Agentic AI: Mối đe dọa nghiêm trọng cho an ninh mạng

Trong những tuần gần đây, các cuộc thảo luận đã tập trung vào tính năng **Agentic AI** thử nghiệm của Microsoft. Tính năng này mang lại khả năng tự động hóa tác vụ tiên tiến nhưng đồng thời cũng tiềm ẩn những lo ngại đáng kể về an ninh mạng.

Khả năng agentic này, hiện có sẵn cho người dùng Windows Insider như một phần của Copilot Labs, được thiết kế để cho phép các agent kỹ thuật số tự động hóa các hoạt động hàng ngày. Điều này bao gồm việc sắp xếp tệp, lên lịch và tương tác với các ứng dụng, hoạt động tương tự như một người dùng thực thụ.

Hiểu Về Cơ Chế Hoạt Động Của Agentic AI

Sự đổi mới của tính năng **Agentic AI** đến từ việc điều phối tác vụ dựa trên agent. Các agent sử dụng không gian làm việc cô lập của riêng mình để hoàn thành các tác vụ song song, mang lại lợi ích về năng suất.

Tuy nhiên, cách tiếp cận này cũng đồng thời đặt ra những thách thức kỹ thuật mới trong bối cảnh bảo mật.

Mở Rộng Bề Mặt Tấn Công Với Agentic AI

Sự xuất hiện của các tính năng **Agentic AI** đã mở rộng bề mặt tấn công cho môi trường Windows. Tính năng này phụ thuộc nhiều vào các tài khoản agent chạy nền và cấp cho các agent này quyền truy cập vào các tệp và thư mục của người dùng.

Các thư mục như Tài liệu (Documents), Tải xuống (Downloads), Màn hình nền (Desktop) và nhiều thư mục khác đều có thể bị truy cập. Điều này tạo ra một **mối đe dọa mạng** tiềm tàng nếu các tác nhân độc hại khai thác lỗ hổng.

Các nhà phân tích bảo mật của Microsoft đã nhận định rằng việc tách biệt tài khoản agent là một cải tiến bảo mật. Mặc dù vậy, những kẻ tấn công vẫn có thể tận dụng các vector tấn công mới.

Một trong những vector này là tấn công cross-prompt injection thông qua các yếu tố giao diện người dùng (UI) hoặc tài liệu độc hại. Bạn có thể tham khảo thêm thông tin chi tiết từ Microsoft tại trang hỗ trợ của họ.

Kiểu tấn công này có khả năng lừa các agent thực hiện các hành động không mong muốn. Chẳng hạn như đánh cắp dữ liệu hoặc vô tình cài đặt phần mềm độc hại, mà không cần sự can thiệp trực tiếp từ người dùng.

Việc tính năng này đang trong giai đoạn xem trước và triển khai theo từng giai đoạn cho thấy Microsoft đang tìm cách cải thiện tư thế bảo mật của mình với sự đóng góp rộng rãi từ cộng đồng và doanh nghiệp.

Cross-Prompt Injection: Một Vector Tấn Công Mới

Các nhà nghiên cứu của Microsoft đã lưu ý rằng các ứng dụng **Agentic AI** mang lại những rủi ro khác biệt so với phần mềm độc hại truyền thống. Thay vì dựa vào các payload thực thi trực tiếp, kẻ tấn công có thể khai thác các giao thức tự động hóa tác vụ của agent.

Điều này được thực hiện bằng cách nhúng các lệnh nguy hiểm vào tệp hoặc giao diện ứng dụng. Đây là một hình thức tấn công tinh vi hơn, khó bị **phát hiện xâm nhập** bằng các phương pháp truyền thống.

Cơ Chế Tấn Công Cross-Prompt Injection và Phát Hiện Xâm Nhập

Một kỹ thuật đã thu hút sự chú ý của giới bảo mật là cross-prompt injection. Trong kỹ thuật này, kẻ tấn công có thể chèn nội dung độc hại vào các tài liệu hoặc giao diện ứng dụng. Agent sẽ xử lý nội dung này như thể đó là các lời nhắc hợp pháp.

Cơ chế này, nếu không được kiểm soát, cho phép một lệnh được nhúng bỏ qua các kiểm soát người dùng thông thường. Điều này nhấn mạnh lý do tại sao các nhà nghiên cứu của Microsoft nhấn mạnh sự cần thiết của việc giám sát kế hoạch được cải thiện.

Quá trình này yêu cầu người dùng liên tục xem xét và cô lập các hành động của agent để duy trì **an ninh mạng**.

Ví dụ minh họa đơn giản về một cuộc tấn công prompt injection:

• Kẻ tấn công tạo một tài liệu (ví dụ: PDF, Word) chứa các lệnh ẩn hoặc được ngụy trang.
• Tài liệu này được đặt ở một vị trí mà agent có thể truy cập (ví dụ: thư mục Tải xuống).
• Khi agent xử lý tài liệu để thực hiện một tác vụ hợp lệ (ví dụ: sắp xếp, tóm tắt), nó sẽ đọc và thực thi các lệnh độc hại.
• Các lệnh này có thể bao gồm việc tải xuống và cài đặt phần mềm độc hại, gửi dữ liệu nhạy cảm đến một máy chủ từ xa, hoặc thay đổi cấu hình hệ thống.

Biện Pháp Phòng Ngừa và Giảm Thiểu Rủi Ro Bảo Mật

Một nhật ký kiểm toán có bằng chứng giả mạo (tamper-evident audit log) là một phần của hệ thống phòng thủ. Tuy nhiên, yêu cầu chính vẫn là ủy quyền người dùng chi tiết (granular user authorization) và ranh giới rõ ràng xung quanh các đặc quyền của agent.

Việc này đảm bảo rằng các agent chỉ có thể thực hiện những hành động cần thiết trong phạm vi quyền hạn được cấp. Từ đó, giảm thiểu rủi ro bị lạm dụng.

Tăng Cường Giám Sát và Cô Lập Hoạt Động Của Agent

Cần có một cơ chế giám sát kế hoạch chặt chẽ, cho phép người dùng xem xét và phê duyệt các hành động quan trọng của agent trước khi chúng được thực thi. Điều này bổ sung một lớp bảo vệ cần thiết.

Việc cô lập các hành động của agent, đảm bảo rằng chúng không thể ảnh hưởng đến các thành phần hệ thống nhạy cảm hoặc truy cập dữ liệu không liên quan, là rất quan trọng.

Khi ngày càng nhiều tổ chức thử nghiệm các khả năng **Agentic AI** này, sự cảnh giác liên tục và các kiểm soát thích ứng vẫn đóng vai trò quan trọng. Đây là chìa khóa để ngăn chặn các **mối đe dọa mạng** tiên tiến và bảo vệ hệ thống khỏi các cuộc tấn công chưa từng có.