Việc hack bằng AI đã bùng nổ thành mối đe dọa quy mô công nghiệp, Google cho biết

Chỉ trong ba tháng, việc hack bằng AI đã chuyển từ một vấn đề mới nổi thành một mối đe dọa quy mô công nghiệp, theo một báo cáo từ Google.

Các phát hiện từ nhóm tình báo mối đe dọa của Google bổ sung vào cuộc thảo luận toàn cầu ngày càng tăng về cách các mô hình AI mới nhất cực kỳ giỏi trong việc viết mã – và trở thành những công cụ cực kỳ mạnh mẽ để khai thác các lỗ hổng trong nhiều hệ thống phần mềm.

Báo cáo cho thấy các nhóm tội phạm, cũng như các tác nhân liên kết với nhà nước từ Trung Quốc, Triều Tiên và Nga, dường như đang sử dụng rộng rãi các mô hình thương mại – bao gồm Gemini, Claude và các công cụ từ OpenAI – để tinh chỉnh và mở rộng quy mô các cuộc tấn công.

“Có một sự hiểu lầm rằng cuộc đua lỗ hổng AI sắp xảy ra. Thực tế là nó đã bắt đầu rồi,” John Hultquist, nhà phân tích chính của nhóm, cho biết.

“Các tác nhân đe dọa đang sử dụng AI để tăng tốc độ, quy mô và sự tinh vi của các cuộc tấn công của họ. Nó cho phép họ kiểm tra hoạt động của mình, duy trì mục tiêu, xây dựng phần mềm độc hại tốt hơn và thực hiện nhiều cải tiến khác.”

Tháng trước, công ty AI Anthropic đã từ chối phát hành một trong những mô hình mới nhất của họ, Mythos, sau khi khẳng định rằng nó có khả năng cực kỳ mạnh mẽ và gây ra mối đe dọa cho các chính phủ, tổ chức tài chính và thế giới nói chung nếu rơi vào tay kẻ xấu.

Cụ thể, Anthropic cho biết Mythos đã tìm thấy các lỗ hổng zero-day trong “mọi hệ điều hành chính và mọi trình duyệt web chính” – thuật ngữ chỉ một lỗi trong sản phẩm mà các nhà phát triển chưa biết trước đó.

Công ty cho biết những khám phá này đòi hỏi “hành động phòng thủ phối hợp đáng kể trên toàn ngành”.

Tuy nhiên, báo cáo của Google phát hiện ra rằng một nhóm tội phạm gần đây đã sắp sửa khai thác một lỗ hổng zero-day để tiến hành một chiến dịch “khai thác hàng loạt” – và nhóm này dường như đang sử dụng một mô hình ngôn ngữ lớn (LLM) AI không phải là Mythos.

Báo cáo cũng phát hiện ra rằng các nhóm đang “thử nghiệm” OpenClaw, một công cụ AI đã lan truyền mạnh mẽ vào tháng 2 vì cho phép người dùng giao phó phần lớn cuộc sống của họ cho một tác nhân AI mà không có bất kỳ rào cản nào và có xu hướng không may là xóa hàng loạt hộp thư đến email.

Steven Murdoch, giáo sư kỹ thuật an ninh tại University College London, cho biết công cụ AI có thể giúp ích cho bên phòng thủ trong an ninh mạng – cũng như cho hacker.

“Đó là lý do tại sao tôi không hoảng sợ. Nói chung, chúng ta đã đạt đến giai đoạn mà cách cũ để phát hiện lỗi đã không còn, và giờ đây tất cả sẽ được hỗ trợ bởi LLM. Sẽ mất một thời gian để những hậu quả này được giải quyết,” ông nói.

Tuy nhiên, nếu AI đang giúp các hacker đầy tham vọng đạt được mục tiêu năng suất của họ, thì vẫn còn nghi ngờ liệu nó có đang thúc đẩy nền kinh tế rộng lớn hơn hay không.

Ada Lovelace Institute (ALI), một cơ quan nghiên cứu AI độc lập, đã cảnh báo chống lại các giả định về sự gia tăng năng suất hàng tỷ bảng Anh trong khu vực công từ AI. Chính phủ Anh ước tính khoản tiết kiệm và lợi ích năng suất trị giá 45 tỷ bảng Anh từ đầu tư vào công cụ kỹ thuật số và AI trong khu vực công.

Trong một báo cáo công bố hôm thứ Hai, ALI cho biết hầu hết các nghiên cứu về sự gia tăng năng suất liên quan đến AI đều đề cập đến tiết kiệm thời gian hoặc giảm chi phí, nhưng không xem xét các kết quả như dịch vụ tốt hơn hoặc phúc lợi người lao động được cải thiện.

Các khía cạnh có vấn đề khác của nghiên cứu này bao gồm: liệu các dự báo về hiệu quả liên quan đến AI trong môi trường làm việc có thực sự thành công trong thế giới thực hay không; các số liệu tiêu đề che giấu kết quả khác nhau khi sử dụng AI trong các nhiệm vụ khác nhau; và không tính đến tác động đến việc làm trong khu vực công và cung cấp dịch vụ.

“Các ước tính năng suất định hình các quyết định lớn của chính phủ về AI đôi khi dựa trên các giả định chưa được kiểm chứng và dựa vào các phương pháp luận có những hạn chế không phải lúc nào cũng được những người sử dụng số liệu trong thực tế đánh giá cao,” báo cáo của ALI cho biết.

“Kết quả là có một khoảng cách giữa sự tự tin mà các tuyên bố năng suất được trình bày và sức mạnh của bằng chứng đằng sau chúng.”

Các khuyến nghị của báo cáo bao gồm: khuyến khích các nghiên cứu trong tương lai phản ánh sự không chắc chắn về tác động của công nghệ; đảm bảo các bộ chính phủ đo lường tác động của các chương trình AI “ngay từ đầu”; và hỗ trợ các nghiên cứu dài hạn đo lường sự gia tăng năng suất trong nhiều năm thay vì vài tuần.