Google Threat Intelligence: Agent AI Gemini tự động săn tìm mã độc và dữ liệu rò rỉ trên Dark Web

Google vừa chính thức triển khai các agent AI Gemini trong bộ giải pháp Google Threat Intelligence nhằm tự động hóa việc giám sát các dark web. Hiện đang ở bản public preview, hệ thống này có khả năng xử lý hàng triệu bài đăng mỗi ngày, sử dụng hồ sơ doanh nghiệp để nhận diện chính xác các nguy cơ như rò rỉ dữ liệu hoặc hoạt động của các nhóm môi giới truy cập trái phép.

Thay vì chỉ dựa vào các từ khóa đơn lẻ, Gemini sử dụng mô hình ngôn ngữ lớn (LLM) để phân tích ngữ cảnh, giúp các chuyên gia bảo mật nhận diện chính xác các hoạt động rao bán dữ liệu hoặc quyền truy cập trái phép nhắm trực tiếp vào tổ chức.

Đi sâu vào kỹ thuật: Vượt qua giới hạn của giám sát truyền thống bằng Vector Comparison

Phân tích về cơ chế vận hành của Gemini cho thấy sự khác biệt rõ rệt so với các công cụ giám sát dark web thông thường, giúp giải quyết bài toán “nhiễu” thông tin trong tình báo đe dọa:

1. Định danh thực thể và Đối chiếu Vector

Hệ thống không quét dữ liệu một cách dàn trải. Thay vào đó, Agent Gemini tổng hợp dữ liệu từ nguồn mở (OSINT) và các thông số nội bộ do khách hàng cung cấp để kiến tạo một “chân dung số” toàn diện. Hồ sơ này bao gồm danh sách nhân sự trọng yếu (VIP), nhận diện thương hiệu và chi tiết hạ tầng công nghệ.

Khi phát hiện các thông tin mập mờ trên Dark Web – ví dụ: “Rao bán quyền truy cập một công ty tài chính tại Việt Nam có doanh thu X tỷ” – AI áp dụng kỹ thuật so sánh Vector để đối chiếu các đặc điểm định lượng này với hồ sơ doanh nghiệp. Cơ chế này cho phép hệ thống “đọc vị” chính xác mục tiêu bị nhắm tới ngay cả khi tin tặc cố tình ẩn danh tính tổ chức, giúp triệt tiêu các báo động giả không có giá trị thực tế.

2. Tối ưu hóa hiệu suất và Độ chính xác

Nhờ hạ tầng đo lường quy mô lớn, Gemini có khả năng xử lý định mức từ 8 đến 10 triệu sự kiện mỗi ngày. Theo ông Brandon Wood, Quản lý sản phẩm Threat Intelligence tại Google, các bài kiểm tra nội bộ xác nhận hệ thống đạt độ chính xác tới 98%. Hiệu suất này tập trung vào việc bóc tách các rủi ro mức độ nghiêm trọng cao:

• Các dấu hiệu đe dọa từ nội bộ.
• Hoạt động giao dịch của các nhóm Initial Access Brokers.
• Các lỗ hổng rò rỉ dữ liệu đang trong giai đoạn xác minh.

3. Tự động hóa quy trình điều tra và Phân tích chuyên sâu

Mô hình này thiết lập kết nối trực tiếp với Google Threat Intelligence Group – đơn vị hiện theo dõi 627 nhóm tấn công riêng biệt toàn cầu. Google vận hành các Agent AI này để tự động hóa hoàn toàn quy trình phân loại và điều tra sơ bộ.

Cụ thể, các Agent phụ trợ thực hiện truy xuất digital forensics và đưa ra kết luận phân tích dựa trên ngữ cảnh thực tế. Việc chuyển giao các tác vụ lặp lại này cho AI giúp tối ưu hóa nguồn lực, giải phóng các chuyên viên phân tích khỏi khối lượng công việc thủ công để tập trung xử lý các kịch bản tấn công phức tạp.

Bảng so sánh hiệu quả giữa phương pháp truyền thống và AI Agent:

Nhận định và Khuyến nghị từ Chuyên gia: Phản ứng ở “tốc độ máy” trước các chiến dịch tấn công bằng AI

Để tối ưu hóa sức mạnh của Gemini AI trong bảo vệ hạ tầng, đội ngũ kỹ thuật cần tập trung vào các mắt xích sau:

• Chặn đứng xâm nhập từ sớm: Thông qua việc nhận diện sớm các hoạt động rao bán quyền truy cập của Initial Access Brokers trên Dark Web, doanh nghiệp có thể chủ động vá lỗi hoặc đổi thông tin xác thực trước khi mã độc thực thi.
• Tự động hóa điều tra: Các agent phụ trợ trong Google Security Operations sẽ tự động thu thập chứng cứ số và đưa ra kết luận cảnh báo, giúp giảm tải việc sàng lọc dữ liệu thô, cho phép chuyên viên tập trung xử lý các sự cố phức tạp.
• Chuẩn hóa dữ liệu đầu vào: Đội ngũ quản trị cần cung cấp chính xác các thực thể như dải IP, tài sản số và danh sách nhân sự VIP để AI thiết lập cơ sở dữ liệu đối chiếu chuẩn xác nhất.
• Tích hợp sâu vào SOC: Kết hợp các cảnh báo từ Gemini vào quy trình điều tra tự động nhằm rút ngắn thời gian phản ứng trung bình, không sử dụng AI như một công cụ tách biệt.

Nguồn: Cyber Security News