JadePuffer: Khi AI tự mình hack và tống tiền từ A đến Z không cần con người

36290835b1f5358c966c.png


Chị em ơi, có một chi tiết trong báo cáo của team nghiên cứu bảo mật Sysdig mà đọc xong mình phải "hả" lên luôn: từ lúc đăng nhập fail tới lúc fix bug xong xuôi chỉ mất có 31 giây thôi, mà không hề có tay người nào can thiệp ở giữa cả! Lúc đó mình mới giật mình nhận ra JadePuffer không phải là một vụ tấn công ransomware (mã độc tống tiền) bình thường đâu nha. Đây là ca đầu tiên được ghi nhận đầy đủ, mà toàn bộ quy trình tấn công - từ xâm nhập, do thám, di chuyển ngang trong hệ thống, cho tới mã hóa dữ liệu đòi tiền chuộc - đều do một mô hình ngôn ngữ lớn tự vận hành từ đầu đến cuối luôn, không có ai ngồi gõ lệnh hết ấy

Cửa vào là lỗ hổng cũ rích mà vẫn ăn thua đều

JadePuffer không cần kỹ thuật gì cao siêu để mở đường đâu. Nó khai thác CVE-2025-3248, một lỗ hổng thực thi mã từ xa (remote code execution) trên Langflow - một framework mã nguồn mở khá phổ biến để build ứng dụng và quy trình làm việc dựa trên AI agent. Lỗ hổng này cho phép chạy code Python tuỳ ý mà không cần xác thực gì cả, và mặc dù đã được vá từ tháng 4/2025 rồi, nhưng vẫn còn vô số máy chủ Langflow công khai trên mạng chưa update

Mình hiểu tại sao các máy chủ này lại hấp dẫn bọn tấn công: chúng thường được dựng nhanh để test AI, ít khi có bảo mật chặt chẽ, mà bên trong lại hay chứa sẵn API key của các hãng AI lớn cùng thông tin đăng nhập cloud nữa chứ.

974fb4652f942dfd05b6.webp


Ngay khi có quyền thực thi code, AI agent bắt đầu "đi dạo" khắp hệ thống luôn: check user, mạng, tiến trình đang chạy, rồi quét song song đủ thứ thông tin nhạy cảm - từ API key của OpenAI, Anthropic, Gemini, tới thông tin đăng nhập cloud, ví crypto, và file config database. Nó còn tự lục kho lưu trữ MinIO (một dịch vụ lưu trữ tương thích S3 hay dùng trong hạ tầng đám mây riêng), dùng đúng combo "minioadmin:minioadmin" mặc định mà nhiều nơi quên đổi, để lấy về file xác thực quan trọng

Từ máy chủ ban đầu tới target thật sự

Máy chủ Langflow bị hack ban đầu chỉ là bàn đạp thôi nha. Target thật của JadePuffer là một máy chủ database MySQL production đang chạy song song dịch vụ Nacos - một platform quản lý cấu hình và định danh dịch vụ (service discovery) rất phổ biến trong các kiến trúc microservices kiểu Alibaba. Nacos có lỗ hổng xác thực đã biết từ năm 2021, và khoá ký mặc định của nó vẫn được nhiều nơi giữ nguyên không đổi kể từ khi bị leak vào năm 2020, khiến việc giả mạo token đăng nhập gần như ez game luôn

Đoạn mình thấy nổi da gà nhất là cách AI xử lý khi gặp vấn đề. Nó tạo một tài khoản admin ẩn, đăng nhập thử, fail. 12 giây sau, nó thử song song 2 hướng xử lý khác nhau. 19 giây tiếp theo, nó nhận ra nguyên nhân thật sự nằm ở cách gọi thư viện mã hoá mật khẩu, đổi cách gọi, xoá account lỗi, tạo lại account đúng cách. Đăng nhập thành công ngay sau đó. Toàn bộ chuỗi debug có suy luận rõ ràng này diễn ra trong 31 giây, nhanh hơn nhiều so với tốc độ một người đọc error message, tìm nguyên nhân rồi viết lại code sửa đó

Vì sao các nhà nghiên cứu chắc chắn đây là AI, không phải người?

Sysdig đưa ra 4 dấu hiệu để khẳng định đây là AI agent tự hành chứ không phải tool do người điều khiển nha. Thứ nhất, đoạn code tấn công liên tục có comment bằng ngôn ngữ tự nhiên giải thích lý do thực hiện từng bước, kiểu như xếp hạng database nào "đáng lấy nhất". Người viết code tấn công thật thường không comment tỉ mỉ như vậy cho những dòng lệnh dùng một lần rồi bỏ, nhưng mô hình ngôn ngữ lại có xu hướng làm điều đó một cách tự nhiên.

c1815d308875bb0eeecd.png


Thứ hai là tốc độ và độ chính xác khi chẩn đoán lỗi, như chuỗi sự kiện 31 giây kể trên. Thứ ba, khi một request gửi tới kho MinIO trả về XML thay vì JSON như mong đợi, agent lập tức điều chỉnh cách đọc data cho khớp, cho thấy nó thực sự hiểu nội dung response chứ không chỉ khớp pattern có sẵn. Thứ tư là số lượng: hơn 600 đoạn code tấn công riêng biệt, có mục đích rõ ràng, được thực thi trong một khoảng thời gian rất ngắn

Đòi tiền chuộc mà nạn nhân không thể trả để lấy lại data

Ở giai đoạn cuối, AI mã hoá toàn bộ 1.342 mục cấu hình dịch vụ trong Nacos bằng hàm mã hoá có sẵn của MySQL, xoá bảng gốc, rồi tạo một bảng mới chứa lời đe doạ cùng địa chỉ ví Bitcoin và một địa chỉ liên hệ qua Proton Mail. Chi tiết mỉa mai nhất mình thấy là khoá mã hoá được tạo ngẫu nhiên hoàn toàn, chỉ in ra màn hình một lần rồi không được lưu hay gửi đi đâu cả. Nói cách khác, ngay cả khi nạn nhân trả tiền, data cũng không thể khôi phục được, vì chính kẻ tấn công cũng không giữ chìa khoá

Địa chỉ Bitcoin trong lời đe doạ cũng đặt ra một câu hỏi mở thú vị. Đó là địa chỉ ví dụ minh hoạ kinh điển, xuất hiện khắp tài liệu kỹ thuật về Bitcoin, đến mức gần như chắc chắn đã nằm trong dữ liệu huấn luyện của mọi mô hình ngôn ngữ lớn. Các nhà nghiên cứu không thể khẳng định đây là mô hình tự "bịa" ra địa chỉ từ trí nhớ huấn luyện, hay kẻ đứng sau cố tình config một ví thật trùng hợp với ví dụ này, vì họ không có quyền truy cập vào phần chỉ dẫn hệ thống của agent

Ngưỡng kỹ năng tấn công đã hạ xuống rất thấp

Điều khiến mình thấy đáng lo hơn cả những con số kỹ thuật là ý nghĩa đằng sau nó. Từng bước riêng lẻ trong vụ tấn công này không có gì mới - khai thác lỗ hổng cũ, chiếm quyền admin, mã hoá data, đều là kỹ thuật đã biết từ lâu rồi. Điều mới là một mô hình AI đã tự nối toàn bộ các bước đó thành một chiến dịch hoàn chỉnh, nhắm vào hạ tầng bị bỏ quên, không cần người vận hành phải giỏi bất kỳ kỹ thuật riêng lẻ nào. Ngưỡng kỹ năng để chạy một cuộc tấn công tống tiền giờ chỉ còn phụ thuộc vào chi phí chạy một AI agent, và nếu agent đó lại chạy bằng năng lực tính toán bị đánh cắp, chi phí với kẻ tấn công gần như bằng 0 luôn á

Nguồn: tinhte.vn
 
Back
Top