-
09/04/2020
-
128
-
1.624 bài viết
Lỗ hổng RoguePilot: AI của GitHub có thể bị lợi dụng để đánh cắp quyền truy cập mã nguồn
Các chuyên gia an ninh mạng vừa công bố một lỗ hổng nghiêm trọng mang tên RoguePilot ảnh hưởng trực tiếp đến GitHub Codespaces và trợ lý lập trình AI GitHub Copilot. Lỗ hổng này đã được Microsoft khắc phục sau khi nhận được báo cáo theo quy trình công bố có trách nhiệm.
Theo phân tích kỹ thuật, RoguePilot không khai thác lỗi phần mềm theo cách truyền thống mà lợi dụng prompt injection gián tiếp, một kỹ thuật tấn công mới nhắm vào các hệ thống AI. Kẻ tấn công có thể nhúng chỉ dẫn độc hại vào nội dung tưởng như vô hại, cụ thể là trong một GitHub Issue. Khi lập trình viên mở Codespaces trực tiếp từ Issue này, GitHub Copilot sẽ tự động đọc toàn bộ nội dung Issue làm “prompt” để hỗ trợ sinh mã.
Vấn đề phát sinh khi các chỉ dẫn độc hại được giấu kín trong mã HTML comment (<!-- -->), khiến con người khó nhận ra nhưng AI vẫn “đọc” và làm theo. Trong kịch bản xấu nhất, Copilot có thể bị thao túng để đọc các tệp nội bộ trong Codespace, lấy GITHUB_TOKEN – token có quyền truy cập kho mã và âm thầm gửi token này về máy chủ do kẻ tấn công kiểm soát.
Một khi chiếm được GITHUB_TOKEN, tin tặc có thể truy cập, chỉnh sửa mã nguồn, tạo pull request độc hại hoặc cài cắm backdoor, từ đó mở đường cho tấn công chuỗi cung ứng phần mềm. Toàn bộ quá trình này có thể diễn ra hoàn toàn âm thầm, không tạo ra cảnh báo rõ ràng nào cho lập trình viên.
Đây là sự cố nghiêm trọng ở mức cao bởi kẻ tấn công không cần khai thác lỗ hổng kỹ thuật phức tạp, chỉ cần lợi dụng nội dung văn bản và sự tin cậy ngày càng lớn của con người vào AI trong quy trình DevOps. Nguy cơ này đặc biệt đáng lo với các dự án mã nguồn mở và doanh nghiệp sử dụng Codespaces ở quy mô lớn.
RoguePilot cũng phản ánh một xu hướng rộng hơn: prompt injection đang tiến hóa thành “promptware”, dạng “mã độc” mới kích hoạt bằng câu lệnh AI có thể thực hiện nhiều giai đoạn của một cuộc tấn công mạng, từ xâm nhập ban đầu, leo thang đặc quyền cho tới đánh cắp dữ liệu và điều khiển từ xa. Điều này cho thấy AI không còn chỉ là công cụ hỗ trợ, mà đã trở thành một bề mặt tấn công mới.
Lập trình viên và doanh nghiệp Việt Nam cần thận trọng hơn khi sử dụng AI trong phát triển phần mềm: hạn chế mở Codespaces từ các Issue không rõ nguồn gốc, kiểm soát chặt quyền và phạm vi của token, không “mù quáng” tin vào hành vi tự động của AI, đồng thời cập nhật chính sách bảo mật phù hợp khi triển khai AI trong DevOps.
RoguePilot cũng phản ánh một xu hướng rộng hơn: prompt injection đang tiến hóa thành “promptware”, dạng “mã độc” mới kích hoạt bằng câu lệnh AI có thể thực hiện nhiều giai đoạn của một cuộc tấn công mạng, từ xâm nhập ban đầu, leo thang đặc quyền cho tới đánh cắp dữ liệu và điều khiển từ xa. Điều này cho thấy AI không còn chỉ là công cụ hỗ trợ, mà đã trở thành một bề mặt tấn công mới.
Lập trình viên và doanh nghiệp Việt Nam cần thận trọng hơn khi sử dụng AI trong phát triển phần mềm: hạn chế mở Codespaces từ các Issue không rõ nguồn gốc, kiểm soát chặt quyền và phạm vi của token, không “mù quáng” tin vào hành vi tự động của AI, đồng thời cập nhật chính sách bảo mật phù hợp khi triển khai AI trong DevOps.
Theo The Hacker News