MinhSec
Writer
Số lượng lỗ hổng bảo mật trong các thư viện mã nguồn mở đang tăng mạnh, nhưng nguyên nhân không hẳn vì phần mềm ngày càng kém an toàn hơn. Theo nhiều chuyên gia an ninh mạng, các công cụ AI mới đang trở nên cực kỳ hiệu quả trong việc “đào bới” những lỗ hổng đã tồn tại âm thầm suốt nhiều năm mà trước đây rất khó phát hiện.
Aaron Mitchell, CEO của HeroDevs, cho biết các hệ thống AI như Claude Mythos Preview hay các công cụ quét mã nguồn hỗ trợ trí tuệ nhân tạo giờ đây có thể rà soát hàng triệu dòng code chỉ trong vài phút. Điều này khiến gần như mọi thư viện mã nguồn mở phổ biến đều có nguy cơ bị “kiểm tra lại” liên tục bằng tự động hóa.
Trước đây, việc tìm ra lỗi trong mã nguồn mở thường phụ thuộc vào các nhà nghiên cứu hoặc lập trình viên kiểm tra thủ công, mất rất nhiều thời gian. Nhưng hiện nay, AI có thể tự động phát hiện các mẫu code nguy hiểm, xác định điểm yếu tiềm ẩn và đề xuất khả năng khai thác gần như tức thời.
Điều đáng lo là nhiều thư viện mã nguồn mở quan trọng đang được duy trì bởi các nhóm nhỏ hoặc thậm chí chỉ vài tình nguyện viên. Khi số lượng cảnh báo bảo mật tăng đột biến, những người bảo trì này phải đối mặt với áp lực rất lớn trong việc xác minh, vá lỗi và phát hành bản cập nhật kịp thời.
Trong khi đó, các doanh nghiệp sử dụng mã nguồn mở cũng rơi vào tình trạng “ngập” cảnh báo CVE. Nhiều đội ngũ bảo mật đang gặp khó khăn trong việc xác định lỗ hổng nào thực sự nguy hiểm, lỗ hổng nào chỉ mang tính lý thuyết và hệ thống nào trong nội bộ doanh nghiệp thực sự bị ảnh hưởng.
Điều này buộc doanh nghiệp phải thay đổi tư duy về mã nguồn mở. Theo Mitchell, việc phụ thuộc vào các thư viện quan trọng nhưng không đầu tư hỗ trợ cho cộng đồng duy trì chúng sẽ trở thành rủi ro lớn trong tương lai.
Ông cho rằng các công ty cần xây dựng quy trình vá lỗi nhanh hơn, theo dõi chặt chẽ các thành phần phụ thuộc và có kế hoạch hỗ trợ thương mại cho những thư viện đã cũ nhưng vẫn đang được sử dụng rộng rãi.
Nhiều chuyên gia cũng cảnh báo rằng số lượng CVE được công bố có thể sẽ còn tiếp tục tăng mạnh trong thời gian tới, không phải vì phần mềm trở nên tệ hơn, mà vì AI đang khiến những “điểm mù” bảo mật lâu năm không còn chỗ để ẩn náu nữa.
Aaron Mitchell, CEO của HeroDevs, cho biết các hệ thống AI như Claude Mythos Preview hay các công cụ quét mã nguồn hỗ trợ trí tuệ nhân tạo giờ đây có thể rà soát hàng triệu dòng code chỉ trong vài phút. Điều này khiến gần như mọi thư viện mã nguồn mở phổ biến đều có nguy cơ bị “kiểm tra lại” liên tục bằng tự động hóa.
AI đang khiến “bom nổ chậm” trong mã nguồn mở bị lộ diện
Theo Mitchell, sự bùng nổ các lỗ hổng CVE không phải hiện tượng nhất thời mà có thể sẽ trở thành trạng thái bình thường mới của ngành bảo mật.
Trước đây, việc tìm ra lỗi trong mã nguồn mở thường phụ thuộc vào các nhà nghiên cứu hoặc lập trình viên kiểm tra thủ công, mất rất nhiều thời gian. Nhưng hiện nay, AI có thể tự động phát hiện các mẫu code nguy hiểm, xác định điểm yếu tiềm ẩn và đề xuất khả năng khai thác gần như tức thời.
Điều đáng lo là nhiều thư viện mã nguồn mở quan trọng đang được duy trì bởi các nhóm nhỏ hoặc thậm chí chỉ vài tình nguyện viên. Khi số lượng cảnh báo bảo mật tăng đột biến, những người bảo trì này phải đối mặt với áp lực rất lớn trong việc xác minh, vá lỗi và phát hành bản cập nhật kịp thời.
Trong khi đó, các doanh nghiệp sử dụng mã nguồn mở cũng rơi vào tình trạng “ngập” cảnh báo CVE. Nhiều đội ngũ bảo mật đang gặp khó khăn trong việc xác định lỗ hổng nào thực sự nguy hiểm, lỗ hổng nào chỉ mang tính lý thuyết và hệ thống nào trong nội bộ doanh nghiệp thực sự bị ảnh hưởng.
Kỷ nguyên mới của bảo mật mã nguồn mở
Các chuyên gia cho rằng AI đang thay đổi hoàn toàn cách ngành an ninh mạng vận hành. Nếu trước đây một lỗ hổng có thể tồn tại nhiều năm mà không ai để ý, thì nay các công cụ AI có thể phát hiện ra chúng gần như ngay lập tức.Điều này buộc doanh nghiệp phải thay đổi tư duy về mã nguồn mở. Theo Mitchell, việc phụ thuộc vào các thư viện quan trọng nhưng không đầu tư hỗ trợ cho cộng đồng duy trì chúng sẽ trở thành rủi ro lớn trong tương lai.
Ông cho rằng các công ty cần xây dựng quy trình vá lỗi nhanh hơn, theo dõi chặt chẽ các thành phần phụ thuộc và có kế hoạch hỗ trợ thương mại cho những thư viện đã cũ nhưng vẫn đang được sử dụng rộng rãi.
Nhiều chuyên gia cũng cảnh báo rằng số lượng CVE được công bố có thể sẽ còn tiếp tục tăng mạnh trong thời gian tới, không phải vì phần mềm trở nên tệ hơn, mà vì AI đang khiến những “điểm mù” bảo mật lâu năm không còn chỗ để ẩn náu nữa.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
