Dirty Frag, Copy Fail, Fragnesia: AI và sự trỗi dậy của các lỗ hổng bảo mật Linux

Dirty Frag, Copy Fail, Fragnesia: AI và sự trỗi dậy của các lỗ hổng bảo mật

Hay đây thực sự là cuộc sống hiện đại, khi AI liên tục đào sâu qua các kho lưu trữ mã nguồn để tìm kiếm lỗ hổng bảo mật?

Dirty Frag, Copy Fail và Fragnesia ít nhiều là một nhóm lỗi ngẫu nhiên của Linux, nhưng thực chất chúng là màn phô bày công khai cách các công cụ AI có thể "mổ xẻ" các lỗ hổng bảo mật chỉ với một vài lệnh (prompt). Điểm chung của chúng là sự lạm dụng một sự trừu tượng hạt nhân (kernel abstraction) cốt lõi: bộ nhớ đệm trang (page cache). Vậy điều này có nghĩa gì đối với bạn và tôi? Đây là cơn mưa rào trước khi bão lũ ập xuống với hàng loạt vấn đề bảo mật Linux chết người, hay chỉ là một cơn mưa nhỏ? Câu trả lời phụ thuộc vào việc bạn hỏi ai.

Bất kể điều gì có thể đúng, những vấn đề này cần phải được giải quyết. Theo Igor Seletskiy, CEO của CloudLinux: "Câu chuyện thực sự ở đây là chúng ta thường thấy một hoặc hai lỗ hổng leo thang đặc quyền cấp hạt nhân (LPE) ảnh hưởng đến nhiều bản phân phối (distro)/phiên bản mỗi năm. Và bây giờ chúng ta thấy hai lỗ hổng như vậy chỉ trong một tuần. Chúng ta nên mong đợi xu hướng này sẽ tiếp tục trong vài tháng tới, có nghĩa là các công ty có thể phải khởi động lại máy chủ hàng tuần."

Thật đau đầu!

Nhưng đây có phải là sự khởi đầu của một xu hướng không? Linus Torvalds, người hiểu rõ về Linux hơn bất kỳ ai, đã nói tại Hội thượng cấp Open Source Bắc Mỹ ở Minneapolis rằng cho đến gần đây, cộng đồng hạt nhân sẽ âm th thông báo cho các bản phân phối về một lỗi và yêu cầu họ nâng cấp mà không đi sâu vào chi tiết lỗ hổng, và "hầu hết thời gian, không ai sẽ figured ra chuyện gì đã xảy ra." Đó là chuyện ngày xưa. Còn bây giờ là chuyện bây giờ. Với sự phân tích được AI tăng tốc, ông nhớ lại rằng "tuần trước, chúng tôi sửa lỗi; trong vòng ba giờ, đã có một bài đăng blog về ý nghĩa của bản sửa lỗi đó, vì những người làm bảo mật thích nhận sự chú ý."\

Kết quả là những sự việc như vậy, Torvalds đã thay đổi cách cộng đồng bảo mật Linux xử lý các lỗ hổng do AI phát hiện. "Các lỗi do AI phát hiện về cơ bản theo định nghĩa không phải là bí mật, và xử lý chúng trong một số danh sách riêng tư là lãng phí thời gian cho mọi người liên quan - và chỉ làm cho sự trùng lặp tồi tệ hơn vì những người báo cáo không thể nhìn thấy báo cáo của nhau." Ngoài ra, Torvalds còn thêm rằng, trong trường hợp các lỗi do AI phát hiện, bạn cần lưu ý rằng chỉ "vì bạn tìm thấy nó bằng AI, 100 người khác cũng tìm thấy nó bằng AI."

Điều đó có nghĩa là chúng ta sẽ nghe nói nhiều hơn về các vấn đề bảo mật của Linux. Nhưng chúng có đang trở nên tồi tệ hơn không? Tôi đã hỏi Greg Kroah-Hartman, người duy trì nhân Linux ổn định, và ông nói với tôi: "Có thể không? Rất khó để nói; những lỗi 'gần đây' thực sự rất nhỏ, vì số lượng hệ thống có 'người dùng không đáng tin' (untrusted users) không còn phổ biến nữa. Tôi không thấy bất kỳ sự gia tăng thực sự nào trong các bản sửa lỗi thực tế của chúng ta."\

Ông tiếp tục: "Chúng tôi sửa lỗi như vậy hàng ngày, chỉ là sự gia tăng của những người muốn 'đặt tên cho một lỗi' và phát khai khai thác công khai dường như là tất cả các cơn sốt tại thời điểm này."

Một điểm quan trọng mà Chris Wright, CTO của Red Hat, đã đưa ra tại Red Hat Summit tuần trước là trong "bảo mật, không phải mọi thứ đều được tạo ra như nhau. Sẽ luôn có một quang phổ các lỗ hổng sẽ xuất hiện. Một số trong số đó sẽ thực sự quan trọng và chúng ta sẽ cần phản ứng rất nhanh, vì vậy đó trở thành một ưu tiên rõ ràng. Những cái khác sẽ có cái đuôi dài hơn với mức độ nghiêm trọng thấp hơn."

Torvalds cũng đã thêm tại Hội thượng cấp Open Source rằng chỉ vì bạn đọc những câu chuyện về Linux và các lỗi do AI phát hiện, đừng nghĩ rằng điều tương tự không xảy ra với phần mềm độc quyền, chẳng hạn như Windows. "Nếu bạn nghĩ rằng AI không thể thiết kế ngược mã nguồn kín, bạn sẽ bất ngờ đấy." Thực tế, ông cảnh báo, "mã nguồn kín trong khía cạnh này thậm chí còn tồi tệ hơn, vì AI không thể giúp bạn sửa chữa những vấn đề đó, nhưng AI chắc chắn có thể giúp tìm thấy những vấn đề đó ngay từ đầu."\

Ông cũng khuyên các nhà nghiên cứu bảo mật không nên xuất bản các khai thác đang hoạt động: "Khi nói đến những thứ thực sự là vấn đề bảo mật, bạn có thể không muốn làm khai thác công khai... Đừng làm 'kẻ' đó sau đó tự hào về nó công khai và nói, 'Nhìn này, tôi có thể đánh sập công ty lớn này'."\

Tiếp theo chủ đề này, Christopher "CRob" Robinson, kiến trúc sư bảo mật trưởng cho Quỹ Phần mềm Mã nguồn Mở (OpenSSF), đã nói với The Register rằng nhờ vào AI, "khoảng 30 phần trăm các lỗi bảo mật Linux được báo cáo là trùng lặp. Đó sẽ là một vấn đề khác trong thời đại AI này, nơi mọi người đều là một nhà nghiên cứu, đúng không, với một tài khoản mã nguồn đám mây 20 đô la." Điều đó, lần lượt, sẽ gây gánh nặng cho những người bảo trì đã làm việc quá tải với nhiều bản vá hơn để xử lý.\

Linux, Torvalds thêm vào, là thứ mà những người duy trì của nó có thể xử lý được. Tuy nhiên, các dự án mã nguồn mở nhỏ hơn có khả năng sẽ bị choáng ngợp.\

Vấn đề thực sự, theo những gì Nhóm Mức độ Threat của Google đã phát hiện, là thời gian trung bình để khai thác (TTE) đối với các lỗ hổng đã liên tục giảm xuống "từ 63 ngày vào năm 2018 xuống -1 ngày vào năm 2024 và giảm thêm xuống ước tính -7 ngày vào năm 2025. Một số âm cho thấy việc khai thác một lỗ hổng, trung bình, đã xảy ra trước khi bản vá được phát hành."\

Vậy điều này có nghĩa là gì? Có, chúng ta sẽ thấy nhiều lỗ hổng bảo mật hơn xuất hiện trong Linux và các dự án mã nguồn mở khác. Có, một số trong số chúng sẽ nghiêm trọng, và quá nhiều sẽ có khai thác sẵn trước khi các bản vá đến. Tuy nhiên, không phải là Linux đột nhiên trở nên kém an toàn hơn. Đó là do đôi mắt của AI tốt hơn nhiều trong việc phát hiện lỗi so với đôi mắt con người bao giờ hết. Chúng ta sẽ đuổi kịp, và AI có thể giúp việc đó.\

Trong thời gian chờ đợi, các quản trị viên hệ thống và nhà phát triển sẽ phải có ý thức bảo mật hơn bao giờ hết. Ông Wright nói với The Reg, đã đến lúc chúng ta chuyển từ việc sử dụng SELinux ở chế độ cho phép (permissive) sang chế độ hạn chế (restrictive). Thực thi bảo mật nghiêm ngặt là một điều đau đầu, nhưng điều đau đầu hơn nữa là phải xây dựng lại các container và máy chủ của bạn sau khi một cuộc tấn công nghiêm trọng lọt qua.