Chỉ còn vài tháng trước khi hacker dùng AI trở thành “chuẩn mới”

Một số khả năng của các mô hình thậm chí đang được giới hạn hoặc kiểm soát trong môi trường thử nghiệm để tạo thêm thời gian cho các nhà phát triển vá lỗ hổng trước khi công nghệ này bị lạm dụng rộng rãi.

Thông điệp của Palo Alto khá rõ ràng: vài tháng tới cần được xem là giai đoạn tăng cường phòng thủ khẩn cấp, chứ không phải chỉ là thời gian lên kế hoạch.

Dấu hiệu cho thấy sự thay đổi đã bắt đầu

Các báo cáo độc lập cũng cho thấy quá trình chuyển đổi sang các cuộc tấn công có hỗ trợ AI đã bắt đầu diễn ra.

Google Threat Intelligence Group (GTIG) nhận định môi trường tấn công đang chuyển từ giai đoạn thử nghiệm sang việc áp dụng AI ở quy mô công nghiệp trong quy trình tấn công.

Theo các nhà nghiên cứu của Google, AI đang được sử dụng trong nhiều bước của chuỗi tấn công, bao gồm:

• trinh sát mục tiêu (reconnaissance)
• tìm kiếm lỗ hổng
• phát triển malware
• các chiến dịch truy cập ban đầu

Đáng chú ý, Google cũng phát hiện trường hợp đầu tiên tội phạm mạng dùng AI để hỗ trợ tạo một exploit zero‑day hoạt động được.

Exploit này nhắm vào một lỗ hổng cho phép vượt qua xác thực hai lớp (2FA) trong một công cụ quản trị web mã nguồn mở. Nhóm tấn công dự định dùng nó cho chiến dịch khai thác diện rộng trước khi bị phát hiện và ngăn chặn.

Các báo cáo cũng cho thấy việc sử dụng AI trong tấn công mạng không chỉ giới hạn ở tội phạm mạng mà còn liên quan đến các nhóm được nhà nước hậu thuẫn, cho thấy công nghệ này đang lan rộng nhanh trong toàn bộ hệ sinh thái đe dọa.

Vì sao các mô hình AI mới thay đổi cục diện

Điểm thay đổi lớn nhất không chỉ là hacker có thể dùng AI — mà là tốc độ và quy mô của các cuộc tấn công tăng mạnh khi AI tham gia vào quy trình.

Đánh giá của Viện An ninh AI Vương quốc Anh cho thấy mô hình Claude Mythos Preview có thể hoàn thành một mô phỏng tấn công mạng doanh nghiệp từ đầu đến cuối — một nhiệm vụ mà con người có thể mất khoảng 20 giờ làm việc.

Các đánh giá ban đầu với OpenAI GPT‑5.5 cho thấy một họ mô hình khác cũng đạt mức hiệu năng tương tự trong các bài kiểm tra an ninh mạng, cho thấy năng lực này không còn giới hạn ở một nhà phát triển duy nhất.

Trong thực tế, AI có thể hỗ trợ:

• quét các codebase lớn để tìm điểm yếu
• suy luận chuỗi khai thác từ nhiều lỗ hổng
• tạo mã exploit thử nghiệm
• lặp lại và cải tiến tấn công dựa trên phản hồi

Kết quả là vòng đời tấn công bị “nén lại”: những việc trước đây cần nhiều giờ hoặc nhiều ngày phân tích thủ công có thể được thực hiện nhanh hơn nhiều.

Tuy vậy, dữ liệu hiện tại chưa cho thấy các chiến dịch tấn công AI hoàn toàn tự động ở quy mô lớn đã phổ biến. Thay vào đó, giai đoạn hiện nay chủ yếu là sự kết hợp giữa chuyên môn của con người và khả năng tự động hóa ngày càng mạnh của AI.

Doanh nghiệp nên làm gì ngay bây giờ?

Các chuyên gia an ninh mạng cho rằng mốc thời gian ngắn đồng nghĩa với việc tổ chức cần hành động ngay để giảm bề mặt tấn công và tăng khả năng phát hiện sớm.

Những ưu tiên quan trọng gồm:

Giảm bề mặt tấn công
Kiểm kê các dịch vụ mở ra internet, phần mềm lỗi thời, giao diện quản trị công khai và các dependency dễ tổn thương. Ưu tiên vá lỗi dựa trên mức độ khai thác thực tế.

Tăng tốc phát hiện lỗ hổng
Sử dụng phân tích mã nguồn, kiểm thử tự động và các bài kiểm thử red‑team (đội giả lập tấn công) để tìm điểm yếu trước khi kẻ tấn công làm điều đó.

Siết chặt quản lý danh tính và truy cập
Áp dụng xác thực đa yếu tố chống phishing, loại bỏ tài khoản cũ, giảm quyền truy cập và giám sát hoạt động của tài khoản dịch vụ.

Nâng cao khả năng phát hiện tấn công
Tập trung hóa log, triển khai giám sát hành vi để phát hiện hoạt động trinh sát, thực thi mã bất thường, lạm dụng thông tin đăng nhập và di chuyển ngang trong hệ thống.

Chuẩn bị phản ứng sự cố nhanh hơn
Xây dựng kịch bản cô lập hệ thống nhanh, kiểm tra quy trình khôi phục backup và đảm bảo quy trình vá lỗi có thể triển khai nhanh trong tình huống khẩn cấp.

Kết luận

AI đang chuyển từ công cụ nghiên cứu sang năng lực thực chiến trong tấn công mạng. Các mô hình AI mới đã chứng minh khả năng tự động hóa một phần việc tìm lỗ hổng và phát triển exploit, trong khi dữ liệu tình báo cho thấy hacker đã bắt đầu thử nghiệm các kỹ thuật này ngoài thực tế.

Mốc thời gian chính xác vẫn còn khó dự đoán. Nhưng xu hướng thì đã rõ: nếu các chuyên gia đúng khi nói rằng tấn công mạng bằng AI có thể trở thành điều bình thường chỉ trong vài tháng, thì những tổ chức củng cố phòng thủ ngay từ bây giờ sẽ có lợi thế lớn trước làn sóng đe dọa sắp tới.