AI đang làm thay đổi cách xử lý lỗ hổng bảo mật truyền thống

AI đang làm thay đổi cách xử lý lỗ hổng bảo mật truyền thống

Trong cộng đồng bảo mật công nghệ hiện nay đang tồn tại một sự căng thẳng thú vị giữa hai phương pháp xử lý lỗ hổng khác nhau. Sự xuất hiện và phát triển mạnh mẽ của AI đang làm thay đổi hoàn toàn cán cân của hai nền văn hóa này, buộc chúng ta phải suy nghĩ lại về cách thức bảo vệ hệ thống trước các nguy cơ tấn công.

Văn hóa tiết lộ có phối hợp

Đây có lẽ là phương pháp phổ biến nhất trong lĩnh vực bảo mật máy tính. Khi phát hiện ra một lỗi bảo mật, nhà nghiên cứu sẽ thông báo riêng cho những người bảo trì (maintainers) phần mềm và dành cho họ một khoảng thời gian nhất định — thường là 90 ngày — để khắc phục.

Mục tiêu của phương pháp này là đảm bảo bản vá lỗi (patch) đã được phát hành rộng rãi trước khi công chúng biết đến sự tồn tại của lỗ hổng. Điều này giúp giảm thiểu rủi ro bị tấn công trong khoảng thời gian "chết" giữa lúc lỗi bị phát hiện và lúc nó được sửa chữa.

Văn hóa "lỗi là lỗi"

Phương pháp này đặc biệt phổ biến trong cộng đồng Linux. Triết lý ở đây rất đơn giản: nếu nhân kernel (kernel) đang thực hiện một việc gì đó mà nó không nên làm, thì rất có thể ai đó ở đâu đó sẽ tận dụng điều đó để thực hiện một cuộc tấn công.

Thay vì thông báo và chờ đợi, các nhà phát triển sẽ sửa lỗi càng nhanh càng tốt mà không hề gây chú ý. Với hàng ngàn thay đổi (commits) diễn ra mỗi ngày, người ta tin rằng các bản sửa lỗi này sẽ trôi qua vô hình, và vẫn còn đủ thời gian để các máy chủ được cập nhật.

Tác động của AI đối với cả hai phương pháp

Trước đây, phương pháp "lỗi là lỗi" chưa bao giờ hoạt động hoàn hảo, nhưng với sự hỗ trợ của AI, vấn đề đang trở nên nghiêm trọng hơn rất nhiều. Hiện nay, có quá nhiều bản vá bảo mật được phát hành, khiến việc rà soát các thay đổi mã nguồn trở nên hấp dẫn hơn đối với các tác nhân xấu. Tỷ lệ tín hiệu trên nhiễu (signal-to-noise ratio) đang cao hơn, nghĩa là việc phát hiện ra bản vá lỗi bảo mật trong hàng loạt commit trở nên dễ dàng hơn.

Hơn nữa, việc sử dụng AI để đánh giá từng commit khi nó được đưa ra ngày càng rẻ và hiệu quả. Trong một thử nghiệm nhanh, các mô hình AI như Gemini, ChatGPT và Claude đều có khả năng nhận diện chính xác xem một đoạn mã thay đổi có phải là bản vá bảo mật hay không.

Đối với phương pháp tiết lộ có phối hợp, các lệnh cấm công bố (embargo) dài hạn cũng đang gặp khó khăn. Trước đây, nếu bạn tìm thấy một lỗi và báo cáo cho nhà sản xuất với thời hạn 90 ngày, khả năng cao là không ai khác phát hiện ra nó trong khoảng thời gian đó. Tuy nhiên, hiện nay có rất nhiều nhóm được hỗ trợ bởi AI đang quét phần mềm để tìm lỗ hổng.

Trong một ví dụ cụ thể, chỉ sau chín giờ sau khi một nhà nghiên cứu tên Kim báo cáo lỗ hổng ESP, một nhà nghiên cứu khác là Kuan-Ting Chen cũng đã độc lập báo cáo lại vấn đề này. Các lệnh cấm công bố dài hạn thậm chí có thể làm tăng rủi ro: chúng tạo ra cảm giác an toàn giả tạo và hạn chế số lượng các bên có thể tham gia sửa chữa lỗi.

Tương lai của quy trình vá lỗi

Tuy nhiên, may mắn thay, AI không chỉ giúp những kẻ tấn công mà còn hỗ trợ cả những người phòng thủ. Nhờ khả năng tự động hóa và phân tích nhanh, AI cho phép rút ngắn thời gian cần thiết để tạo ra bản vá lỗi.

Về mặt cá nhân, tôi cho rằng các lệnh cấm công bố rất ngắn là một hướng đi tốt, và chúng cần phải được rút ngắn thêm theo thời gian. Với sự hỗ trợ của AI, những khoảng thời gian chờ đợi trước đây bị coi là "vô dụng" vì quá ngắn bây giờ đã có thể trở nên khả thi và hiệu quả.