-
09/04/2020
-
118
-
1.244 bài viết
Lỗ hổng trong tiện ích Claude Desktop biến trợ lý AI thành mối đe dọa
Những công cụ trí tuệ nhân tạo như Claude, ChatGPT hay Copilot đang dần trở thành “trợ lý kỹ thuật số” quen thuộc trên máy tính. Nhưng một sự cố nghiêm trọng vừa được phát hiện tại Anthropic (công ty đứng sau Claude) đã gióng lên hồi chuông cảnh báo về một rủi ro ít ai ngờ tới. Ngay cả phần mềm chính chủ, được phát hành bởi nhà phát triển uy tín, cũng có thể trở thành cánh cửa cho tin tặc chiếm quyền kiểm soát hệ thống.
Ba tiện ích mở rộng chính thức của Claude Desktop, gồm: Chrome, iMessage và Apple Notes được tải về hơn 350.000 lần, đã bị phát hiện chứa lỗ hổng thực thi mã từ xa cực kỳ nguy hiểm, cho phép kẻ tấn công chiếm quyền điều khiển máy tính chỉ bằng một câu hỏi tưởng chừng vô hại. Vụ việc này không chỉ là một lỗi kỹ thuật, mà còn là sự cảnh báo về mức độ an toàn của hệ sinh thái mở rộng AI đang bùng nổ hiện nay.
Lỗi này xuất phát từ lỗ hổng chèn lệnh, một sai sót lập trình đã được biết đến từ hàng chục năm, nhưng lần này lại xuất hiện ngay trong sản phẩm AI cao cấp. Khác với mã độc hay lừa đảo cần người dùng bấm nhầm, lỗ hổng này có thể bị khai thác ngay trong quá trình trò chuyện thông thường.
Ví dụ, một người chỉ hỏi Claude: “Chỗ nào chơi paddle ở Brooklyn?”, tưởng như 1 câu hỏi vô hại. Nhưng nếu Claude truy cập vào một trang web có chứa mã độc được cài cắm khéo léo, hệ thống có thể ngay lập tức thực thi lệnh trái phép, cho phép tin tặc truy cập vào khóa SSH, mật khẩu trình duyệt hoặc thông tin AWS của người dùng mà họ hoàn toàn không hay biết.
Nguyên nhân nằm ở việc các tiện ích của Claude Desktop chạy với toàn quyền hệ thống, khác hẳn các extension của Chrome vốn bị giới hạn quyền.
Cụ thể, các extension của Anthropic nhận và xử lý đầu vào người dùng thông qua AppleScript, nhưng không hề lọc hay “escape” ký tự đặc biệt, cho phép hacker “thoát chuỗi” và chèn mã độc vào ngay trong lệnh. Chỉ cần Claude truy cập một trang web chứa payload đặc biệt, lệnh độc hại có thể được thực thi trực tiếp trên máy tính của người dùng, tạo ra chuỗi tấn công từ nội dung web đến hệ thống cục bộ.
Anthropic đã xếp lỗ hổng này ở mức độ nghiêm trọng cao (CVSS 8,9) và phát hành bản vá khẩn cấp. Nhưng vấn đề không dừng lại ở ba tiện ích chính thức. Hệ sinh thái Model Context Protocol (MCP) đang mở rộng nhanh chóng, với hàng loạt extension được tạo bởi AI hỗ trợ lập trình và chưa qua kiểm duyệt bảo mật nghiêm ngặt.
Điều này biến MCP thành mảnh đất màu mỡ cho hacker, khi nhiều tiện ích mới cũng có thể sở hữu quyền hệ thống tương tự, nhưng không được kiểm tra kỹ như sản phẩm gốc. Người dùng cần hiểu rằng các tiện ích AI desktop không hoạt động như add-on trình duyệt thông thường, chúng có quyền truy cập trực tiếp vào hệ thống, đồng nghĩa với việc một lỗi nhỏ cũng có thể dẫn đến thảm họa.
Khuyến cáo từ các chuyên gia tới người dùng:
Lỗi này xuất phát từ lỗ hổng chèn lệnh, một sai sót lập trình đã được biết đến từ hàng chục năm, nhưng lần này lại xuất hiện ngay trong sản phẩm AI cao cấp. Khác với mã độc hay lừa đảo cần người dùng bấm nhầm, lỗ hổng này có thể bị khai thác ngay trong quá trình trò chuyện thông thường.
Ví dụ, một người chỉ hỏi Claude: “Chỗ nào chơi paddle ở Brooklyn?”, tưởng như 1 câu hỏi vô hại. Nhưng nếu Claude truy cập vào một trang web có chứa mã độc được cài cắm khéo léo, hệ thống có thể ngay lập tức thực thi lệnh trái phép, cho phép tin tặc truy cập vào khóa SSH, mật khẩu trình duyệt hoặc thông tin AWS của người dùng mà họ hoàn toàn không hay biết.
Nguyên nhân nằm ở việc các tiện ích của Claude Desktop chạy với toàn quyền hệ thống, khác hẳn các extension của Chrome vốn bị giới hạn quyền.
Cụ thể, các extension của Anthropic nhận và xử lý đầu vào người dùng thông qua AppleScript, nhưng không hề lọc hay “escape” ký tự đặc biệt, cho phép hacker “thoát chuỗi” và chèn mã độc vào ngay trong lệnh. Chỉ cần Claude truy cập một trang web chứa payload đặc biệt, lệnh độc hại có thể được thực thi trực tiếp trên máy tính của người dùng, tạo ra chuỗi tấn công từ nội dung web đến hệ thống cục bộ.
Anthropic đã xếp lỗ hổng này ở mức độ nghiêm trọng cao (CVSS 8,9) và phát hành bản vá khẩn cấp. Nhưng vấn đề không dừng lại ở ba tiện ích chính thức. Hệ sinh thái Model Context Protocol (MCP) đang mở rộng nhanh chóng, với hàng loạt extension được tạo bởi AI hỗ trợ lập trình và chưa qua kiểm duyệt bảo mật nghiêm ngặt.
Điều này biến MCP thành mảnh đất màu mỡ cho hacker, khi nhiều tiện ích mới cũng có thể sở hữu quyền hệ thống tương tự, nhưng không được kiểm tra kỹ như sản phẩm gốc. Người dùng cần hiểu rằng các tiện ích AI desktop không hoạt động như add-on trình duyệt thông thường, chúng có quyền truy cập trực tiếp vào hệ thống, đồng nghĩa với việc một lỗi nhỏ cũng có thể dẫn đến thảm họa.
Khuyến cáo từ các chuyên gia tới người dùng:
- Cập nhật ngay các phiên bản vá mới nhất của các tiện ích Claude Desktop.
- Hạn chế cài đặt extension từ nguồn không chính thức hoặc chưa được đánh giá bảo mật.
- Doanh nghiệp và cá nhân nên triển khai giám sát hành vi (EDR) để phát hiện sớm các hành động lạ từ tiện ích AI.
WhiteHat