MinhSec
Writer
AI đang khiến lỗ hổng bảo mật bùng nổ, chuyên gia cảnh báo “cơn sóng CVE” mới đã bắt đầu
Số lượng lỗ hổng bảo mật CVE nhắm vào các thư viện mã nguồn mở đang tăng mạnh trong thời gian gần đây. Tuy nhiên, theo các chuyên gia an ninh mạng, nguyên nhân không hẳn vì chất lượng mã nguồn xuống cấp mà bởi trí tuệ nhân tạo giờ đây đã cực kỳ giỏi trong việc phát hiện những lỗi tồn tại âm thầm suốt nhiều năm.
Theo Aaron Mitchell, CEO của HeroDevs
, sự bùng nổ các lỗ hổng CVE hiện nay không phải hiện tượng nhất thời mà có thể sẽ trở thành “trạng thái bình thường mới” của ngành bảo mật.
Mitchell cho biết các công cụ AI hiện đại như Claude Mythos Preview có thể quét lượng lớn mã nguồn chỉ trong vài phút và nhanh chóng phát hiện các mẫu lỗi bảo mật tiềm ẩn mà trước đây phải mất rất nhiều thời gian để con người tìm ra.
Điều này đồng nghĩa với việc gần như mọi thư viện mã nguồn mở phổ biến giờ đây đều có thể bị “soi lại” liên tục bằng AI để tìm lỗ hổng mới.
Trước đây, quá trình phát hiện và vá lỗ hổng diễn ra tương đối chậm. Nhưng khi AI có thể tự động rà quét và phát hiện lỗi hàng loạt, những người bảo trì dự án phần lớn là tình nguyện viên phải xử lý khối lượng công việc lớn hơn rất nhiều.
Sau khi một lỗ hổng CVE được báo cáo, các nhóm phát triển phải xác minh lỗi, đánh giá mức độ nguy hiểm, viết bản vá và phát hành cập nhật trong thời gian ngắn hơn trước rất nhiều.
Trong khi đó, các nhóm bảo mật doanh nghiệp cũng đang bị “ngập” trong cảnh báo CVE mới. Nhiều tổ chức gặp khó khăn trong việc phân biệt đâu là lỗ hổng thực sự nguy hiểm, đâu chỉ là lỗi mang tính lý thuyết chưa thể khai thác ngoài thực tế.
Ngoài ra, việc xác định chính xác phiên bản thư viện nào đang được sử dụng trong các hệ thống phức tạp cũng trở thành bài toán đau đầu, đặc biệt với các thành phần phụ thuộc gián tiếp trong chuỗi phần mềm.
Ông cho rằng việc hỗ trợ thương mại cho các dự án mã nguồn mở rủi ro cao sẽ ngày càng cần thiết, thay vì chỉ trông chờ vào cộng đồng tình nguyện.
Bên cạnh đó, các tổ chức cũng cần xây dựng quy trình vá lỗi nhanh hơn, xác định rõ trách nhiệm xử lý sự cố và triển khai các bản vá đã được xác minh trong thời gian ngắn nhất có thể.
Giới chuyên gia dự báo số lượng CVE do AI phát hiện sẽ còn tiếp tục tăng mạnh trong thời gian tới khi các mô hình AI ngày càng mạnh hơn trong việc phân tích mã nguồn và tự động nhận diện lỗ hổng bảo mật.
Điều này có thể khiến ngành an ninh mạng bước vào giai đoạn mới, nơi tốc độ phát hiện lỗ hổng nhanh hơn nhiều so với khả năng xử lý của con người.
(securityboulevard)
Số lượng lỗ hổng bảo mật CVE nhắm vào các thư viện mã nguồn mở đang tăng mạnh trong thời gian gần đây. Tuy nhiên, theo các chuyên gia an ninh mạng, nguyên nhân không hẳn vì chất lượng mã nguồn xuống cấp mà bởi trí tuệ nhân tạo giờ đây đã cực kỳ giỏi trong việc phát hiện những lỗi tồn tại âm thầm suốt nhiều năm.
Theo Aaron Mitchell, CEO của HeroDevs
, sự bùng nổ các lỗ hổng CVE hiện nay không phải hiện tượng nhất thời mà có thể sẽ trở thành “trạng thái bình thường mới” của ngành bảo mật.
Mitchell cho biết các công cụ AI hiện đại như Claude Mythos Preview có thể quét lượng lớn mã nguồn chỉ trong vài phút và nhanh chóng phát hiện các mẫu lỗi bảo mật tiềm ẩn mà trước đây phải mất rất nhiều thời gian để con người tìm ra.
Điều này đồng nghĩa với việc gần như mọi thư viện mã nguồn mở phổ biến giờ đây đều có thể bị “soi lại” liên tục bằng AI để tìm lỗ hổng mới.
AI đang tạo áp lực lớn lên hệ sinh thái mã nguồn mở
Các chuyên gia cho rằng sự thay đổi này đang tạo ra áp lực chưa từng có đối với cộng đồng mã nguồn mở.Trước đây, quá trình phát hiện và vá lỗ hổng diễn ra tương đối chậm. Nhưng khi AI có thể tự động rà quét và phát hiện lỗi hàng loạt, những người bảo trì dự án phần lớn là tình nguyện viên phải xử lý khối lượng công việc lớn hơn rất nhiều.
Sau khi một lỗ hổng CVE được báo cáo, các nhóm phát triển phải xác minh lỗi, đánh giá mức độ nguy hiểm, viết bản vá và phát hành cập nhật trong thời gian ngắn hơn trước rất nhiều.
Trong khi đó, các nhóm bảo mật doanh nghiệp cũng đang bị “ngập” trong cảnh báo CVE mới. Nhiều tổ chức gặp khó khăn trong việc phân biệt đâu là lỗ hổng thực sự nguy hiểm, đâu chỉ là lỗi mang tính lý thuyết chưa thể khai thác ngoài thực tế.
Ngoài ra, việc xác định chính xác phiên bản thư viện nào đang được sử dụng trong các hệ thống phức tạp cũng trở thành bài toán đau đầu, đặc biệt với các thành phần phụ thuộc gián tiếp trong chuỗi phần mềm.
Doanh nghiệp có thể phải thay đổi cách hỗ trợ mã nguồn mở
Theo Mitchell, các doanh nghiệp đang phụ thuộc vào mã nguồn mở cần thay đổi tư duy, đặc biệt với các thư viện quan trọng hoặc đã hết vòng đời hỗ trợ.Ông cho rằng việc hỗ trợ thương mại cho các dự án mã nguồn mở rủi ro cao sẽ ngày càng cần thiết, thay vì chỉ trông chờ vào cộng đồng tình nguyện.
Bên cạnh đó, các tổ chức cũng cần xây dựng quy trình vá lỗi nhanh hơn, xác định rõ trách nhiệm xử lý sự cố và triển khai các bản vá đã được xác minh trong thời gian ngắn nhất có thể.
Giới chuyên gia dự báo số lượng CVE do AI phát hiện sẽ còn tiếp tục tăng mạnh trong thời gian tới khi các mô hình AI ngày càng mạnh hơn trong việc phân tích mã nguồn và tự động nhận diện lỗ hổng bảo mật.
Điều này có thể khiến ngành an ninh mạng bước vào giai đoạn mới, nơi tốc độ phát hiện lỗ hổng nhanh hơn nhiều so với khả năng xử lý của con người.
(securityboulevard)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
