4 cuộc tấn công chuỗi cung ứng AI trong 50 ngày: Lỗ hổng nghiêm trọng trong quy trình phát hành mà các đội đỏ bỏ qua

Trong vòng 50 ngày, bốn sự cố chuỗi cung ứng nghiêm trọng đã đánh vào các "gã khổng lồ" AI như OpenAI, Anthropic và Meta. Điểm đáng báo động là không một cuộc tấn công nào nhắm trực tiếp vào mô hình AI (model). Thay vào đó, tất cả đều khai thác cùng một lỗ hổng: quy trình phát hành (release pipeline), các hook phụ thuộc, CI runners và cơ chế đóng gói — những thứ mà không một thẻ hệ thống (system card), đánh giá của AISI hay bài tập red team nào từng bao quát.

Vào ngày 11 tháng 5 năm 2026, một sâu tự lan truyền tên là Mini Shai-Hulud đã công bố 84 phiên bản gói độc hại trên 42 gói npm @tanstack/* chỉ trong vòng 6 phút. Con sâu này lợi dụng file release.yml, chuỗi lại lỗi cấu hình pull_request_target, đầu độc cache GitHub Actions và trích xuất token OIDC từ bộ nhớ của runner để chiếm đoạt pipeline phát hành đáng tin cậy của TanStack.

Điều đáng sợ là các gói này mang theo chứng thực SLSA Build Level 3 hợp lệ vì chúng được xuất bản từ đúng kho lưu trữ, bằng đúng quy trình làm việc, sử dụng token OIDC được đúc chính thống. Không cần đánh cắp mật khẩu của người bảo trì, không cần chặn nhắc 2FA. Mô hình tin cậy hoạt động chính xác như thiết kế nhưng vẫn sản sinh ra 84 tạo vật độc hại.

Hai ngày sau, OpenAI xác nhận rằng hai thiết bị của nhân viên đã bị xâm phạm và dữ liệu đăng nhập đã bị đánh cắp từ các kho lưu trữ mã nội bộ. OpenAI đang thu hồi chứng nhận bảo mật macOS và buộc tất cả người dùng máy tính để bàn phải cập nhật trước ngày 12 tháng 6 năm 2026. Đây là hồ sơ phản ứng của một vụ vi phạm pipeline xây dựng (build-pipeline), không phải là sự cố an toàn mô hình.

Bốn sự cố, một phát hiện

Các đội đỏ (red teams) kiểm tra mô hình không bao phủ các quy trình phát hành. Bốn sự cố dưới đây là bằng chứng cho một phát kiến kiến trúc duy nhất cần phải có trong mọi bảng câu hỏi của nhà cung cấp AI.

1. Tiêm lệnh OpenAI Codex (Tiết lộ ngày 30/3/2026)

Nhà nghiên cứu Tyler Jespersen từ BeyondTrust Phantom Labs phát hiện rằng OpenAI Codex chuyển tên nhánh GitHub trực tiếp vào các lệnh shell mà không có bất kỳ sự khử độc hại nào. Kẻ tấn công có thể tiêm dấu chấm phẩy và một subshell backtick vào tên nhánh, và vùng chứa Codex sẽ thực thi nó, trả về token OAuth GitHub của nạn nhân dưới dạng văn bản thuần túy. Lỗi này ảnh hưởng đến trang web ChatGPT, Codex CLI, Codex SDK và tiện ích mở rộng IDE.

2. Đầu độc chuỗi cung ứng LiteLLM và vụ vi phạm Mercor (24–27/3/2026)

Nhóm đe dọa TeamPCP đã sử dụng thông tin đăng nhập bị đánh cắp từ sự cố trước đó của trình quét lỗ hổng Trivy (Aqua Security) để công bố hai phiên bản bị đầu độc của gói Python LiteLLM lên PyPI. LiteLLM là một cổng proxy LLM mã nguồn mở được sử dụng rộng rãi. Các phiên bản độc hại tồn tại khoảng 40 phút và nhận được gần 47.000 lượt tải xuống trước khi PyPI cách ly chúng.

Tác động lan truyền xuống dưới đến Mercor, startup dữ liệu AI trị giá 10 tỷ USD cung cấp dữ liệu huấn luyện cho Meta, OpenAI và Anthropic. Kết quả là 4 terabyte dữ liệu bị đánh cắp, bao gồm cả tài liệu tham khảo phương pháp huấn luyện độc quyền của Meta. Meta đã đóng băng hợp tác vô thời hạn.

3. Rò rỉ bản đồ nguồn Anthropic Claude Code (31/3/2026)

Sự cố này không do kẻ thù gây ra. Anthropic đã phát hành phiên bản Claude Code 2.1.88 lên đăng ký npm với một tệp bản đồ nguồn (source map) 59,8 MB không bao giờ được bao gồm. Tệp bản đồ này trỏ đến một tệp lưu trữ zip trên bộ chứa Cloudflare R2 của chính Anthropic chứa 513.000 dòng TypeScript không bị làm rối. Logic điều phối tác nhân, 44 cờ tính năng, lời nhắc hệ thống (system prompts) — tất cả đều công khai và có thể tải xuống mà không cần xác thực. Nguyên nhân gốc rễ là thiếu một dòng trong .npmignore.

4. Sâu TanStack và lan truyền hạ lưu (11–14/5/2026)

Wiz Research quy kết cuộc tấn công Mini Shai-Hulud cho nhóm TeamPCP. Con sâu lan truyền vượt ra ngoài TanStack đến Mistral AI, UiPath và hơn 160 gói khác trong vài giờ. Mini Shai-Hulud thậm chí còn mạo danh danh tính GitHub App Anthropic Claude bằng cách tạo các cam kết (commits) dưới danh tính giả "claude" để vượt qua xét duyệt mã.

Thời điểm mà không thẻ hệ thống nào giải thích được

Vào ngày 10 tháng 5 năm 2026, OpenAI ra mắt Daybreak, một sáng kiến an ninh mạng được xây dựng trên GPT-5.5 và một mô hình mới gọi là GPT-5.5-Cyber. OpenAI định vị việc ra mắt này là bằng chứng cho thấy AI tiên phong có thể nghiêng cán cân về phía người phòng thủ.

Ngay hôm sau, sâu TanStack đã xâm phạm hai thiết bị của nhân viên OpenAI.

Cộng đồng an ninh đã thấy cùng một khoảng trống đó. Nhà nghiên cứu bảo mật @EnTr0pY_88 lưu ý trên X rằng tín hiệu thực sự là việc xoay vòng chứng chỉ, không phải mã bị đánh cắp. "Việc xoay vòng chứng chỉ... là điều bạn làm khi bán kính nổ đạt được niềm tin ký kết, không chỉ là quyền truy cập nguồn." @OpenMatter_ tóm tắt thất bại của chứng thực SLSA trong một câu. "Nếu kẻ tấn công kiểm soát CI runner của bạn, chúng kiểm soát các xác nhận của bạn."

Ma trận hành động khắc phục

Dưới đây là bản đồ các lớp bề mặt phát hành bị thiếu trong bảng câu hỏi của nhà cung cấp AI, cùng với các biện pháp giảm thiểu kỹ thuật mà nhóm bảo mật có thể thực hiện.

Lớp bề mặt phát hành	Nhà cung cấp bị ảnh hưởng	Cơ chế thất bại	Khoảng cách phát hiện	Giảm thiểu kỹ thuật	Ưu tiên
Đánh giá khả năng mô hình (jailbreak, lạm dụng)	Cả ba (đang diễn ra)	Đã được bao quát bởi thẻ hệ thống.	Không. Đây là đường cơ sở.	Tiếp tục yêu cầu thẻ hệ thống.	Đường cơ sở
Ranh giới tin cậy CI runner	TanStack; OpenAI hạ lưu	Chạy mã fork trong ngữ cảnh repo cơ sở, đầu độc cache, trích xuất token OIDC.	Không có thẻ hệ thống nào bao gồm cách ly CI runner.	Kiểm tra mọi repo về pull_request_target + checkout fork SHA. Chặn mã fork khỏi ngữ cảnh repo cơ sở.	Làm ngay tuần này
OIDC trusted-publisher + SLSA	TanStack; OpenAI hạ lưu	TanStack tạo ra chứng thực SLSA Build Level 3 hợp lệ cho 84 gói độc hại.	Chứng thực SLSA xác nhận nguồn gốc xây dựng, không phải ý định xây dựng.	Ghim nhà xuất bản tin cậy vào nhánh + quy trình làm việc, không chỉ repo.	Làm ngay tuần này
Xem xét đóng gói phát hành	Anthropic	Thiếu .npmignore khiến source map bị shipped.	Không có bài tập red team nào kiểm tra nội dung tạo vật trước khi publish.	Xem xét thủ công giữa tạo vật xây dựng và đăng ký registry. Thực thi .npmignore trong CI.	Trước khi gia hạn hợp đồng
Hooks vòng đời phụ thuộc	TanStack; OpenAI + hạ lưu	router_init.js thực thi khi nhập vào. Tự lan truyền qua hook prepare.	Hooks thực thi trước khi bất kỳ trình quét nào chạy.	Vô hiệu hóa scripts vòng đời trong CI theo mặc định.	Làm ngay tuần này
Vệ sinh thông tin bảo trì	Meta qua Mercor	TeamPCP đánh cắp thông tin đăng nhập của người bảo trì LiteLLM.	Bảng câu hỏi hỏi về mã hóa, không phải nguồn gốc thông tin bảo trì.	Yêu cầu xác thực bằng khóa phần cứng từ mọi người bảo trì.	Thêm vào hợp đồng
Khử độc đầu vào container tác nhân	OpenAI Codex	Tiêm lệnh shell qua tham số tên nhánh GitHub.	Đội đỏ tác nhân kiểm tra tiêm lời nhắc (prompt), không phải tiêm tham số ở cấp container.	Khử độc tất cả đầu vào bên ngoài trước khi thực thi shell.	Làm ngay tuần này

Kế hoạch hành động cho Giám đốc An ninh

1. Thêm một câu hỏi vào mọi bảng câu hỏi nhà cung cấp AI: "Tổ chức của bạn có thực hiện red team quy trình phát hành của mình không, bao gồm ranh giới tin cậy CI runner, phạm vi token OIDC, hooks vòng đời phụ thuộc và cổng đăng ký registry không? Hãy cung cấp ngày đánh giá cuối cùng và phạm vi."
2. Chạy các hàng 2 đến 7 đối với các pipeline CI của riêng bạn trong tuần này. Các nhóm phát triển kéo OpenAI SDKs, gói Anthropic và trọng số Llama qua npm, PyPI và HuggingFace mỗi tuần. Các mẫu hình tương tự đã bị khai thác đang có trong CI của bạn ngay bây giờ.
3. Tóm tắt cho Hội đồng quản trị về khoảng cách nguồn gốc (provenance gap). Sâu TanStack đã chứng minh rằng nguồn gốc mật mã hợp lệ có thể nằm trên cùng một gói độc hại. Xác thực cho Hội đồng biết gói đó được xây dựng ở đâu. Phân tích hành vi cho Hội đồng biết gói đó làm gì sau khi cài đặt.

Sâu đã biết nơi thông tin đăng nhập AI của bạn sống

Mini Shai-Hulud không dừng lại ở bí mật CI. Datadog Security Labs đã ghi nhận rằng payload đọc ~/.claude.json và exfiltrate nó. Nó quét các vault 1Password và Bitwarden, tài khoản dịch vụ Kubernetes, token nhà cung cấp đám mây và tệp lịch sử shell nơi các nhà phát triển dán khóa API.

Đối với các nhà phát triển sử dụng tác nhân lập trình AI, con sâu này đã biết nơi thông tin đăng nhập của họ sống. OpenAI, Anthropic và Meta sẽ tiếp tục xuất bản các thẻ hệ thống. Họ sẽ tiếp tục tài trợ cho các cuộc thi red team. Không điều nào trong số đó ngăn chặn con sâu tiếp theo cưỡi trên release.yml.

Các đội phòng thủ hiện đại phải chủ động xác định và đóng các khoảng trống quy trình làm việc thay vì chỉ dựa vào các tính năng bảo mật của công cụ.