-
09/04/2020
-
122
-
1.393 bài viết
Hơn 30 lỗ hổng phơi bày mặt tối của AI trong các công cụ lập trình
Các nhà nghiên cứu bảo mật vừa công bố hơn 30 lỗ hổng nghiêm trọng trong những môi trường lập trình tích hợp AI hay còn gọi là IDE (Integrated Development Environment) - phần mềm mà lập trình viên dùng để viết mã, quản lý dự án và chạy thử chương trình. Những lỗi này cho phép kẻ tấn công đánh cắp dữ liệu và thậm chí chiếm quyền điều khiển máy tính chỉ bằng cách thao túng các mô hình AI bên trong IDE.
Nhóm lỗ hổng được đặt tên là IDEsaster ảnh hưởng tới nhiều công cụ đang thịnh hành như Cursor, Windsurf, GitHub Copilot, Zed.dev, Roo Code, Junie hay Kiro.dev. Điều gây bất ngờ nhất là mọi IDE tích hợp AI được kiểm tra đều tồn tại các chuỗi tấn công giống nhau, cho thấy các công cụ AI này gần như bỏ qua những rủi ro xuất phát từ chính IDE vốn được xem là an toàn từ trước đến nay.
Vấn đề trở nên nghiêm trọng khi AI agent trong IDE được trao quyền tự động thực hiện hành động mà không cần người dùng xác nhận. Những thao tác quen thuộc như đọc file, chỉnh sửa file cấu hình hay tải dữ liệu từ Internet vì thế có thể bị kẻ tấn công lợi dụng để triển khai các tác vụ độc hại. Mọi chuyện thường bắt đầu từ một cú prompt injection khi một đoạn văn bản ẩn trong URL, tên file, README hoặc thậm chí một ký tự vô hình len vào bối cảnh làm việc của mô hình.
Trong tình huống đó, hệ thống AI không thể phân biệt đâu là yêu cầu hợp lệ của người dùng và đâu là chỉ dẫn giả mạo, nên nó vô tình thực thi chính các lệnh độc hại mà kẻ tấn công cài vào.
Từ đó, chuỗi tấn công có thể diễn ra một cách âm thầm. AI có thể bị dụ đọc các tệp nhạy cảm trên máy và vô tình gửi chúng ra ngoài thông qua một file JSON trỏ tới máy chủ của kẻ tấn công. Nguy hiểm hơn, AI có thể tự ý chỉnh sửa file cấu hình của IDE, chẳng hạn thay đổi đường dẫn trình chạy PHP hoặc Git để trỏ tới một file chứa mã độc. Chỉ cần IDE khởi động, đoạn mã độc này sẽ lập tức được kích hoạt mà người dùng không biết. Một số trường hợp nghiêm trọng còn cho phép kẻ tấn công ghi đè toàn bộ cấu hình workspace, mở đường cho việc thực thi mã từ xa mà không cần bất kỳ thao tác nào từ phía người dùng.
Điều đáng lo ngại là hầu hết IDE đều mặc định cho phép AI chỉnh sửa file trong dự án nhằm tối ưu hóa trải nghiệm lập trình. Chính sự tiện lợi này lại trở thành điểm yếu: chỉ một đoạn lệnh ẩn lọt vào bối cảnh, AI có thể tự động ghi những thay đổi nguy hiểm vào môi trường làm việc.
Không chỉ IDEsaster gây chú ý mà nhiều công cụ AI khác cũng liên tiếp lộ ra các lỗ hổng tương tự. OpenAI Codex CLI bị phát hiện cho phép thực thi lệnh thông qua file cấu hình bị can thiệp, Google Antigravity có thể bị lợi dụng để trích xuất dữ liệu mật bằng prompt độc hại trong khi lớp tấn công mới mang tên PromptPwnd cho thấy AI agent trong GitHub Actions hay GitLab CI/CD cũng có nguy cơ bị dụ chạy lệnh đặc quyền dẫn đến rò rỉ thông tin hoặc chiếm quyền điều khiển hệ thống.
Những phát hiện này cho thấy việc tích hợp AI vào quy trình phát triển phần mềm tuy giúp tăng tốc độ làm việc nhưng đồng thời cũng mở rộng đáng kể bề mặt tấn công. Bất kỳ nội dung nào AI có thể “đọc” từ tài liệu, bình luận trong mã nguồn cho đến các liên kết được dán vào IDE đều có thể trở thành nơi ẩn giấu chỉ thị độc hại.
Khi AI không thể phân biệt đâu là yêu cầu hợp lệ và đâu là bẫy, rủi ro bảo mật trở nên khó dự đoán hơn bao giờ hết. Thực tế này cho thấy giới công nghệ cần một tư duy an ninh mới gọi là “Secure for AI”: thiết kế sản phẩm không chỉ an toàn theo chuẩn truyền thống mà còn phải dự liệu cách các thành phần AI có thể bị khai thác trong tương lai. Khi AI ngày càng giữ vai trò trung tâm trong công việc lập trình, nguyên tắc này rất có thể sẽ trở thành nền tảng để bảo vệ toàn bộ hệ sinh thái công nghệ.
Theo The Hacker News
Nhóm lỗ hổng được đặt tên là IDEsaster ảnh hưởng tới nhiều công cụ đang thịnh hành như Cursor, Windsurf, GitHub Copilot, Zed.dev, Roo Code, Junie hay Kiro.dev. Điều gây bất ngờ nhất là mọi IDE tích hợp AI được kiểm tra đều tồn tại các chuỗi tấn công giống nhau, cho thấy các công cụ AI này gần như bỏ qua những rủi ro xuất phát từ chính IDE vốn được xem là an toàn từ trước đến nay.
Vấn đề trở nên nghiêm trọng khi AI agent trong IDE được trao quyền tự động thực hiện hành động mà không cần người dùng xác nhận. Những thao tác quen thuộc như đọc file, chỉnh sửa file cấu hình hay tải dữ liệu từ Internet vì thế có thể bị kẻ tấn công lợi dụng để triển khai các tác vụ độc hại. Mọi chuyện thường bắt đầu từ một cú prompt injection khi một đoạn văn bản ẩn trong URL, tên file, README hoặc thậm chí một ký tự vô hình len vào bối cảnh làm việc của mô hình.
Trong tình huống đó, hệ thống AI không thể phân biệt đâu là yêu cầu hợp lệ của người dùng và đâu là chỉ dẫn giả mạo, nên nó vô tình thực thi chính các lệnh độc hại mà kẻ tấn công cài vào.
Từ đó, chuỗi tấn công có thể diễn ra một cách âm thầm. AI có thể bị dụ đọc các tệp nhạy cảm trên máy và vô tình gửi chúng ra ngoài thông qua một file JSON trỏ tới máy chủ của kẻ tấn công. Nguy hiểm hơn, AI có thể tự ý chỉnh sửa file cấu hình của IDE, chẳng hạn thay đổi đường dẫn trình chạy PHP hoặc Git để trỏ tới một file chứa mã độc. Chỉ cần IDE khởi động, đoạn mã độc này sẽ lập tức được kích hoạt mà người dùng không biết. Một số trường hợp nghiêm trọng còn cho phép kẻ tấn công ghi đè toàn bộ cấu hình workspace, mở đường cho việc thực thi mã từ xa mà không cần bất kỳ thao tác nào từ phía người dùng.
Điều đáng lo ngại là hầu hết IDE đều mặc định cho phép AI chỉnh sửa file trong dự án nhằm tối ưu hóa trải nghiệm lập trình. Chính sự tiện lợi này lại trở thành điểm yếu: chỉ một đoạn lệnh ẩn lọt vào bối cảnh, AI có thể tự động ghi những thay đổi nguy hiểm vào môi trường làm việc.
Không chỉ IDEsaster gây chú ý mà nhiều công cụ AI khác cũng liên tiếp lộ ra các lỗ hổng tương tự. OpenAI Codex CLI bị phát hiện cho phép thực thi lệnh thông qua file cấu hình bị can thiệp, Google Antigravity có thể bị lợi dụng để trích xuất dữ liệu mật bằng prompt độc hại trong khi lớp tấn công mới mang tên PromptPwnd cho thấy AI agent trong GitHub Actions hay GitLab CI/CD cũng có nguy cơ bị dụ chạy lệnh đặc quyền dẫn đến rò rỉ thông tin hoặc chiếm quyền điều khiển hệ thống.
Những phát hiện này cho thấy việc tích hợp AI vào quy trình phát triển phần mềm tuy giúp tăng tốc độ làm việc nhưng đồng thời cũng mở rộng đáng kể bề mặt tấn công. Bất kỳ nội dung nào AI có thể “đọc” từ tài liệu, bình luận trong mã nguồn cho đến các liên kết được dán vào IDE đều có thể trở thành nơi ẩn giấu chỉ thị độc hại.
Khi AI không thể phân biệt đâu là yêu cầu hợp lệ và đâu là bẫy, rủi ro bảo mật trở nên khó dự đoán hơn bao giờ hết. Thực tế này cho thấy giới công nghệ cần một tư duy an ninh mới gọi là “Secure for AI”: thiết kế sản phẩm không chỉ an toàn theo chuẩn truyền thống mà còn phải dự liệu cách các thành phần AI có thể bị khai thác trong tương lai. Khi AI ngày càng giữ vai trò trung tâm trong công việc lập trình, nguyên tắc này rất có thể sẽ trở thành nền tảng để bảo vệ toàn bộ hệ sinh thái công nghệ.
Theo The Hacker News