Google vừa công bố phát hiện một tác nhân đe dọa chưa được xác định danh tính sử dụng khai thác zero-day được phát triển với sự hỗ trợ của hệ thống trí tuệ nhân tạo (AI) đánh dấu lần đầu tiên trong lịch sử, công nghệ này bị vũ khí hóa ngoài thực tế cho mục đích phát hiện lỗ hổng và tạo mã khai thác độc hại. Đây là hồi chuông cảnh báo cho toàn ngành an ninh mạng toàn cầu: ranh giới giữa nghiên cứu bảo mật và tấn công tự động đang dần biến mất.

Cơ chế kỹ thuật của lỗ hổng Zero-Day

Nhóm Google Threat Intelligence Group (GTIG) xác định đây là hoạt động của các tác nhân tội phạm mạng phối hợp với nhau để thực hiện một chiến dịch khai thác lỗ hổng hàng loạt có chủ đích. Lỗ hổng được triển khai dưới dạng một script Python, cho phép vượt qua hoàn toàn cơ chế xác thực hai yếu tố (2FA) trên một công cụ quản trị web mã nguồn mở phổ biến – tên công cụ chưa được Google tiết lộ để tránh khai thác thêm.

Về mặt kỹ thuật, đây là lỗi logic ngữ nghĩa cấp cao (high-level semantic logic flaw) xuất phát từ một giả định tin tưởng được hard-code trong hệ thống. Đây chính xác là loại lỗi mà con người thường bỏ qua khi review code thủ công, nhưng các mô hình ngôn ngữ lớn (LLM) lại có khả năng phát hiện vượt trội nhờ khả năng phân tích luồng logic trên quy mô lớn. Lỗ hổng yêu cầu có thông tin xác thực hợp lệ của người dùng để khai thác – tức là không phải tấn công unauthenticated, nhưng với credential bị đánh cắp qua phishing hoặc infostealer, điều kiện này hoàn toàn có thể đáp ứng.

GTIG đánh giá với độ tin cậy cao rằng một mô hình AI đã được sử dụng để hỗ trợ toàn bộ quá trình từ phát hiện đến vũ khí hóa lỗ hổng, dựa trên các dấu hiệu đặc trưng trong script Python thu thập được:

  • Docstring giáo khoa cực kỳ chi tiết – đặc trưng của code do LLM tạo ra
  • Điểm CVSS bị “hallucinate” – mô hình tự bịa ra điểm số không tồn tại
  • Định dạng Pythonic có cấu trúc rõ ràng với help menu đầy đủ
  • Class màu ANSI gọn gàng theo kiểu textbook

Không có bằng chứng cho thấy Gemini của Google bị lợi dụng trong chiến dịch này. Google đã phối hợp với nhà cung cấp bị ảnh hưởng để vá lỗ hổng theo quy trình responsible disclosure trước khi công bố.

PromptSpy – Android Malware Lạm Dụng Gemini Để Tấn Công Tự Trị

Song song với phát hiện trên, Google cũng ghi nhận PromptSpy – một dòng malware Android sử dụng Gemini như một “bộ não” để thực hiện tấn công hoàn toàn tự trị, không cần sự can thiệp của con người.

PromptSpy hoạt động theo cơ chế phân tích màn hình theo thời gian thực thông qua Gemini, tự động điều hướng giao diện Android và đưa ra quyết định hành động tiếp theo thông qua module agent tự trị. Bộ năng lực của malware này bao gồm:

  • Thu thập sinh trắc học: Ghi lại dữ liệu PIN và pattern khóa màn hình để tái hiện thao tác xác thực, từ đó lấy lại quyền truy cập thiết bị ngay cả sau khi nạn nhân đổi mật khẩu
  • Chống gỡ cài đặt: Sử dụng module “AppProtectionDetector” xác định tọa độ nút “Uninstall” trên màn hình và phủ lớp overlay vô hình lên trên, khiến nút này trở nên không phản hồi với thao tác chạm của nạn nhân
  • Hạ tầng C2 linh hoạt: Gemini API key và VNC relay server có thể được cập nhật động tại runtime thông qua kênh C2 mà không cần triển khai lại payload – cho thấy nhóm phát triển đã thiết kế sẵn khả năng chống lại các biện pháp phòng thủ

Google đã vô hiệu hóa toàn bộ hạ tầng liên quan đến PromptSpy. Không có ứng dụng nào chứa malware này được phát hiện trên Play Store.

Các Nhóm APT Quốc Gia Lạm Dụng AI Cho Hoạt Động Tấn Công

GTIG cũng ghi nhận một loạt hoạt động lạm dụng AI từ các nhóm tấn công được nhà nước bảo trợ:

UNC2814 (nghi ngờ liên quan Trung Quốc) sử dụng Gemini để nghiên cứu lỗ hổng trên firmware TP-Link và giao thức Odette File Transfer Protocol (OFTP) thông qua kỹ thuật persona-driven jailbreaking – yêu cầu Gemini đóng vai chuyên gia bảo mật mạng để vượt qua các giới hạn an toàn của mô hình.

APT45 (Triều Tiên – còn gọi là Andariel hoặc Onyx Sleet) gửi hàng nghìn prompt lặp đi lặp lại để phân tích đệ quy các CVE khác nhau và xác thực tính khả thi của PoC exploit – về bản chất là sử dụng AI như một công cụ triage lỗ hổng tự động ở quy mô lớn.

APT27 (Trung Quốc) tận dụng Gemini để đẩy nhanh phát triển ứng dụng quản lý fleet nhằm vận hành mạng ORB (Operational Relay Box) – hạ tầng proxy được dùng để che giấu nguồn gốc tấn công.

Nhóm liên quan Nga nhắm vào các tổ chức Ukraine, triển khai malware CANFAIL và LONGSTREAM sử dụng code mồi nhử do LLM tạo ra để che giấu chức năng độc hại bên trong, qua mặt các công cụ phân tích tĩnh truyền thống.

Ngoài ra, các tác nhân đe dọa còn được phát hiện thử nghiệm với repository GitHub chuyên dụng có tên “wooyun-legacy” – một plugin skill cho Claude chứa hơn 5.000 case lỗ hổng thực tế từ nền tảng WooYun (Trung Quốc) giai đoạn 2010-2016, nhằm “huấn luyện ngữ cảnh” cho mô hình để phân tích code như một chuyên gia bảo mật kỳ cựu.

Thị Trường Chợ Xám Shadow API – Rủi Ro Ẩn Trong Chuỗi Cung Ứng AI

Google ghi nhận một thị trường chợ xám đang phát triển mạnh gồm các nền tảng relay API, cho phép truy cập trái phép vào Claude (Anthropic) và Gemini thông qua proxy server đặt ngoài Trung Quốc đại lục – được quảng cáo công khai trên Taobao và Xianyu.

Nghiên cứu từ CISPA Helmholtz Center for Information Security (tháng 3/2026) phát hiện 17 shadow API loại này với bằng chứng rõ ràng về model substitution. Trên benchmark y tế MedQA, độ chính xác của Gemini-2.5-flash giảm từ 83.82% (API chính thức) xuống còn khoảng 37% trên các shadow API – cho thấy các dịch vụ này thực chất đang thay thế mô hình gốc bằng mô hình kém chất lượng hơn. Nguy hiểm hơn, các proxy này có thể ghi lại toàn bộ prompt và response đi qua hệ thống, tạo ra kho dữ liệu khổng lồ cho việc fine-tuning mô hình trái phép.

Khuyến Nghị từ các chuyên gia bảo mật

Trước diễn biến AI ngày càng được vũ khí hóa trong các chiến dịch tấn công có chủ đích, các tổ chức cần ưu tiên:

  • Rà soát toàn bộ môi trường AI nội bộ – đặc biệt các dependency và công cụ tích hợp có thể trở thành mục tiêu supply chain attack, bao gồm cả MCP server và AI agent framework
  • Kiểm soát chặt chẽ việc sử dụng LLM trong môi trường phát triển – nghiêm cấm sử dụng shadow API hoặc relay service không được kiểm duyệt
  • Tăng cường giám sát logic xác thực trong các hệ thống quản trị web, đặc biệt các điểm hard-code trust assumption trong luồng 2FA
  • Áp dụng threat modeling cho AI pipeline – xem xét kịch bản kẻ tấn công có quyền truy cập vào AI system nội bộ để thu thập thông tin và di chuyển ngang trong mạng