Mythos vừa lập được “công lớn” khi phát hiện một lỗi phần mềm nghiêm trọng đã âm thầm tồn tại suốt 27 năm qua.
Tờ Wall Street Journal (WSJ) cho hay lỗi phần mềm này có khả năng làm sập hệ điều hành vốn được sử dụng trong tường lửa, máy chủ, các thiết bị mạng và chỉ được mô hình AI do Anthropic phát triển, Mythos phát hiện vào tháng trước.
Sự kiện này đang khiến Nhà Trắng, giới tài chính và các chuyên gia an ninh mạng trên toàn cầu lo ngại.
Kỷ nguyên “bùng nổ lỗi”
Giới công nghệ gọi đây là “kỷ nguyên bùng nổ lỗi” khi các mô hình AI như Mythos có thể phát hiện lỗ hổng trong những phần mềm cũ với tốc độ chưa từng có. Dù phần lớn lỗi không quá nghiêm trọng, số lượng khổng lồ của chúng đang tạo áp lực lớn lên các nhà phát triển, đặc biệt là những nhóm nhỏ khó có đủ nguồn lực xử lý.
Nguy cơ càng gia tăng khi tin tặc có thể tận dụng các lỗ hổng này nhanh hơn nhờ chính công nghệ AI.
Lỗi trong hệ điều hành OpenBSD từ năm 1998 chỉ là một trong hàng nghìn lỗi mà Mythos phát hiện trong tháng qua. Anthropic cho biết, hiện công ty đang hợp tác với khoảng 50 công ty và tổ chức công nghệ để tìm và sửa lỗi, đồng thời chưa có kế hoạch công bố rộng rãi mô hình này.
Trong khi đó, các “ông lớn” công nghệ cũng đang chạy đua phát triển các công cụ tương tự. OpenAI được cho là đang xây dựng phiên bản AI tập trung vào bảo mật nhằm hỗ trợ lập trình viên vá lỗi trước khi những lỗi này bị tin tặc phát hiện. Google cũng triển khai chương trình thử nghiệm sớm dành cho các nhà phát triển.
Sự xuất hiện của Mythos đã khiến nhiều doanh nghiệp công nghệ phải gấp rút đánh giá lại rủi ro an ninh. Các chuyên gia cảnh báo, điểm yếu lớn nhất có thể nằm ở các phần mềm mã nguồn mở, nền tảng của phần lớn hạ tầng internet hiện nay.
Những phần mềm mã nguồn mở vốn thường được phát triển bởi cộng đồng tình nguyện và thiếu nguồn lực để xử lý lượng báo cáo lỗi tăng đột biến.
Liên quan đến sự kiện trên, nhà nghiên cứu bảo mật Niels Provos, người từng vô tình viết đoạn mã chứa lỗi trong OpenBSD cách đây gần ba thập kỷ khi ông đang làm luận án tiến sĩ tại Đại học Michigan đã chia sẻ:
“Thành thật mà nói, tôi chỉ thấy chuyện đó buồn cười thôi. Bởi vì đó là đoạn mã quá cũ rồi,” Provos, cựu trưởng bộ phận an ninh của công ty thanh toán Stripe, nói. “Ai mà biết lần cuối cùng có người xem nó là khi nào chứ.”
Thông thường, con người sẽ cần vô số giờ nghiên cứu để tìm ra và khai thác một lỗi như thế này. Hầu hết các hacker thậm chí sẽ không có nhu cầu xem qua một mã nguồn cũ vì cho rằng nó đã bị kiểm tra kỹ lưỡng để tìm lỗi.
Năng lực “không tưởng” của AI
Trước đây, việc phát hiện và khai thác một lỗi như vậy đòi hỏi hàng giờ nghiên cứu chuyên sâu. Tuy nhiên, với sự hỗ trợ của AI, rào cản kỹ thuật đang giảm đáng kể, khiến việc tạo ra các công cụ tấn công trở nên dễ dàng hơn.
Theo Anthropic, Mythos đã tiêu tốn khoảng 20.000 USD chi phí tính toán trong hai ngày để phát hiện hàng loạt lỗi, đồng thời cho thấy khả năng ngày càng tốt trong việc viết mã khai thác các lỗ hổng này.
Thực tế, phần lớn các cuộc tấn công mạng hiện nay không dựa vào các lỗ hổng “zero-day” chưa từng được phát hiện. Tin tặc thường xâm nhập vào các công ty bằng cách sử dụng các lỗi đã được phát hiện, hoặc bằng cách đánh cắp thông tin đăng nhập hoặc sử dụng các kỹ thuật tấn công phi kỹ thuật (social engineering).
Bên cạnh đó, hầu hết các tập đoàn đều có các chiến lược khác để giảm thiểu tác động của các cuộc tấn công mạng ngay cả khi một máy tính cá nhân bị tấn công.
Đầu năm nay, phần mềm của Anthropic đã phát hiện hơn 100 lỗi trong trình duyệt Firefox, và thậm chí còn có thể viết mã để khai thác một trong những lỗi này trong phiên bản thử nghiệm của trình duyệt. Trong thực tế, Firefox có các biện pháp bảo mật khác có thể ngăn chặn cuộc tấn công, gây nhiều thách thức hơn cho cả những hacker "có tay nghề".
Tuy vậy, việc AI làm gia tăng số lượng lỗ hổng được phát hiện đang tạo ra một thách thức mới.
Một số chuyên gia ví tình hình hiện nay với sự kiện Y2K trước đây khi toàn cầu phải chạy đua sửa lỗi hệ thống trước năm 2000. Tuy nhiên, lần này, khối lượng công việc có thể lớn hơn nhiều khi hàng nghìn lỗ hổng cần được xử lý đồng thời.
Chính phủ Mỹ hiện cũng đã vào cuộc. Các quan chức cấp cao, trong đó có Giám đốc An ninh mạng quốc gia Sean Cairncross, đang phối hợp với các doanh nghiệp trong lĩnh vực tư nhân để đánh giá và ứng phó với các rủi ro mới.
Trong khi đó, thị trường tài chính đã có phản ứng ban đầu khi cổ phiếu các công ty an ninh mạng sụt giảm do lo ngại những thay đổi lớn trong ngành.
Dữ liệu từ HackerOne cho thấy, số lượng báo cáo lỗi đã tăng 76% so với năm trước trong khi thời gian trung bình để khắc phục một lỗi cũng tăng từ 160 ngày lên 230 ngày.
Các doanh nghiệp cũng lo ngại rằng, những hệ thống ít được chú ý trước đây có thể trở thành mục tiêu mới trong bối cảnh các nhà phát triển quy mô nhỏ khó có khả năng đối phó với làn sóng tấn công và yêu cầu vá lỗi ngày càng lớn.
Chỉ trong thời gian ngắn thử nghiệm công cụ của Anthropic, Sergej Epp, Giám đốc an ninh thông tin của Sysdig, đã phát hiện nhiều lỗ hổng và thậm chí công bố một trang web được mã hóa bằng cảm biến, sử dụng dữ liệu công khai để cho thấy tốc độ AI biến các lỗi thành phần mềm tấn công nhanh đến như thế nào.
Dựa trên hình ảnh Đồng hồ Ngày tận thế cảnh báo về sự hủy diệt hạt nhân, ông gọi công cụ này là “Zero-Day Clock”.
Theo Sergej, cuộc đua giữa kẻ tấn công và người phòng vệ đang tăng tốc đáng kể. Nếu như tám năm trước, thời gian từ khi một lỗi được công bố đến khi bị khai thác trung bình là 847 ngày, thì năm ngoái giảm xuống còn 23 ngày, và hiện nay nhiều lỗ hổng bị khai thác chỉ trong vòng một ngày.
“AI đang trao siêu năng lực cho tin tặc, chứ không phải cho những người phòng vệ” ông cảnh báo.
*Theo WSJ
