Liên minh Athena: Sử dụng AI để phát hiện và vá lỗ hổng bảo mật mã nguồn mở

Liên minh Athena: Sử dụng AI để phát hiện và vá lỗ hổng bảo mật mã nguồn mở

Công ty an ninh mạng Chainguard vừa chính thức giới thiệu Athena, một liên minh ngành công nghiệp được thiết kế để sử dụng sức mạnh của trí tuệ nhân tạo (AI) nhằm chủ động tìm kiếm và sửa chữa các lỗ hổng bảo mật trong phần mềm mã nguồn mở. Sáng kiến này quy tụ hơn hai chục thành viên sáng lập danh tiếng, bao gồm các định chế tài chính như BNY và JPMorgan Chase, cùng các nhà cung cấp giải pháp hạ tầng và bảo mật hàng đầu như Cisco, Cloudflare, Docker, Kyndryl và PwC.

Mục tiêu chính của Athena là bảo vệ các thư viện, container và các thành phần khác đóng vai trò nền tảng cho trình duyệt web, trung tâm dữ liệu, smartphone và hệ thống thanh toán.

Sơ đồ minh họa cách thức hoạt động của liên minh Athena

Đối mặt với mối đe dọa từ AI tiên phong

Liên minh ra đời như một phản ứng trước mối đe dọa ngày càng tăng từ các mô hình AI tiên phong (Frontier AI). Các mô hình này hiện nay có khả năng đọc các cơ sở mã (codebase) khổng lồ, suy luận trên các đồ thị phụ thuộc và phơi bày các chuỗi lỗi phức tạp mà trước đây đã tồn tại qua nhiều năm xem xét của chuyên gia.

Theo Infosecurity Magazine, Chainguard đang nhắm cụ thể vào các phát hiện từ các chương trình nghiên cứu sử dụng các mô hình như Anthropic Mythos và OpenAI GPT 5.5 Cyber. Các báo cáo gần đây chỉ ra rằng khoảng cách giữa việc phát hiện lỗ hổng và việc khai thác chúng đã thu hẹp từ vài tháng hoặc vài năm xuống còn vài giờ. Điều này gây lo ngại rằng tin tặc sẽ vũ khí hóa đầu ra từ các mô hình AI nhanh hơn khả năng phản hồi của quy trình công bố phối hợp truyền thống.

Quy trình vận hành và hiệu quả ban đầu

Athena hiện đã được đưa vào vận hành sản xuất. Theo thông báo, chỉ trong khoảng một tháng hoạt động nội bộ, liên minh đã đạt được tiến bộ đáng kể trên các dự án mã nguồn mở.

"Athena đã hoạt động từ hôm nay. Chúng tôi đã xử lý hơn 20.000 phát hiện, phát hành hơn 2.000 bản vá trên 500 dự án và khởi xướng các đợt công bố phối hợp đầu tiên trong khoảng một tháng." -- Dan Lorenc

Quy trình làm việc bắt đầu bằng việc tổng hợp các phát hiện từ các thành viên, bao gồm cả đầu ra từ các nỗ lực nghiên cứu lỗ hổng bằng AI nội bộ. Những phát hiện này được khử trùng lặp, phân loại ưu tiên và làm phong phú thêm thông tin tại một trung tâm thanh toán bù trừ (clearinghouse) dùng chung. Sau đó, các thành viên liên minh sẽ cộng tác trên các bản vá và biện pháp giảm thiểu trước khi lỗ hổng được công khai rộng rãi.

Khi các bản vá sạch chưa sẵn sàng, người tham gia có thể áp dụng các biện pháp giảm thiểu theo lớp như quy tắc mạng, phát hiện hoặc bản vá ảo để giảm thiểu rủi ro cho đến khi thay đổi mã có thể được triển khai.

Tập trung vào sửa chữa nguồn (Upstream Remediation)

Việc khắc phục sự cố được định hướng để đẩy ngược lên nguồn (upstream) thay vì nằm ở các nhánh riêng tư (private forks). Athena cho phép một lỗ hổng được phát hiện bởi một thành viên có thể được khắc phục và đẩy lên nguồn, để bản sửa lỗi đó được kế thừa bởi toàn bộ hệ sinh thái.

"Mỗi lỗ hổng mà một thành viên phát hiện có thể trở thành bản sửa lỗi mà toàn bộ hệ sinh thái kế thừa, thường là trước cả khi công bố." -- Dan Lorenc

Docker định vị việc tham gia của mình trong Athena như một phần mở rộng cho công việc hiện có về các công cụ bảo mật theo mặc định (secure by default) cho các nhà phát triển. Trong một bài đăng trên blog, Docker mô tả các sandbox chạy các tác nhân lập trình AI bên trong các máy ảo nhỏ (micro virtual machines) biệt lập, cùng với danh mục các hình ảnh cơ bản được gia cố (hardened base images) có SBOM đã ký.

Bối cảnh rộng hơn và phản ứng của cộng đồng

Chainguard lập luận rằng rủi ro nằm ở phần đuôi dài (long tail) của các phụ thuộc chứ không chỉ ở những hình ảnh phổ biến nhất. Athena có thể được coi là một phản ứng đối với vấn đề cấu trúc này, nhưng ở cấp độ hệ sinh thái mã nguồn mở thay vì các danh mục container riêng lẻ.

Các sáng kiến chuỗi cung ứng khác như khung OSC&R, dự án GUAC của Google và tiêu chuẩn in-toto của CNCF cũng đang nỗ lực cung cấp hạ tầng dùng chung. Cho đến nay, phản ứng của cộng đồng đối với Athena là sự quan tâm thận trọng. Các chuyên gia đang tìm kiếm bằng chứng cho thấy Athena sẽ mang lại giá trị cụ thể vượt ra ngoài các công cụ quét và khung hiện có.

Athena tập trung vào việc tổng hợp các phát hiện do AI tạo ra và công việc khắc phục trước khi công bố trên nhiều tổ chức lớn. Thay vì định nghĩa một định dạng mới, nó coi quản lý lỗ hổng là một quy trình làm việc của hệ sinh thái trải dài trên các ngân hàng, nhà cung cấp đám mây, nhà bán bảo mật và người bảo trì.