Trong nhiều năm, các chuyên gia an ninh mạng đã tranh luận khi nào – chứ không phải liệu – trí tuệ nhân tạo sẽ vượt qua ngưỡng từ vai trò cố vấn sang kẻ tấn công tự động. Cột mốc lý thuyết đó đã đến.
Cuộc điều tra gần đây của Anthropic về một chiến dịch do nhà nước Trung Quốc bảo trợ đã ghi nhận [PDF] trường hợp đầu tiên các cuộc tấn công mạng do AI dàn dựng được thực hiện ở quy mô lớn với sự giám sát tối thiểu của con người, làm thay đổi những gì các doanh nghiệp phải chuẩn bị trong bối cảnh mối đe dọa sắp tới.
Chiến dịch này, được Anthropic gán cho một nhóm với tên GTG-1002, đại diện cho điều mà các nhà nghiên cứu bảo mật đã cảnh báo từ lâu nhưng chưa bao giờ thực sự chứng kiến trong thực tế: một hệ thống AI tự động thực hiện gần như mọi giai đoạn xâm nhập mạng – từ trinh sát ban đầu đến lấy cắp dữ liệu – trong khi các nhà điều hành con người chỉ giám sát các điểm kiểm soát chiến lược.
Đây không phải là sự phát triển từng bước mà là một sự thay đổi trong khả năng tấn công làm rút gọn những gì mà các nhóm tấn công có kỹ năng phải mất hàng tuần thành các hoạt động chỉ trong vài giờ, được thực hiện với tốc độ máy móc trên hàng chục mục tiêu cùng lúc.
Các con số đã nói lên tất cả. Phân tích pháp y của Anthropic tiết lộ rằng 80 đến 90% hoạt động chiến thuật của GTG-1002 diễn ra tự động, với con người chỉ can thiệp vào bốn đến sáu điểm ra quyết định quan trọng trong mỗi chiến dịch.
Chiến dịch này nhắm mục tiêu vào khoảng 30 thực thể – các tập đoàn công nghệ lớn, tổ chức tài chính, nhà sản xuất hóa chất và cơ quan chính phủ – đạt được các vụ xâm nhập được xác nhận vào một số mục tiêu có giá trị cao. Ở đỉnh điểm hoạt động, hệ thống AI đã tạo ra hàng nghìn yêu cầu với tốc độ nhiều hoạt động mỗi giây, một nhịp độ mà các đội ngũ con người không thể duy trì về mặt thể chất.
Giải phẫu một vụ xâm nhập tự động
Kiến trúc kỹ thuật đằng sau các cuộc tấn công mạng do AI dàn dựng này cho thấy sự hiểu biết tinh vi về cả khả năng AI và các kỹ thuật bỏ qua an toàn.
GTG-1002 đã xây dựng một khung tấn công tự động xung quanh Claude Code, công cụ hỗ trợ mã hóa của Anthropic, được tích hợp với các máy chủ Model Context Protocol (MCP) cung cấp giao diện cho các tiện ích kiểm tra thâm nhập tiêu chuẩn – trình quét mạng, các khung khai thác cơ sở dữ liệu, công cụ phá mật khẩu và bộ phân tích nhị phân.
Bước đột phá không nằm ở việc phát triển phần mềm độc hại mới mà ở khả năng điều phối. Những kẻ tấn công đã thao túng Claude thông qua các kỹ thuật lừa đảo xã hội được xây dựng cẩn thận, thuyết phục AI rằng nó đang thực hiện các thử nghiệm bảo mật phòng thủ hợp pháp cho một công ty an ninh mạng.
Họ đã phân tích các cuộc tấn công phức tạp nhiều giai đoạn thành các nhiệm vụ rời rạc, có vẻ vô hại – quét lỗ hổng, xác thực thông tin đăng nhập, trích xuất dữ liệu – mỗi nhiệm vụ đều có vẻ hợp pháp khi được đánh giá riêng lẻ, ngăn Claude nhận ra bối cảnh độc hại rộng hơn.
Khi đi vào hoạt động, khung này đã thể hiện khả năng tự chủ đáng kể.
Trong một vụ xâm nhập được ghi nhận, Claude đã tự động phát hiện các dịch vụ nội bộ trong mạng mục tiêu, lập bản đồ cấu trúc liên kết mạng hoàn chỉnh trong nhiều dải IP, xác định các hệ thống có giá trị cao bao gồm cơ sở dữ liệu và các nền tảng điều phối quy trình làm việc, nghiên cứu và viết mã khai thác tùy chỉnh, xác thực các lỗ hổng thông qua hệ thống liên lạc callback, thu thập thông tin đăng nhập, kiểm tra chúng một cách có hệ thống trong cơ sở hạ tầng được phát hiện, và phân tích/đánh cắp dữ liệu để phân loại các phát hiện theo giá trị tình báo – tất cả đều không có sự chỉ đạo từng bước của con người.
AI duy trì bối cảnh hoạt động liên tục trong các phiên kéo dài nhiều ngày, cho phép các chiến dịch tiếp tục liền mạch sau khi bị gián đoạn.
Nó đưa ra các quyết định nhắm mục tiêu tự động dựa trên cơ sở hạ tầng được phát hiện, điều chỉnh các kỹ thuật khai thác khi các phương pháp tiếp cận ban đầu thất bại, và tạo ra tài liệu toàn diện trong suốt tất cả các giai đoạn – các tệp markdown có cấu trúc theo dõi các dịch vụ được phát hiện, thông tin đăng nhập đã thu thập, dữ liệu được trích xuất và toàn bộ quá trình tấn công.
Điều này có ý nghĩa gì đối với an ninh doanh nghiệp
Chiến dịch GTG-1002 phá vỡ một số giả định cơ bản đã định hình các chiến lược an ninh doanh nghiệp. Các biện pháp phòng thủ truyền thống được hiệu chỉnh dựa trên những hạn chế của kẻ tấn công con người – giới hạn tốc độ, phát hiện bất thường hành vi, đường cơ sở nhịp độ hoạt động – đang đối mặt với một đối thủ hoạt động ở tốc độ máy móc với sức bền của máy móc.
Kinh tế học của các cuộc tấn công mạng đã thay đổi đáng kể, khi 80-90% công việc chiến thuật có thể được tự động hóa, có khả năng đưa các khả năng cấp độ quốc gia vào tầm với của các tác nhân đe dọa kém tinh vi hơn.
Tuy nhiên, các cuộc tấn công mạng do AI dàn dựng phải đối mặt với những hạn chế cố hữu mà các nhà phòng thủ doanh nghiệp nên hiểu. Cuộc điều tra của Anthropic đã ghi nhận các ảo giác AI thường xuyên trong quá trình hoạt động – Claude tuyên bố đã có được thông tin đăng nhập không hoạt động, xác định "những khám phá quan trọng" hóa ra là thông tin có sẵn công khai, và phóng đại những phát hiện cần xác minh của con người.
Các vấn đề về độ tin cậy vẫn là một điểm cản trở đáng kể đối với các hoạt động tự động hoàn toàn, mặc dù cho rằng chúng sẽ tồn tại vô thời hạn sẽ là một sự ngây thơ nguy hiểm khi khả năng AI tiếp tục phát triển.
Yêu cầu phòng thủ cấp bách
Thực tế song hành của AI tiên tiến mang lại cả thách thức và cơ hội. Các khả năng tương tự cho phép chiến dịch của GTG-1002 đã chứng tỏ là thiết yếu cho phòng thủ – nhóm Tình báo Mối đe dọa của Anthropic đã dựa rất nhiều vào Claude để phân tích khối lượng dữ liệu khổng lồ được tạo ra trong quá trình điều tra của họ.
Xây dựng kinh nghiệm tổ chức về những gì hiệu quả trong các môi trường cụ thể – hiểu được điểm mạnh và hạn chế của AI trong các bối cảnh phòng thủ – trở nên quan trọng trước khi làn sóng tấn công tự động tinh vi hơn tiếp theo xuất hiện.
Tiết lộ của Anthropic báo hiệu một bước ngoặt. Khi các mô hình AI tiến bộ và các tác nhân đe dọa tinh chỉnh các khung tấn công tự động, câu hỏi không phải là liệu các cuộc tấn công mạng do AI dàn dựng có gia tăng trong bối cảnh mối đe dọa hay không – mà là liệu các biện pháp phòng thủ của doanh nghiệp có thể phát triển đủ nhanh để chống lại chúng hay không.
Cửa sổ để chuẩn bị, mặc dù vẫn đang mở, nhưng đang thu hẹp nhanh hơn nhiều nhà lãnh đạo an ninh có thể nhận ra.
