AI quét lỗi bảo mật tạo nên xu hướng đáng lo ngại cho Linux

Dirty Frag, Copy Fail và Fragnesia không chỉ là một cụm lỗi ngẫu nhiên của Linux, mà là sự công khai thực tế về cách các công cụ AI có thể mở ra các lỗ hổng bảo mật chỉ với vài câu lệnh. Điểm chung của chúng là lạm dụng trừu tượng nhân (kernel abstraction) cốt lõi: bộ nhớ đệm trang (page cache). Điều này có ý nghĩa gì? Đây là cơn mưa rào trước khi bão tố các vấn đề bảo mật Linux ập đến, hay chỉ là một cơn mưa nhỏ? Câu trả lời phụ thuộc vào người bạn hỏi.

Dù thế nào, các vấn đề này cần được giải quyết. Theo Igor Seletskiy, CEO của CloudLinux: "Câu chuyện thực sự ở đây là chúng ta thường thấy một hoặc hai lỗ hổng leo thang đặc quyền (LPE) cấp độ nhân ảnh hưởng đến nhiều bản phân phối/bản phát hành mỗi năm. Và giờ chúng ta thấy hai lỗ hổng như vậy cách nhau một tuần. Chúng ta nên mong đợi xu hướng này sẽ tiếp tục trong vài tháng tới, nghĩa là các công ty có thể phải khởi động lại máy chủ hàng tuần."

Thật đau đầu!

Nhưng đây có phải là khởi đầu của một xu hướng không? Linus Torvalds, người am hiểu Linux nhất, đã nói tại Open Source Summit North America ở Minneapolis rằng cho đến gần đây, cộng đồng nhân sẽ âm thầm thông báo cho các bản phân phối về một lỗi và yêu cầu họ nâng cấp mà không chi tiết về lỗ hổng, và "hầu hết thời gian, không ai biết chuyện gì đã xảy ra." Đó là chuyện quá khứ. Giờ là hiện tại. Với sự phân tích được tăng tốc bởi AI, ông nhớ lại rằng "tuần trước, chúng tôi sửa lỗi; trong vòng ba giờ, đã có một bài đăng blog về ý nghĩa của bản sửa lỗi đó, vì những người làm bảo mật thích sự chú ý."

Kết quả là, Torvalds đã thay đổi cách cộng đồng bảo mật Linux xử lý các lỗ hổng do AI phát hiện. "Các lỗi do AI phát hiện theo định nghĩa thì không còn bí mật, và xử lý chúng trên một số danh sách riêng tư là lãng phí thời gian cho mọi người liên quan - và chỉ làm cho sự trùng lặp tồi tệ hơn vì những người báo cáo không thể nhìn thấy báo cáo của nhau." Ngoài ra, Torvalds thêm rằng, trong trường hợp các lỗi do AI phát hiện, bạn cần lưu ý rằng chỉ vì "bạn tìm thấy nó bằng AI, 100 người khác cũng đã tìm thấy nó bằng AI."

Điều đó có nghĩa là chúng ta sẽ nghe nói nhiều hơn về các vấn đề bảo mật Linux. Nhưng chúng có trở nên tồi tệ hơn không? Tôi đã hỏi Greg Kroah-Hartman, người bảo trì nhân Linux ổn định, và ông nói với tôi: "Có thể? Khó nói; những lỗi 'gần đây' thực sự rất nhỏ, vì số lượng hệ thống có 'người dùng không đáng tin' không còn phổ biến nữa. Tôi không thấy bất kỳ sự gia tăng thực sự nào trong các bản sửa lỗi thực tế của chúng tôi."

Ông tiếp tục: "Chúng tôi sửa lỗi như vậy hàng ngày, chỉ là sự gia tăng của những người muốn 'đặt tên cho một lỗi' và phát khai thác công khai dường như đang là mốt lúc này."

Một điểm quan trọng mà Chris Wright, CTO của Red Hat, đã đưa ra tại Red Hat Summit tuần trước là trong "bảo mật, không phải mọi thứ đều được tạo ra như nhau. Sẽ luôn có một phổ các lỗ hổng sẽ xuất hiện. Một số trong số đó sẽ thực sự quan trọng và chúng ta sẽ cần phản ứng rất nhanh, vì vậy đó trở thành ưu tiên rõ ràng. Những cái khác sẽ có đuôi dài hơn với mức độ nghiêm trọng thấp hơn."

Torvalds cũng đã thêm tại Open Source Summit rằng chỉ vì bạn đọc những câu chuyện về Linux và các lỗi do AI phát hiện, bạn không nên nghĩ rằng điều tương tự không xảy ra với phần mềm độc quyền, chẳng hạn như Windows. "Nếu bạn nghĩ rằng AI không thể kỹ thuật ngược mã nguồn đóng, bạn sẽ ngạc nhiên đấy." Trên thực tế, ông cảnh báo, "mã nguồn đóng còn tồi tệ hơn ở khía cạnh này, vì AI không thể giúp bạn sửa những vấn đề đó, nhưng AI chắc chắn có thể giúp tìm thấy những vấn đề đó ngay từ đầu."

Ông cũng khuyên các nhà nghiên cứu bảo mật không nên xuất bản các mã khai thác đang hoạt động: "Khi nói đến những thứ thực sự là vấn đề bảo mật, bạn có thể không muốn làm khai thác công khai... Đừng làm người đó rồi khoe khoang công khai và nói, 'Nhìn kìa, tôi có thể đánh sập công ty lớn này.'"

Tiếp theo chủ đề này, Christopher "CRob" Robinson, kiến trúc sư bảo mật trưởng cho Quỹ Phần mềm Mã nguồn Mở (OpenSSF), đã nói với The Register rằng nhờ vào AI, "khoảng 30 phần trăm các lỗi bảo mật Linux được báo cáo là trùng lặp. Đó sẽ là một vấn đề khác trong thời đại AI này, nơi mọi người đều là nhà nghiên cứu, đúng không, với một tài khoản mã đám mây 20 đô la." Điều đó, lần lượt, sẽ gánh nặng cho những người bảo trì đã quá tải với nhiều bản vá hơn để xử lý.

Linux, Torvalds thêm, là thứ mà những người bảo trì của nó có thể xử lý được. Tuy nhiên, các dự án mã nguồn mở nhỏ hơn thì rất có thể sẽ bị quá tải.

Vấn đề thực sự, theo những gì Nhóm Tình báo Mối đe dọa của Google đã phát hiện, là thời gian trung bình để khai thác (TTE) đối với các lỗ hổng đã liên tục giảm "từ 63 ngày vào năm 2018 xuống -1 ngày vào năm 2024 và giảm thêm xuống ước tính -7 ngày vào năm 2025. Một số âm chỉ ra rằng việc khai thác lỗ hổng, trung bình, đã xảy ra trước khi bản vá được phát hành."

Vậy điều này có nghĩa là gì? Có, chúng ta sẽ thấy nhiều lỗ hổng bảo mật hơn xuất hiện trong Linux và các dự án mã nguồn mở khác. Có, một số trong số đó sẽ nghiêm trọng, và quá nhiều sẽ có mã khai thác ra đời trước khi các bản vá đến. Tuy nhiên, không phải là Linux đột nhiên trở nên kém an toàn hơn. Đó là vì "cặp mắt" AI tốt hơn nhiều trong việc phát hiện lỗi so với mắt người bao giờ hết. Chúng ta sẽ bắt kịp, và AI cũng có thể giúp việc đó.

Trong thời gian chờ đợi, các quản trị viên hệ thống và nhà phát triển sẽ phải có ý thức bảo mật cao hơn bao giờ hết. Như Wright nói với The Reg, đã đến lúc chuyển từ việc sử dụng SELinux ở chế độ cho phép sang chế độ hạn chế. Thực thi bảo mật nghiêm ngặt là một điều đau đớn, nhưng điều đau đớn hơn nữa là phải xây dựng lại các container và máy chủ của bạn sau khi một cuộc tấn công nghiêm trọng lọt qua.