Tấn công SymJack: Biến các trợ lý lập trình AI thành vũ khí tấn công chuỗi cung ứng

Niềm tin và sự tự động hóa luôn là hai yếu tố then chốt trong nhiều cuộc tấn công mạng, và sự kết hợp giữa chúng vốn dĩ đã hiện hữu trong cách chúng ta sử dụng các trợ lý lập trình AI (AI coding agents). Tuy nhiên, một lỗ hổng bảo mật mới được đặt tên là SymJack đã cho thấy cách những công cụ này có thể bị biến thành hệ thống phân phối cho các cuộc tấn công chuỗi cung ứng (supply chain attacks) nguy hiểm.

Bảo mật AI

Các kho lưu trữ mã nguồn độc hại là một yếu tố thường gặp trong khoảng 20% đến 40% các cuộc tấn công chuỗi cung ứng. Chúng có thể được sử dụng để lừa các nhà phát triển sử dụng AI coding agent tạo ra mã xấu, âm thầm len lỏi vào quy trình tích hợp liên tục (CI pipeline). Đây chính là một trong những khả năng của cuộc tấn công SymJack được mô tả bởi Adversa AI.

Cơ chế hoạt động của SymJack

Cuộc tấn công này đòi hỏi ba yếu tố chính: sự kiểm soát của kẻ tấn công đối với kho lưu trữ của tác nhân lập trình, một máy chủ MCP (Model Context Protocol) độc hại đã được chuẩn bị sẵn, và việc nhà phát triển sử dụng công cụ lập trình AI.

Adversa đặt tên cho cuộc tấn công này là SymJack vì nó chiếm đoạt một liên kết tượng trưng (symlink) trong quy trình phát triển mã, đổi tên nó thành thứ gì đó trông có vẻ vô hại nhưng thực chất lại chuyển hướng đến máy chủ MCP độc hại, và xây dựng chỉ thị của kẻ tấn công vào mã hoàn thiện.

Quy trình tấn công bắt đầu khi kẻ tấn công kiểm soát kho lưu trữ của tác nhân lập trình và tệp hướng dẫn dự án bên trong nó. Tệp này được làm độc hại nhưng vẫn được tác nhân lập trình sử dụng và tin tưởng.

Trong SymJack, một symlink độc hại được đổi tên để trông vô hại. Lệnh cp (copy) có thể được sử dụng để tự động chèn payload (tải trọng) của kẻ tấn công — được ẩn bên trong symlink ngụy trang — vào cài đặt cấu hình của chính tác nhân. Payload này đăng ký máy chủ MCP độc hại, nơi lệnh khởi chạy sẽ chạy bất cứ thứ gì kẻ tấn công mong muốn.

"Nhà phát triển chỉ thấy một yêu cầu: sao chép tệp [trông có vẻ vô hại] này sang thư mục tài liệu đó. Họ phê duyệt nó. Không có gì trên màn hình đề cập đến thư mục cấu hình, tệp MCP hay nội dung thực thi," Adversa tóm tắt. "Vào lần khởi động lại tiếp theo, máy chủ đã cài sẵn sẽ hoạt động, và mã của kẻ tấn công sẽ chạy dưới quyền người dùng, không bị sandbox cô lập."

Hậu quả đối với hệ thống CI

Trong một cuộc tấn công thực tế, SymJack có thể đánh cắp khóa SSH, token đám mây và phiên trình duyệt, hoặc thậm chí phá hủy tài sản sản xuất trước khi nhà phát triển kịp gõ phím tiếp theo.

Nếu cuộc tấn công nhắm vào hệ thống CI, phạm vi ảnh hưởng có thể được khuếch đại mà không cần thêm bất kỳ tương tác nào của người dùng. Các trình chạy CI (CI runners) đã chứa các bí mật cần thiết để vận hành.

"Một yêu cầu kéo (pull request) độc hại duy nhất có thể đánh cắp tất cả chúng trước khi bất kỳ con người nào xem xét thay đổi," báo cáo của Adversa nhận xét. "Đó là một cuộc tấn công chuỗi cung ứng với tác nhân lập trình đóng vai trò là cơ chế phân phối."

Phản hồi từ các nhà cung cấp

Adversa đã kiểm tra phương pháp luận của mình trên năm tác nhân lập trình lớn (Claude Code, Gemini CLI và Antigravity CLI, Cursor Agent CLI, Grok Build CLI và GitHub Copilot CLI) và nhận thấy nó hoạt động trong mọi trường hợp. Công ty đã báo cáo vấn đề này cho cả năm công ty.

Tại thời điểm viết bài, xAI và GitHub chưa phản hồi; Google từ chối báo cáo vì coi việc phê duyệt rõ ràng của người dùng là hành vi dự định; Cursor từ chối, nói rằng họ đã biết về vấn đề này; và Anthropic ban đầu cũng từ chối vấn đề này vì nằm ngoài phạm vi.

Tuy nhiên, dù bị từ chối ban đầu, Anthropic đã âm thầm củng cố bảo mật cho Claude Code vài tuần sau đó.

"Phiên bản đã được củng cố của Claude Code giờ đây giải quyết các symlink trước khi yêu cầu phê duyệt và hiển thị đường dẫn đích thực trong lời nhắc," Adversa lưu ý.

Đây là một khởi đầu tốt. Thuyết phục người dùng cân nhắc kỹ trước khi hành động có thể giúp ngăn chặn cuộc tấn công SymJack và sẽ đủ đơn giản để các tác nhân lập trình khác triển khai. Việc phát hiện ra những điểm yếu như SymJack có khả năng sẽ tăng lên — đây là kết quả tự nhiên của việc đặt quá nhiều niềm tin vào quá nhiều sự tự động hóa.