Các nhà nghiên cứu tại Đại học California vừa công bố một phát hiện gây chấn động: một số router AI bên thứ ba dành cho các mô hình ngôn ngữ lớn (LLM) đang ẩn chứa những lỗ hổng bảo mật nghiêm trọng, có thể dẫn đến việc đánh cắp tiền điện tử.
Báo cáo chi tiết về các cuộc tấn công trung gian độc hại vào chuỗi cung ứng LLM, được công bố vào thứ Năm, đã tiết lộ bốn vector tấn công chính, bao gồm việc chèn mã độc và trích xuất thông tin đăng nhập nhạy cảm. Đồng tác giả của nghiên cứu, Chaofan Shou, đã cảnh báo trên X rằng “26 router LLM đang âm thầm chèn các lệnh độc hại và đánh cắp thông tin.”
Các tác nhân AI (LLM agents) ngày càng sử dụng các router hoặc trung gian API bên thứ ba để xử lý yêu cầu, tổng hợp quyền truy cập vào các nhà cung cấp dịch vụ lớn như OpenAI, Anthropic và Google. Tuy nhiên, vấn đề nằm ở chỗ, các router này thực hiện việc ngắt kết nối TLS (Bảo mật lớp truyền tải) trên Internet và có quyền truy cập hoàn toàn vào mọi thông điệp dưới dạng văn bản thuần túy.
Điều này có nghĩa là các nhà phát triển sử dụng các tác nhân mã hóa AI như Claude Code để làm việc với hợp đồng thông minh hoặc ví tiền điện tử có thể vô tình chuyển các khóa riêng tư, cụm từ hạt giống và dữ liệu nhạy cảm qua cơ sở hạ tầng router chưa được kiểm định hoặc bảo mật.
**ETH bị đánh cắp từ ví tiền điện tử mồi nhử**
Các nhà nghiên cứu đã tiến hành kiểm tra 28 router trả phí và 400 router miễn phí được thu thập từ các cộng đồng công khai.
Kết quả thật sự đáng báo động: có tới 9 router chủ động chèn mã độc, 2 router triển khai các trình kích hoạt né tránh thích ứng, 17 router truy cập thông tin đăng nhập Amazon Web Services thuộc sở hữu của nhà nghiên cứu, và đáng sợ hơn cả, 1 router đã rút Ether (ETH) từ một khóa riêng tư ví mồi nhử của nhà nghiên cứu.
Các nhà nghiên cứu đã nạp trước vào ví Ethereum “khóa mồi nhử” với số dư danh nghĩa và báo cáo rằng giá trị bị mất trong thí nghiệm dưới 50 USD, nhưng không cung cấp thêm chi tiết như mã giao dịch.
Các tác giả cũng thực hiện hai “nghiên cứu đầu độc” cho thấy rằng ngay cả các router ban đầu không độc hại cũng trở nên nguy hiểm khi chúng tái sử dụng thông tin đăng nhập bị rò rỉ thông qua các kênh chuyển tiếp yếu.
**Khó phân biệt router độc hại**
Các nhà nghiên cứu thừa nhận rằng không dễ để phát hiện khi nào một router là độc hại.
“Ranh giới giữa ‘xử lý thông tin đăng nhập’ và ‘đánh cắp thông tin đăng nhập’ là vô hình đối với người dùng, bởi vì các router vốn dĩ đã đọc các bí mật dưới dạng văn bản thuần túy như một phần của quá trình chuyển tiếp thông thường.”
Một phát hiện đáng lo ngại khác là điều mà các nhà nghiên cứu gọi là “chế độ YOLO.” Đây là một cài đặt trong nhiều khung tác nhân AI, nơi tác nhân tự động thực thi các lệnh mà không yêu cầu người dùng xác nhận từng lệnh một.
Các nhà nghiên cứu cũng phát hiện ra rằng các router vốn hợp pháp trước đây có thể bị vũ khí hóa một cách âm thầm mà ngay cả người điều hành cũng không hề hay biết, trong khi các router miễn phí có thể đang đánh cắp thông tin đăng nhập trong khi vẫn cung cấp quyền truy cập API giá rẻ như một chiêu dụ.
“Các router API LLM đang nằm trên một ranh giới tin cậy cực kỳ quan trọng mà hệ sinh thái hiện tại đang coi là một kênh vận chuyển trong suốt.”
Các nhà nghiên cứu khuyến nghị rằng các nhà phát triển sử dụng tác nhân AI để viết mã nên tăng cường các biện pháp phòng thủ phía client, đặc biệt là không bao giờ để khóa riêng tư hoặc cụm từ hạt giống đi qua một phiên tác nhân AI.
Giải pháp dài hạn là các công ty AI cần ký mã hóa các phản hồi của họ để các hướng dẫn mà tác nhân thực thi có thể được xác minh toán học là đến từ mô hình thực sự.
tienso.org cam kết đưa tin độc lập và minh bạch. Bài viết này được sản xuất theo Chính sách Biên tập của tienso.org và nhằm cung cấp thông tin chính xác, kịp thời. Độc giả được khuyến khích tự mình xác minh thông tin.
