
Cảnh báo bảo mật: 9 công cụ AI phổ biến đang bị hacker lợi dụng để xây dựng mạng lưới Botnet khổng lồ
Nghiên cứu mới phát hiện kỹ thuật 'HalluSquatting' cho phép tin tặc khai thác lỗ hổng trong các công cụ AI như GitHub Copilot, Cursor, Windsurf để cài đặt mã độc và xây dựng botnet quy mô lớn thông qua việc lợi dụng khả năng 'ảo giác' của LLM.
Bài viết được dịch và tổng hợp từ tin tức gốc. Bạn có thể đọc bài viết gốc bằng tiếng Anh tại đây.
Điểm tin nhanh:
- Kỹ thuật mới mang tên "HalluSquatting" lợi dụng xu hướng "ảo giác" (hallucination) của các mô hình LLM để điều hướng các tác nhân AI đến các kho lưu trữ độc hại.
- 9 công cụ AI phổ biến bao gồm Cursor, GitHub Copilot, Windsurf, Gemini CLI, Cline, OpenClaw, ZeroClaw, NanoClaw và Cursor CLI đều nằm trong danh sách có nguy cơ bị tấn công.
- Hacker có thể sử dụng phương thức này để lây nhiễm mã độc, tạo botnet quy mô lớn phục vụ DDoS hoặc đào tiền ảo mà không cần nhắm mục tiêu cụ thể vào từng người dùng.
HalluSquatting là gì?
Trong bối cảnh các công cụ hỗ trợ lập trình AI ngày càng được tích hợp sâu vào quy trình làm việc, một mối đe dọa mới mang tên HalluSquatting (viết tắt của Adversarial Hallucination Squatting) đã xuất hiện. Đây là một dạng tấn công "pull-based" (kéo dữ liệu), nơi các tác nhân AI (AI agents) vô tình tự tìm đến và tải về các tài nguyên độc hại do hacker chuẩn bị sẵn.
Cơ chế hoạt động của HalluSquatting
Sự cố bắt nguồn từ việc các mô hình ngôn ngữ lớn (LLM) không thể xác định chính xác vị trí của các tài nguyên (repository, package) mà người dùng yêu cầu. Khi một lập trình viên ra lệnh cho AI "clone" một repository, LLM thường xuyên "ảo giác" ra các đường dẫn không tồn tại. Hacker đã lợi dụng điều này bằng cách đăng ký trước các tên miền hoặc repository mà LLM có khả năng cao sẽ dự đoán sai.
Sơ đồ quy trình tấn công:
[Người dùng ra lệnh cho AI] ➔ [AI dự đoán sai vị trí (Hallucination)] ➔ [AI truy cập vào Repo giả mạo của Hacker] ➔ [AI thực thi script độc hại trong Repo] ➔ [Hệ thống bị chiếm quyền (Reverse Shell)]
Bảng thống kê tỷ lệ ảo giác của LLM theo thời gian
Các nghiên cứu cho thấy tỷ lệ sai sót của các mô hình AI tăng vọt đối với các tài nguyên mới xuất hiện, tạo cơ hội cho kẻ tấn công:
| Loại tài nguyên | Tỷ lệ ảo giác (Trung bình) |
|---|---|
| Repo xuất bản trước 2019 | 0.9% |
| Repo xuất bản năm 2025 | 92.4% |
| Trending Skills (Kỹ năng mới) | Lên tới 100% |
Tại sao các công cụ AI lại dễ tổn thương?
Các công cụ như Cursor, GitHub Copilot hay Windsurf thường được cấp quyền truy cập cao vào dòng lệnh (command line) để thực thi mã nguồn. Khi AI "ảo giác" và tải về một gói tin từ một nguồn không xác định, nó thường thực thi các tệp README hoặc các script cài đặt có chứa mã độc (như reverse shell). Điều này tương tự như kỹ thuật typosquatting truyền thống nhưng được khuếch đại bởi khả năng tự động hóa của AI.
Giống như cách chúng ta tối ưu hóa quy trình làm việc, việc hiểu rõ các lỗ hổng bảo mật trong AI cũng quan trọng như việc nắm vững các kỹ thuật tối ưu hóa hiệu ứng cuộn trang hay quản lý các công cụ tích hợp. Sự tiện lợi của AI đi kèm với trách nhiệm kiểm soát chặt chẽ các tài nguyên mà nó truy cập.
Các công cụ bị ảnh hưởng
Nghiên cứu chỉ ra rằng 9 công cụ sau đây đang đối mặt với rủi ro nghiêm trọng:
- Cursor
- Cursor CLI
- Gemini CLI
- Windsurf
- GitHub Copilot
- Cline
- OpenClaw
- ZeroClaw
- NanoClaw
Lời khuyên cho lập trình viên
Các chuyên gia bảo mật nhấn mạnh rằng người dùng không nên đặt niềm tin tuyệt đối vào các tác nhân AI. Việc kiểm tra kỹ lưỡng các đường dẫn, tên repository và các script trước khi cho phép AI thực thi là bắt buộc. Trong tương lai, các nhà phát triển AI cần xây dựng các "guardrails" (hàng rào bảo vệ) cứng rắn hơn để ngăn chặn việc AI tự ý truy cập vào các nguồn không tin cậy.
Việc bảo mật hệ thống khi sử dụng AI cũng quan trọng như việc quản lý các công cụ cộng tác khác như Slackbot. Hãy luôn giữ tư duy "Zero Trust" đối với bất kỳ tài nguyên nào mà AI gợi ý hoặc tự động tải về.
Do you like this post?
Upvote to push this post higher on the community feed
