MinhSec
Writer
Lĩnh vực an ninh mạng vừa bước sang một chương mới đầy nguy hiểm với sự xuất hiện của VoidLink khung phần mềm độc hại tiên tiến đầu tiên được ghi nhận, được xây dựng gần như hoàn toàn bằng trí tuệ nhân tạo.
Khác với những nỗ lực trước đây, khi hacker thiếu kinh nghiệm dùng AI để tạo ra các công cụ tấn công đơn giản, VoidLink đánh dấu một bước ngoặt thực sự. Giờ đây, chỉ với sự hỗ trợ của AI, một cá nhân đơn lẻ cũng có thể phát triển các hệ thống tấn công phức tạp mà trước đây phải cần cả một nhóm lập trình viên chuyên nghiệp.
Các chuyên gia từ lâu đã cảnh báo rằng AI có thể trở thành vũ khí trong tay tội phạm mạng. Mối lo ngại đó đã trở thành hiện thực khi các nhà nghiên cứu của Check Point phát hiện ra VoidLink trong quá trình giám sát hạ tầng điều khiển và giám sát của phần mềm độc hại.
Ngay từ đầu, VoidLink đã gây chú ý nhờ kiến trúc hoàn thiện, thiết kế hiệu quả và các tính năng kỹ thuật tiên tiến. Ban đầu, giới chuyên gia tưởng rằng đây là sản phẩm của một nhóm được đầu tư bài bản, nhưng thực tế lại cho thấy nó được tạo ra bởi một lập trình viên duy nhất, với sự hỗ trợ của AI, và chỉ mất chưa đầy một tuần để hoàn thiện phiên bản hoạt động đầu tiên.
Trong quá trình phân tích, Check Point phát hiện nhiều lỗi bảo mật nghiêm trọng trong hạ tầng điều khiển của VoidLink. Những sai sót này đã vô tình làm lộ toàn bộ quy trình phát triển, bao gồm tài liệu lập kế hoạch, mã nguồn và thông tin liên lạc nội bộ.
Tài liệu bị rò rỉ cho thấy một mô hình AI có tên TRAE SOLO đã tạo ra kế hoạch dự án chi tiết kéo dài 30 tuần, chia thành ba nhóm phát triển mô phỏng, kèm theo lịch trình sprint và tiêu chuẩn lập trình rõ ràng.
Phát hiện này mang đến một cảnh báo đáng lo ngại: một cá nhân có đủ kỹ năng giờ đây có thể tạo ra phần mềm độc hại tinh vi ở quy mô mà trước đây chỉ có các nhóm tội phạm mạng chuyên nghiệp mới làm được.
VoidLink còn sử dụng nhiều kỹ thuật che giấu tiên tiến như rootkit eBPF và LKM để ẩn mình trên các hệ thống bị nhiễm, cùng các mô-đun chuyên dụng nhằm nhắm vào môi trường đám mây và nền tảng container.
Cuối tháng 11/2025, nhà phát triển yêu cầu AI thiết kế khung phần mềm. Chỉ đến đầu tháng 12, VoidLink đã phát triển lên hơn 88.000 dòng mã hoạt động.
Quy trình bắt đầu bằng việc cung cấp cho trợ lý AI TRAE một bộ yêu cầu cơ bản và một khung mã tối thiểu. Từ đó, AI phân tích các yêu cầu này thành kiến trúc chi tiết, chia nhiệm vụ cho ba nhóm giả định làm việc bằng các ngôn ngữ khác nhau, và tạo ra các hướng dẫn mã hóa nghiêm ngặt.
AI cũng xây dựng lịch trình sprint cụ thể, kèm mốc thời gian, danh sách tính năng và tiêu chí kiểm thử. Mỗi sprint tạo ra mã nguồn có thể chạy được, cho phép kiểm thử và tinh chỉnh trước khi chuyển sang giai đoạn tiếp theo.
Cách tiếp cận này giúp nhà phát triển duy trì kiểm soát chất lượng, trong khi để AI đảm nhận phần lớn công việc triển khai phức tạp.
Đáng chú ý, khi các nhà nghiên cứu của Check Point tái tạo lại quy trình bằng cùng công cụ AI và tài liệu bị rò rỉ, họ đã tạo ra mã nguồn gần giống với khung VoidLink gốc, xác nhận rằng toàn bộ dự án thực sự được phát triển dựa trên AI.
Những bằng chứng này đặt ra một câu hỏi đáng lo ngại cho ngành an ninh mạng: còn bao nhiêu khung phần mềm độc hại tinh vi khác đang được tạo ra bằng các phương pháp tương tự, nhưng chưa để lại dấu vết đủ rõ để phát hiện
Khác với những nỗ lực trước đây, khi hacker thiếu kinh nghiệm dùng AI để tạo ra các công cụ tấn công đơn giản, VoidLink đánh dấu một bước ngoặt thực sự. Giờ đây, chỉ với sự hỗ trợ của AI, một cá nhân đơn lẻ cũng có thể phát triển các hệ thống tấn công phức tạp mà trước đây phải cần cả một nhóm lập trình viên chuyên nghiệp.
Các chuyên gia từ lâu đã cảnh báo rằng AI có thể trở thành vũ khí trong tay tội phạm mạng. Mối lo ngại đó đã trở thành hiện thực khi các nhà nghiên cứu của Check Point phát hiện ra VoidLink trong quá trình giám sát hạ tầng điều khiển và giám sát của phần mềm độc hại.
Ngay từ đầu, VoidLink đã gây chú ý nhờ kiến trúc hoàn thiện, thiết kế hiệu quả và các tính năng kỹ thuật tiên tiến. Ban đầu, giới chuyên gia tưởng rằng đây là sản phẩm của một nhóm được đầu tư bài bản, nhưng thực tế lại cho thấy nó được tạo ra bởi một lập trình viên duy nhất, với sự hỗ trợ của AI, và chỉ mất chưa đầy một tuần để hoàn thiện phiên bản hoạt động đầu tiên.
Trong quá trình phân tích, Check Point phát hiện nhiều lỗi bảo mật nghiêm trọng trong hạ tầng điều khiển của VoidLink. Những sai sót này đã vô tình làm lộ toàn bộ quy trình phát triển, bao gồm tài liệu lập kế hoạch, mã nguồn và thông tin liên lạc nội bộ.
Tài liệu bị rò rỉ cho thấy một mô hình AI có tên TRAE SOLO đã tạo ra kế hoạch dự án chi tiết kéo dài 30 tuần, chia thành ba nhóm phát triển mô phỏng, kèm theo lịch trình sprint và tiêu chuẩn lập trình rõ ràng.
Phát hiện này mang đến một cảnh báo đáng lo ngại: một cá nhân có đủ kỹ năng giờ đây có thể tạo ra phần mềm độc hại tinh vi ở quy mô mà trước đây chỉ có các nhóm tội phạm mạng chuyên nghiệp mới làm được.
VoidLink còn sử dụng nhiều kỹ thuật che giấu tiên tiến như rootkit eBPF và LKM để ẩn mình trên các hệ thống bị nhiễm, cùng các mô-đun chuyên dụng nhằm nhắm vào môi trường đám mây và nền tảng container.
Quy trình phát triển phần mềm độc hại dựa trên AI
Điều khiến VoidLink đặc biệt nguy hiểm không chỉ nằm ở khả năng kỹ thuật, mà còn ở cách nó được tạo ra. Nhà phát triển đã áp dụng phương pháp Phát triển dựa trên đặc tả (Spec Driven Development), trong đó AI trước tiên xây dựng một bản thiết kế toàn diện, sau đó viết mã độc theo đúng các thông số đó.Cuối tháng 11/2025, nhà phát triển yêu cầu AI thiết kế khung phần mềm. Chỉ đến đầu tháng 12, VoidLink đã phát triển lên hơn 88.000 dòng mã hoạt động.
Quy trình bắt đầu bằng việc cung cấp cho trợ lý AI TRAE một bộ yêu cầu cơ bản và một khung mã tối thiểu. Từ đó, AI phân tích các yêu cầu này thành kiến trúc chi tiết, chia nhiệm vụ cho ba nhóm giả định làm việc bằng các ngôn ngữ khác nhau, và tạo ra các hướng dẫn mã hóa nghiêm ngặt.
AI cũng xây dựng lịch trình sprint cụ thể, kèm mốc thời gian, danh sách tính năng và tiêu chí kiểm thử. Mỗi sprint tạo ra mã nguồn có thể chạy được, cho phép kiểm thử và tinh chỉnh trước khi chuyển sang giai đoạn tiếp theo.
Cách tiếp cận này giúp nhà phát triển duy trì kiểm soát chất lượng, trong khi để AI đảm nhận phần lớn công việc triển khai phức tạp.
Đáng chú ý, khi các nhà nghiên cứu của Check Point tái tạo lại quy trình bằng cùng công cụ AI và tài liệu bị rò rỉ, họ đã tạo ra mã nguồn gần giống với khung VoidLink gốc, xác nhận rằng toàn bộ dự án thực sự được phát triển dựa trên AI.
Những bằng chứng này đặt ra một câu hỏi đáng lo ngại cho ngành an ninh mạng: còn bao nhiêu khung phần mềm độc hại tinh vi khác đang được tạo ra bằng các phương pháp tương tự, nhưng chưa để lại dấu vết đủ rõ để phát hiện
Nguồn: cybersecuritynews
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
