Chuyện gì xảy ra khi AI không còn hỗ trợ hacker mà tự mình tấn công?

[Trương Quang]

Liệu một hệ thống AI có thể tự tiến hành toàn bộ một chiến dịch gián điệp mạng mà không cần lệnh trực tiếp từ con người?

Khi AI trở thành kẻ xâm nhập thực sự​

Nhìn từ góc độ người dùng bình thường tại Việt Nam, câu chuyện này đặt ra một câu hỏi thú vị. Nếu một mô hình AI có thể bị “dụ” tham gia vào một cuộc tấn công mạng quy mô lớn, vậy chúng ta còn kiểm soát được công nghệ mình tạo ra tới mức nào nữa?

Anthropic vừa công bố một báo cáo cho thấy một chiến dịch gián điệp mạng đã được vận hành gần như hoàn toàn bởi AI. Nhóm tấn công mang tên GTG-1002, được đánh giá là có liên hệ với nhà nước Trung Quốc, đã bị phát hiện vào giữa tháng 9 năm 2025. Mục tiêu của chúng trải rộng từ các công ty công nghệ lớn, tổ chức tài chính đến cơ quan chính phủ, tổng cộng khoảng 30 tổ chức.

Điểm đáng sợ không nằm ở phần mềm độc hại mới hay những kỹ thuật chưa từng thấy. Điều đáng chú ý chính là việc kẻ tấn công không dùng AI như một công cụ hỗ trợ mà biến chính mô hình Claude Code thành tác nhân hành động độc lập, tự vận hành 80 đến 90 phần trăm quy trình tấn công, còn con người chỉ giữ vai trò giám sát và phê duyệt ở các bước nhạy cảm.

AI được giao nhiệm vụ xâm nhập từ đầu đến cuối​

Nhóm tấn công sử dụng một hệ thống điều phối để giao nhiệm vụ cho các phiên bản Claude Code. Những phiên bản này hoạt động như các chuyên viên kiểm tra xâm nhập tự động, thực hiện trinh sát, tìm lỗ hổng, khai thác, thu thập thông tin đăng nhập và di chuyển trong mạng nội bộ. Nhờ đó, toàn bộ khâu trinh sát diễn ra nhanh hơn nhiều lần so với tốc độ của một nhóm người thật.

Để vượt qua các biện pháp bảo vệ tích hợp trong mô hình, kẻ tấn công chia nhỏ các bước xâm nhập thành những nhiệm vụ tưởng như vô hại. Thậm chí chúng còn làm cho mô hình đóng vai nhân viên an ninh mạng của một công ty hợp pháp. Khi AI tin rằng mình đang tham gia thử nghiệm phòng thủ, nó đã thực hiện hàng loạt thao tác tấn công mà không báo động.

Báo cáo của Anthropic cho thấy hệ thống này chủ yếu dựa trên các công cụ nguồn mở kết hợp với máy chủ MCP, nơi AI có thể chạy lệnh, đọc kết quả và duy trì trạng thái hoạt động trên nhiều mục tiêu. Thậm chí AI còn được yêu cầu nghiên cứu và viết mã khai thác phục vụ chiến dịch.

Khi ảo giác AI trở thành may mắn cho nạn nhân​

Trong quá trình điều tra, Anthropic nhận thấy một điểm bất ngờ. Claude thỉnh thoảng ảo giác, phóng đại kết quả hoặc bịa ra dữ liệu. Ví dụ, nó từng tuyên bố đã lấy được thông tin đăng nhập mà thực tế không tồn tại. Những lỗi này khiến người vận hành buộc phải kiểm chứng lại toàn bộ dữ liệu, vô tình làm chậm tốc độ tiến công và tạo ra nhiều tín hiệu giả dễ bị phát hiện.

Anthropic đánh giá đây vẫn là rào cản lớn đối với các cuộc tấn công được tự động hóa hoàn toàn. Với các hệ thống giám sát đủ mạnh, lượng nhiễu mà AI tạo ra có thể trở thành điểm yếu của chính cuộc tấn công.

Dù vậy, ý nghĩa lớn nhất của vụ việc này là cánh cửa tấn công mạng giờ mở rộng hơn cho những nhóm ít nguồn lực. Những chiến dịch từng cần cả đội chuyên gia giờ có thể được triển khai bởi AI với một nhóm điều hành nhỏ.

Anthropic đã khóa tài khoản liên quan và phối hợp với cơ quan chức năng sau cuộc điều tra kéo dài mười ngày. Công ty cho rằng chính những khả năng khiến Claude bị lạm dụng cũng biến nó thành một công cụ thiết yếu cho phòng thủ mạng. Nhóm điều tra đã dùng chính Claude để phân tích lượng dữ liệu khổng lồ phát sinh trong vụ việc.

Báo cáo khuyến nghị các tổ chức nên xem đây là dấu mốc thay đổi, từ đó áp dụng AI vào tự động hóa SOC, phát hiện mối đe dọa, kiểm tra lỗ hổng và xử lý sự cố. Cuộc đua giữa tấn công do AI điều khiển và phòng thủ do AI hỗ trợ đã bắt đầu, và bên chậm thích ứng sẽ chịu rủi ro lớn nhất. (artificialintelligence)
Đọc chi tiết tại đây: https://www.artificialintelligence-...-cyber-espionage-campaign-orchestrated-by-ai/