thấy quá trình chuyển từ con người chọn mục tiêu sang AI tự động thực hiện phần lớn các đòn tấn công bằng nhiều công cụ khác nhau (thường thông qua Giao thức Ngữ cảnh Mô hình - MCP). Tại nhiều thời điểm trong suốt cuộc tấn công, AI quay về báo cáo với người điều khiển để xin ý kiến và nhận chỉ đạo tiếp theo. Ảnh: Anthropic

Cuộc tấn công dựa trên ba tính năng của các mô hình AI mà chỉ một năm trước còn chưa tồn tại hoặc còn sơ khai.

Thứ nhất là trí thông minh: Mức độ khả năng của các mô hình đã tăng đến mức chúng có thể làm theo các hướng dẫn phức tạp và hiểu ngữ cảnh theo cách giúp thực hiện những nhiệm vụ rất tinh vi. Các kỹ năng cụ thể được phát triển tốt của chúng, đặc biệt là lập trình phần mềm, rất phù hợp để sử dụng trong các cuộc tấn công mạng.

Thứ hai là khả năng tự chủ: Các mô hình có thể hoạt động như các tác nhân, nghĩa là chúng có thể chạy theo vòng lặp, thực hiện các hành động tự động, liên kết các nhiệm vụ với nhau và đưa ra quyết định chỉ với sự can thiệp tối thiểu, thỉnh thoảng từ con người.

Thứ ba là công cụ: Các mô hình tiếp cận nhiều công cụ phần mềm (thường thông qua chuẩn mở Model Context Protocol). Chúng giờ đây tìm kiếm trên web, truy xuất dữ liệu và thực hiện nhiều hành động khác mà trước đây chỉ thuộc về người vận hành. Trong trường hợp tấn công mạng, các công cụ có thể bao gồm phần mềm bẻ khóa mật khẩu, máy quét mạng và các phần mềm liên quan đến bảo mật khác.

Trong giai đoạn đầu, những tin tặc chọn các mục tiêu cụ thể như công ty hoặc cơ quan chính phủ cần xâm nhập. Sau đó chúng phát triển một khung tấn công chính là hệ thống được xây dựng để tự động xâm phạm mục tiêu đã chọn mà hầu như không cần con người tham gia. Khung này sử dụng Claude Code như một công cụ tự động để thực hiện các hoạt động tấn công mạng.

Tại thời điểm này, chúng phải thuyết phục Claude (được huấn luyện rộng rãi để tránh các hành vi có hại) tham gia vào cuộc tấn công. Chúng làm điều này bằng cách "jailbreak" (bẻ khóa), đánh lừa để vượt qua các "hàng rào" bảo vệ. Chúng chia nhỏ các cuộc tấn công thành những nhiệm vụ nhỏ, có vẻ vô hại mà Claude sẽ thực hiện mà không được cung cấp toàn bộ bối cảnh về mục đích độc hại. Tin tặc còn công khai trao đổi vơi Claude rằng họ là nhân viên của một công ty an ninh mạng hợp pháp và đang được sử dụng trong việc kiểm tra phòng thủ.

Sau đó, kẻ tấn công khởi động giai đoạn thứ hai, trong đó Claude Code kiểm tra các hệ thống và cơ sở hạ tầng của tổ chức mục tiêu và phát hiện các cơ sở dữ liệu có giá trị cao nhất. Claude thực hiện công việc trinh sát này trong một phần nhỏ thời gian mà một nhóm tin tặc con người phải mất. Sau đó nó báo cáo lại cho những kẻ vận hành với bản tóm tắt các phát hiện.

Trong các giai đoạn tiếp theo, Claude xác định và thử nghiệm các lỗ hổng bảo mật trong hệ thống của tổ chức mục tiêu bằng cách nghiên cứu và viết mã khai thác riêng. Sau khi làm như vậy, khung công tác đã sử dụng Claude để thu thập thông tin đăng nhập (tên người dùng và mật khẩu) cho phép truy cập sâu hơn, sau đó trích xuất lượng lớn dữ liệu riêng tư và phân loại chúng theo giá trị tình báo. Các tài khoản có đặc quyền cao nhất được xác định, cửa hậu được tạo ra và dữ liệu được đánh cắp với giám sát tối thiểu từ con người.

Trong giai đoạn cuối, kẻ tấn công yêu cầu Claude tạo tài liệu toàn diện về cuộc tấn công, tạo các tệp hữu ích về thông tin đăng nhập bị đánh cắp và các hệ thống được phân tích, giúp khung công tác lên kế hoạch cho giai đoạn tiếp theo của các hoạt động tấn công mạng.

Nhìn chung, kẻ tấn công đã sử dụng AI để thực hiện 80-90% chiến dịch, chỉ cần con người can thiệp thỉnh thoảng (có lẽ 4-6 điểm quyết định quan trọng cho mỗi chiến dịch tấn công). Khối lượng công việc mà AI thực hiện sẽ tốn lượng thời gian khổng lồ cho một nhóm người. AI đã tạo ra hàng nghìn yêu cầu mỗi giây - tốc độ tấn công mà đối với tin tặc con người, đơn giản là không thể đạt được.

Báo cáo chỉ ra, Claude không phải lúc nào cũng hoạt động hoàn hảo. Đôi khi nó tạo ra thông tin đăng nhập ảo hoặc tuyên bố đã trích xuất thông tin bí mật nhưng thực tế lại là thông tin công khai. Điều này vẫn là trở ngại đối với các cuộc tấn công mạng hoàn toàn tự động.

Phát hiện lỗ hổng mạng lõi di động LTE: Nokia có 59 lỗ hổng nhưng từ chối 'vá'

Tấn công mạng tinh vi giờ đây dễ thực hiện hơn nhiều, Anthropic dự đoán xu hướng này còn tăng mạnh trong thời gian tới. Các nhóm tin tặc chỉ cần thiết lập đúng cách là có thể cho AI hoạt động độc lập trong nhiều giờ liền. Máy móc sẽ thay thế cả đội chuyên gia: phân tích hệ thống, viết mã khai thác lỗ hổng, quét và phân loại dữ liệu đánh cắp nhanh hơn con người gấp nghìn lần. Những nhóm tội phạm mạng nghiệp dư, ít kinh nghiệm giờ cũng tổ chức được chiến dịch tấn công quy mô lớn.

Báo cáo cho biết, cuộc tấn công này còn nghiêm trọng hơn các phát hiện về "vibe hacking" mà Anthropic báo cáo vào mùa hè này: trong những chiến dịch đó, con người vẫn tham gia nhiều, chỉ đạo các hoạt động. Ở đây, sự tham gia của con người ít thường xuyên hơn nhiều, mặc dù quy mô tấn công lớn hơn.

Điều này đặt ra câu hỏi quan trọng: nếu các mô hình AI có thể bị lạm dụng cho các cuộc tấn công mạng ở quy mô này, tại sao vẫn tiếp tục phát triển và phát hành chúng? Câu trả lời là những khả năng cho phép Claude được sử dụng trong các cuộc tấn công này cũng khiến nó trở nên thiết yếu cho việc phòng thủ mạng.

Khi các cuộc tấn công mạng tinh vi chắc chắn xảy ra, mục tiêu của Anthropic là để Claude được xây dựng các biện pháp bảo vệ cấp độ cao nhất, hỗ trợ các chuyên gia an ninh mạng phát hiện, phá vỡ và chuẩn bị cho các phiên bản tấn công trong tương lai. Thực tế, Anthropic đã sử dụng Claude trong việc phân tích lượng dữ liệu khổng lồ được tạo ra trong chính cuộc điều tra này.

Anthropic khuyên các nhóm bảo mật nên thử nghiệm áp dụng AI cho phòng thủ trong các lĩnh vực như tự động hóa Trung tâm An ninh mạng, phát hiện mối đe dọa, đánh giá lỗ hổng và ứng phó sự cố. Đồng thời, các nhà phát triển tiếp tục đầu tư vào các biện pháp bảo vệ trên các nền tảng AI để ngăn chặn việc lạm dụng kỹ thuật này trong việc phá hoại.

Làm sao để kiểm soát những 'ảo tưởng' của AI? Khi bạn hỏi AI và nhận được câu trả lời “có vẻ đúng”, nhưng hóa ra hoàn toàn sai sự thật, bạn vừa gặp phải ...

Claude.ai gặp sự cố, người dùng khó truy cập Hôm qua, ngày 12/6, nền tảng Claude.ai của Anthropic gặp sự cố kỹ thuật nghiêm trọng, ảnh hưởng đến khả năng truy cập của người ...

Người dùng nên chọn lựa AI tạo sinh như thế nào để vừa an toàn vừa tối ưu? AI tạo sinh bùng nổ với hàng loạt công cụ từ ChatGPT, Claude đến Gemini, tạo ra vô số lựa chọn cho người dùng. Tuy ...