Mô hình AI Claude Opus tạo thành công exploit tấn công Chrome chỉ với chi phí 2.283 USD

Mô hình AI Claude Opus tạo thành công exploit tấn công Chrome chỉ với chi phí 2.283 USD

Tạm gác lại nỗi lo về Mythos, bởi vì các mô hình AI phổ thông hiện nay đã có khả năng tìm ra lỗ hổng trong các phần mềm được sử dụng rộng rãi.

Anthropic đã quyết định không phát hành công khai mô hình tìm lỗi Mythos do lo ngại rằng nó sẽ cho phép những kẻ tấn công tìm và khai thác lỗ hổng trước khi bất kỳ ai kịp phản ứng. Tuy nhiên, thực tế cho thấy ngay cả mô hình Opus 4.6 của công ty này (đã bị thay thế bởi Opus 4.7 ra mắt vào thứ Năm tuần trước) cũng hoàn toàn có khả năng phát triển mã khai thác (exploit code) hoạt động hiệu quả.

Trong một bài đăng trên blog vào thứ Tư, Mohan Pedhapati (biệt danh s1r1us), CTO của Hacktron, đã mô tả cách ông sử dụng Opus 4.6 để tạo ra một chuỗi khai thác hoàn chỉnh nhắm vào động cơ V8 JavaScript trong Chrome 138 - phiên bản được tích hợp trong các bản cập nhật hiện tại của Discord.

"Lỗi V8 [truy cập vùng nhớ ngoài phạm vi] mà chúng tôi sử dụng đến từ Chrome 146, cùng phiên bản mà ứng dụng Claude Desktop của chính Anthropic đang chạy," ông nói. "Sau một tuần làm việc qua lại, tiêu thụ 2,3 tỷ token, tốn 2.283 USD chi phí API và khoảng 20 giờ tôi phải giúp nó thoát khỏi ngõ cụt, nó đã kích hoạt được ứng dụng máy tính (calc)."

Cụm từ "popped calc" (kích hoạt máy tính) là một thuật ngữ thường được dùng trong mã khai thác khái niệm (proof-of-concept) để chỉ việc tấn công đã xâm phạm thành công hệ thống mục tiêu.

Hiệu quả chi phí so với nhân công

Pedhapati cho rằng mặc dù 2.283 USD là một khoản tiền đáng kể đối với một cá nhân, nhưng con số này rất nhỏ nếu so với thời gian hàng tuần mà một con người cần để phát triển một exploit tương tự mà không có sự hỗ trợ. Ngay cả khi cộng thêm vài nghìn美元 cho thời gian Pedhapati giám sát mô hình, tổng chi phí vẫn thấp hơn nhiều so với phần thưởng lý thuyết (~15.000 USD) mà một người có thể nhận được từ các chương trình thưởng lỗi của Google và Discord. Và đó mới chỉ là thị trường hợp pháp — chưa biết đến tội phạm sẽ trả bao nhiêu cho một lỗ hổng 0-day "nóng".

Theo Thẻ hệ thống (System Card) của Opus 4.7, "Opus 4.7 có khả năng mạng tương đương khoảng với Opus 4.6". Tuy nhiên, nó rõ ràng kém khả năng hơn so với bản xem trước Mythos và đi kèm với "các biện pháp bảo vệ tự động phát hiện và chặn các yêu cầu chỉ định các trường hợp sử dụng an ninh mạng bị cấm hoặc có rủi ro cao".

Tuy nhiên, đối với Pedhapati, mô hình cụ thể không phải là vấn đề cốt lõi. Vấn đề nằm ở những cải tiến liên tục trong việc tạo mã (code generation), đòi hỏi sự thay đổi trong tư duy và quy trình bảo mật.

"Dù Mythos có bị thổi phồng hay không thì cũng không quan trọng," Pedhapati nói. "Đường cong này không bị phẳng lại. Nếu không phải Mythos, thì sẽ là phiên bản tiếp theo, hoặc phiên bản sau nữa. Cuối cùng, bất kỳ kẻ tấn công nghiệp dư (script kiddie) nào đủ kiên nhẫn và có khóa API cũng sẽ có thể khai thác shell trên phần mềm chưa được vá lỗi. Vấn đề là khi, chứ không phải là nếu."

Nguy cơ từ các ứng dụng chậm cập nhật

Đối với các ứng dụng dựa trên khung Electron (như Slack, Discord, v.v.), câu hỏi đặt ra là khi nào họ sẽ cập nhật cơ sở mã của mình lên phiên bản mới nhất, hiện đang bị tụt hậu so với bản phát hành Google Chrome mới nhất.

Electron 41.2.1, phát hành vào ngày 15 tháng 4, bao gồm Chrome 146.0.7680.188, chỉ kém một phiên bản so với phiên bản Google Chrome dành cho máy tính để bàn (147.0.7727.101/102) phát hành vào ngày hôm đó. Tuy nhiên, các nhà phát triển ứng dụng Electron không nhất thiết cập nhật các phụ thuộc của họ ngay lập tức. Và người dùng cũng không nhất thiết nhận được các bản cập nhật đó ngay lập tức.

Pedhapati cho biết ông chọn Discord làm mục tiêu vì "Nó đang chạy trên Chrome 138, chậm hơn chín phiên bản lớn so với phiên bản hiện tại".

Pedhapati lập luận rằng khi các mô hình AI trở nên có khả năng phát triển exploit tốt hơn, "cửa sổ vá lỗi" (patch window) sẽ trở nên hẹp hơn.

"Mỗi bản vá lỗi về cơ bản là một gợi ý cho exploit," ông lập luận, thêm rằng điều này sẽ đặc biệt khó khăn đối với các dự án mã nguồn mở, vì các bản sửa lỗi thường hiển thị công khai trong mã trước khi phiên bản sửa đổi được phát hành.

Lời khuyên của ông dành cho các nhà phát triển là tập trung nhiều hơn vào bảo mật trước khi đẩy mã và chú ý kỹ hơn đến các phụ thuộc, để có thể thực hiện thay đổi nhanh chóng. Ông cũng lập luận rằng các bản vá bảo mật nên được thực hiện tự động, để mọi người không bị lộ liễu vì quên chấp nhận bản cập nhật. Ông nói thêm rằng các dự án mã nguồn mở như V8 nên thận trọng hơn về thời điểm công bố chi tiết lỗ hổng công khai.

"Mỗi lần commit công khai là một tiếng súng khởi động cho bất kỳ ai có khóa API và các thành viên nhóm mạnh mẽ có thể vũ khí hóa các exploit," ông nói.