Các tác nhân lập trình AI là bề mặt tấn công mới

Bạn cấp quyền cho một tác nhân AI để hành động. Nó sao chép một kho lưu trữ (repository). Nó cấu hình các cài đặt. Nó thực thi mã. Bạn vừa tạo ra một lỗ hổng bảo mật khổng lồ.

Các nhà nghiên cứu đã tìm ra cách để vượt qua bảo mật. Một kho lưu trữ GitHub có thể trông có vẻ sạch sẽ đối với các trình quét và con người. Nó cũng có thể vượt qua kiểm tra của một tác nhân AI. Tuy nhiên, nó lại chứa một mã độc (malicious payload). Mã độc này chạy trong quá trình thiết lập thông thường.

Cuộc tấn công này không đánh lừa con người. Nó dựa vào việc tác nhân đang thực hiện công việc của mình. Tác nhân sao chép mã và chạy nó một cách tự động. Hiệu suất của tác nhân chính là điểm yếu.

Các cuộc tấn công chuỗi cung ứng không phải là mới. Chúng ta đã biết về typosquatting và các tập lệnh độc hại. Nhưng các tác nhân AI làm thay đổi quy mô. Một tác nhân hoạt động tự chủ với các quyền hạn cao.

Các cuộc tấn công cũ cần con người mắc lỗi. Các cuộc tấn công mới chỉ cần vượt qua kiểm tra của tác nhân. Các tác nhân tập trung vào việc làm cho dự án hoạt động. Chúng không tập trung vào việc xác minh xem mã có an toàn hay không.

Đây không phải là về hiện tượng ảo giác AI (hallucinations) hay tấn công chèn câu lệnh (prompt injections). AI không bị lỗi. Nó đang hoạt động chính xác như dự định.

Vấn đề thực sự nằm ở sự tin tưởng. Chúng ta để các tác nhân tự chủ chạy mã trong các đường ống (pipelines) và môi trường phát triển. Chúng ta thường bỏ qua việc cô lập (sandboxing) đúng cách hoặc giới hạn quyền hạn. Chúng ta tin tưởng vào các hành động của tác nhân mà không kiểm tra chúng.

Nếu bạn sử dụng các tác nhân lập trình AI, hãy kiểm tra hành vi của chúng:

  • Chúng có chạy các tập lệnh cài đặt mà không hỏi ý kiến không?
  • Chúng có tự động thực thi các hook thiết lập không?
  • Chúng có những quyền hạn gì trên máy tính của bạn?

Nếu bạn làm việc trong lĩnh vực bảo mật, hãy cảnh giác với các công cụ dạng tác nhân (agentic tools). Các nhà phát triển thường sử dụng chúng mà không có sự phê duyệt chính thức. Một tác nhân sao chép và chạy mã là một công cụ để leo thang đặc quyền (privilege escalation).

Chúng ta đang triển khai các công cụ tự chủ nhanh hơn mức chúng ta xây dựng các khung an toàn (safety frameworks). Khả năng đang chạy đua vượt xa bảo mật. Vì các công cụ này hoạt động tự chủ, hậu quả của lỗ hổng này là rất lớn.

Hãy coi bất kỳ đường ống nào sao chép và chạy mã bên ngoài là có rủi ro cao. Một tác nhân AI nhấn nút chạy không làm thay đổi rủi ro. Nó chỉ loại bỏ sự tạm dừng của con người - thứ vốn giúp phát hiện các sai sót.

Ai chịu trách nhiệm bảo mật cho những gì một tác nhân thực thi? Đó là nhà phát triển, người xây dựng tác nhân, hay nền tảng lưu trữ? Hiện vẫn chưa có ai trả lời câu hỏi này.

Source: https://dev.to/coridev/ai-coding-agents-are-the-new-attack-surface-nobodys-ready-for-1jf1

Optional learning community: https://t.me/GyaanSetuAi