Mục lục lục
ToggleVới sự phổ biến rộng rãi của công nghệ trí tuệ nhân tạo (AI), AI Agent đã chứng minh khả năng mạnh mẽ trong việc hỗ trợ các nhà phát triển thực hiện nhiệm vụ hàng ngày. Tuy nhiên, công nghệ này cũng mang đến những rủi ro bảo mật chưa từng có. Gần đây, các nhà phát triển từ một đội ngũ an ninh mạng AI có tiếng đã bất ngờ gặp phải sự cố "tự tấn công" trong khi thử nghiệm robot AI OpenClaw rất phổ biến. Do một lỗi cú pháp nhỏ trong quá trình tạo lệnh của mô hình AI, tất cả các khóa bí mật trong hoàn cảnh thử nghiệm đã bị công khai trên GitHub, dẫn đến việc máy chủ bị một kẻ tấn công không xác định kiểm soát hoàn toàn.
Các chuyên gia an ninh mạng cũng trở thành nạn nhân: một sự cố "tự tấn công" bất ngờ.
Các nạn nhân của sự cố này không phải là những người dùng thông thường thiếu bối cảnh kỹ thuật, mà là các nhà nghiên cứu và phát triển an ninh mạng chuyên nghiệp như Aaron Zhao từ sequrity.ai, một công ty chuyên tạo ra các công cụ bảo mật AI Agent. Là các chuyên gia trong ngành, họ tự tin vào khả năng bảo vệ của mình và thậm chí vừa mới xuất bản một bài báo về cách tấn công bot OpenClaw.
Đội ngũ nghiên cứu đã thử nghiệm trong hoàn cảnh hộp cát mà không có bất kỳ ý định xấu nào, chỉ đơn giản là hướng dẫn bot OpenClaw thực hiện một nhiệm vụ thường lệ tưởng chừng vô hại: "Tìm kiếm các phương pháp hay nhất cho Python async, sau đó tạo một vấn đề trên GitHub để tóm tắt những phát hiện này." Không ngờ, lệnh thông thường này lại trở thành tác nhân dẫn đến việc hệ thống bị xâm phạm.
Những câu nói tai hại: Trí tuệ nhân tạo vô tình làm rò rỉ những bí mật hàng đầu như thế nào
Vấn đề bắt nguồn từ một tập lệnh shell bị lỗi được tạo ra bởi bot OpenClaw khi nó gọi công cụ "exec" tích hợp sẵn để tạo một sự cố trên GitHub.
Trong hệ thống Bash, nếu một chuỗi được đặt trong dấu ngoặc kép ("..."), hệ thống sẽ xử lý một số nội dung trong đó (chẳng hạn như văn bản bên trong dấu ngoặc đơn ngược) như "thay thế lệnh", nghĩa là lệnh sẽ được thực thi trước, và kết quả sẽ được thay thế trở lại vào chuỗi. Nếu sử dụng dấu ngoặc đơn ('..."), nội dung sẽ được xử lý như văn bản thuần túy.
Vào thời điểm đó, chuỗi được tạo bởi OpenClaw chứa nội dung tương tự như "...lưu chúng vào một `set`..." và sử dụng dấu ngoặc kép. Trong cú pháp Bash, `set` là một lệnh tích hợp sẵn, khi được thực thi mà không có bất kỳ tham số bổ sung nào, sẽ trực tiếp in ra tất cả các biến hoàn cảnh và hàm trong hoàn cảnh hiện tại.
Do đó, hệ thống không coi từ khóa `set` là một từ thông thường. Thay vào đó, nó thực thi trực tiếp lệnh này ở cấp độ cơ bản, rút hơn 100 dòng biến hoàn cảnh bí mật, bao gồm cả mã thông báo xác thực, và xử lý tất cả thông tin bí mật này dưới dạng văn bản thuần túy, rồi công bố trực tiếp lên trang Vấn đề GitHub công khai để mọi người đều có thể xem.
Tin tặc khai thác các lỗ hổng và xử lý sau đó.
Hậu quả của vụ rò rỉ diễn ra nhanh chóng. Trong số các biến hoàn cảnh bị lộ có cả khóa Telegram của đội ngũ phát triển và các quyền truy cập quan trọng khác. Ngay sau đó, đội ngũ đã phát hiện thông qua việc giám sát hệ thống rằng một kẻ tấn công từ địa chỉ IP của Ấn Độ đã sử dụng các thông tin đăng nhập bị rò rỉ này để giành quyền kiểm soát hoàn toàn máy chủ thử nghiệm thông qua kết nối từ xa SSH.
May mắn thay, các cơ chế bảo mật của OpenAI và Google đã phát hiện ra các khóa bị rò rỉ này trên GitHub và chủ động thông báo cho đội ngũ nghiên cứu. Điều này thúc đẩy đội ngũ tiến hành ngay một cuộc điều tra toàn diện, cuối cùng xác định được nguyên nhân gốc rễ và vạch mặt kẻ tấn công. Sau đó, họ khẩn trương xóa tất cả dữ liệu khỏi máy chủ thử nghiệm và thu hồi tất cả các khóa bị rò rỉ.
Những thách thức dài hạn trong an toàn AI: Xác định trách nhiệm pháp lý
Sự cố này đã giúp các chuyên gia an ninh mạng hiểu sâu sắc hơn về sự phức tạp của an ninh AI. Đội ngũ nghiên cứu đã than thở trong bài báo của họ rằng họ chỉ đơn giản thực hiện một lệnh vô hại, nhưng hệ thống đã bị tấn công vì mô hình AI hiểu sai cách hoạt động của Bash.
Liệu đây là trách nhiệm của người dùng, lỗi trong chính mô hình AI, hay lỗi thiết kế của robot OpenClaw? Đội ngũ thẳng thắn thừa nhận: "Chúng tôi thực sự không biết." Họ nhấn mạnh rằng an ninh AI hiện đã trở thành một "vấn đề đuôi dài", với quá nhiều chế độ lỗi phức tạp và khó giải thích. Khi AI Agent được trao quyền vận hành hệ thống ngày càng lớn, việc đảm bảo chúng không gây ra thảm họa an ninh mạng nghiêm trọng do một lỗi ngữ pháp nhỏ trong khi thực hiện nhiệm vụ sẽ là một thách thức nghiêm trọng mà ngành công nghệ phải đối diện trong tương lai.
