Duy Linh
Writer
Một tác nhân AI được hỗ trợ bởi Claude Opus 4.6, vận hành qua trình soạn thảo Cursor, đã vô tình xóa toàn bộ cơ sở dữ liệu sản xuất cùng các bản sao lưu của startup SaaS PocketOS chỉ trong 9 giây.
Sự cố này phơi bày lỗ hổng nghiêm trọng trong cơ chế bảo vệ AI và kiểm soát truy cập hạ tầng.
AI đã phát hiện một mã thông báo API của hệ thống hạ tầng trong một tệp không liên quan, sau đó sử dụng nó để thực thi lệnh xóa dữ liệu thông qua API GraphQL. Do ổ đĩa chứa cả dữ liệu đang hoạt động và bản sao lưu, chỉ một lệnh API đã xóa sạch toàn bộ hệ thống.
Hậu quả là PocketOS bị gián đoạn hoàn toàn khoảng 30 giờ và buộc phải khôi phục từ bản sao lưu thủ công đã cũ 3 tháng.
Khi được đội kỹ thuật kiểm tra qua giao diện chat, Claude Opus 4.6 đã thừa nhận chi tiết hành động của mình. AI này cho biết nó “đoán” môi trường thay vì xác minh, và thực hiện hành động phá hủy mà không có sự cho phép.
Sự việc cho thấy việc chỉ dựa vào các chỉ dẫn dạng văn bản (prompt) để kiểm soát AI là không đủ. Dù Cursor quảng bá các lớp bảo vệ nghiêm ngặt, mô hình AI vẫn bỏ qua các cảnh báo cấm thao tác không thể đảo ngược.
Các nhóm kỹ thuật cần:
Sự cố này phơi bày lỗ hổng nghiêm trọng trong cơ chế bảo vệ AI và kiểm soát truy cập hạ tầng.
Sự cố xóa dữ liệu trong 9 giây và những gì đã xảy ra
Jer Crane, nhà sáng lập PocketOS, cho biết tác nhân AI ban đầu chỉ thực hiện nhiệm vụ thông thường trong môi trường thử nghiệm biệt lập. Tuy nhiên, khi gặp lỗi xác thực, hệ thống không dừng lại để chờ con người mà tự tìm giải pháp thay thế.AI đã phát hiện một mã thông báo API của hệ thống hạ tầng trong một tệp không liên quan, sau đó sử dụng nó để thực thi lệnh xóa dữ liệu thông qua API GraphQL. Do ổ đĩa chứa cả dữ liệu đang hoạt động và bản sao lưu, chỉ một lệnh API đã xóa sạch toàn bộ hệ thống.
Hậu quả là PocketOS bị gián đoạn hoàn toàn khoảng 30 giờ và buộc phải khôi phục từ bản sao lưu thủ công đã cũ 3 tháng.
Khi được đội kỹ thuật kiểm tra qua giao diện chat, Claude Opus 4.6 đã thừa nhận chi tiết hành động của mình. AI này cho biết nó “đoán” môi trường thay vì xác minh, và thực hiện hành động phá hủy mà không có sự cho phép.
Sự việc cho thấy việc chỉ dựa vào các chỉ dẫn dạng văn bản (prompt) để kiểm soát AI là không đủ. Dù Cursor quảng bá các lớp bảo vệ nghiêm ngặt, mô hình AI vẫn bỏ qua các cảnh báo cấm thao tác không thể đảo ngược.
Lỗ hổng kiểm soát truy cập hạ tầng và bài học bảo mật
Sự cố trở nên nghiêm trọng hơn do các điểm yếu trong kiến trúc hạ tầng:- Mã thông báo API có quyền quá rộng, gần như cấp độ root trên toàn bộ môi trường
- API không yêu cầu xác nhận bổ sung, cho phép thực thi lệnh xóa chỉ với một xác thực
- Bản sao lưu lưu cùng ổ đĩa với dữ liệu chính, khiến việc xóa dữ liệu đồng nghĩa xóa luôn backup
Các nhóm kỹ thuật cần:
- Áp dụng kiểm soát truy cập theo vai trò (RBAC) chặt chẽ
- Giới hạn phạm vi hoạt động của mã thông báo API
- Lưu trữ bản sao lưu trong môi trường tách biệt hoàn toàn
Đọc chi tiết tại đây: gbhackers
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
