Các nhà cung cấp AI chối bỏ trách nhiệm: Lỗ hổng bảo mật bị coi là "hành vi dự kiến"

Các nhà cung cấp AI thường xuyên khuyên doanh nghiệp nên sử dụng trí tuệ nhân tạo để chống lại các mối đe dọa từ chính AI và xử lý mọi vấn đề trong môi trường CNTT. Tuy nhiên, khi một lỗ hổng bảo mật xuất hiện trong chính sản phẩm AI của họ, câu trả lời thường nhận được là: "Đó không phải lỗi bảo mật, đó là hoạt động theo thiết kế".

Mô hình này đang ngày càng trở nên phổ biến khi các chuyên gia truyền thông kỹ thuật số thúc đẩy doanh nghiệp sử dụng AI cho mọi việc, đặc biệt là trong việc phát hiện và chặn các vấn đề bảo mật. Điều đó diễn ra cho đến khi lỗ hổng tồn tại trong chính AI, và lúc đó nó bị coi là "hành vi dự kiến" hoặc "rủi ro theo thiết kế".

Có thể, nếu may mắn, công ty AI có lỗi sẽ âm thầm công bố các cân nhắc bảo mật mới trong tài liệu của họ. Nhưng vấn đề gốc rễ không được khắc phục. Trong một số trường hợp — như tiêm lệnh (prompt injection) — các nhà cung cấp thực sự không thể sửa lỗi, ngay cả khi họ muốn.

Các tác nhân AI trên GitHub bị đánh cắp thông tin xác thực

Một vài ví dụ gần đây đã cho thấy cách tình trạng này diễn ra như thế nào.

Các nhà nghiên cứu gần đây đã chứng minh cách ba tác nhân AI phổ biến tích hợp với GitHub Actions có thể bị chiếm đoạt để đánh cắp khóa API và mã thông báo truy cập (access tokens). Ba tác nhân này bao gồm Anthropic's Claude Code Security Review, Google's Gemini CLI Action và Microsoft's GitHub Copilot. Cả ba nhà cung cấp đều đã trả tiền thưởng cho những phát hiện này.

Anthropic đã trả tiền thưởng 100 USD, nâng mức độ nghiêm trọng từ 9.3 lên 9.4 và cập nhật phần "cân nhắc bảo mật" trong tài liệu của mình. Google trả thưởng 1.337 USD cho phát hiện này. Và GitHub, sau khi ban đầu gọi đây là "vấn đề đã biết" mà họ "không thể tái tạo", cuối cùng cũng đã trả giải thưởng 500 USD cho các nhà nghiên cứu vì việc họ công bố thông tin.

Tuy nhiên, không một nhà cung cấp nào cấp mã CVE hoặc đưa ra các cảnh báo bảo mật công khai.

Thiết kế "rủi ro" trong giao thức MCP của Anthropic

Một nhóm săn lỗi khác đã tiết lộ một lỗ hổng thiết kế được tích hợp sâu trong Giao thức Ngữ cảnh Mô hình (MCP) của Anthropic. Theo nhóm này, lỗ hổng này đặt tới 200.000 máy chủ vào nguy cơ bị chiếm quyền kiểm soát hoàn toàn.

Họ đã "lặp đi lặp lại" yêu cầu Anthropic vá lỗi gốc, và liên tục được trả lời rằng giao thức hoạt động theo dự kiến — bất chấp 10 mã CVE (tính đến thời điểm hiện tại) có mức độ nghiêm trọng từ cao đến chí mạng đã được phát hành cho các công cụ mã nguồn mở và tác nhân AI riêng lẻ sử dụng MCP.

Một bản vá lỗi gốc, theo các thợ săn lỗi, có thể đã giảm thiểu rủi ro trên các gói phần mềm với tổng số lượt tải xuống hơn 150 triệu và bảo vệ hàng triệu người dùng cuối.

Lý do của Anthropic cho việc không sửa lỗi này? Hành vi dự kiến. "Đây là một phần rõ ràng của cách thức hoạt động của máy chủ MCP stdio và chúng tôi tin rằng thiết kế này không đại diện cho một mặc định an toàn", công ty AI này cho biết.

Gánh nặng đổ lên người dùng và sự thiếu quy định

Điều này có nghĩa là, một lần nữa, vấn đề rất lộn xộn trong việc bảo mật các hệ thống AI phức tạp, không xác định này được đẩy xuống cho các cửa hàng IT hoặc người dùng cuối. Trong trường hợp này, bao gồm bất kỳ nhà phát triển nào sử dụng bộ công cụ phát triển phần mềm MCP chính thức của Anthropic trong ứng dụng hoặc dự án mã nguồn mở của họ, cộng với bất kỳ công ty nào đưa mã nguồn mở và công cụ AI này vào môi trường của họ.

Nhìn rộng ra một chút: Điều đáng chú ý là sự thiếu hụt hoàn toàn các quy định liên bang của Mỹ về việc hạn chế các công ty AI. Điều này diễn ra mặc dù thực tế là một trong số họ (Anthropic) tuần trước đã cảnh báo mô hình mới nhất của họ quá giỏi trong việc tìm ra các lỗ hổng bảo mật đến mức việc phát hành nó cho công chúng sẽ quá nguy hiểm. Rất khó để tưởng tượng bất kỳ lĩnh vực nào khác mà một công ty có thể nói với mọi người rằng "sản phẩm của chúng ta đặt mọi người vào nguy hiểm lớn" và vẫn được phép hoạt động mà không bị trừng phạt.

Một điều tôi luôn cố gắng dạy con cái mình là ý tưởng về việc trưởng thành và xứng đáng được tin tưởng nghĩa là phải chịu trách nhiệm cho những lựa chọn và hành động của mình, và thừa nhận những sai lầm của mình. Điều đó bao gồm việc thừa nhận khi họ sai, sửa chữa sai lầm khi có thể và điều chỉnh hướng đi để họ có thể làm tốt hơn lần sau.

Tất cả những hành vi "không phải là tôi" này từ các công ty AI nói rằng bảo mật là vấn đề của người khác để giải quyết cho thấy sự thiếu trưởng thành hoàn toàn — hoặc thậm chí là sự lịch sự cơ bản. Người ta chỉ tự hỏi bao lâu thì khách hàng sẽ đi đến kết luận tương tự.