Cảnh báo AI mã nguồn mở tiềm ẩn nguy cơ an ninh mạng

Tội phạm mạng có thể lợi dụng Model Context Protocol (MCP), một giao thức kết nối AI mã nguồn mở để tiến hành các cuộc tấn công chuỗi cung ứng.

MCP được Anthropic công bố mã nguồn mở vào năm 2024, là một giao thức cho phép các hệ thống AI (trí tuệ nhân tạo), đặc biệt là các ứng dụng dựa trên mô hình ngôn ngữ lớn (LLM) kết nối trực tiếp với các công cụ và dịch vụ bên ngoài.

Giống như bất cứ công cụ mã nguồn mở khác, MCP có thể bị kẻ xấu lợi dụng. Trong nghiên cứu mới đây, các chuyên gia của Nhóm Ứng phó Khẩn cấp của Kaspersky (Kaspersky Emergency Response Team - GERT) đã thực hiện một kịch bản thử nghiệm, mô phỏng cách kẻ tấn công lợi dụng máy chủ MCP.

Cuộc thử nghiệm nhằm minh họa cách kẻ gian tấn công chuỗi cung ứng thông qua giao thức này, đồng thời cho thấy mức độ thiệt hại có thể xảy ra khi tổ chức, doanh nghiệp sử dụng các công cụ như MCP mà không kiểm tra, rà soát kỹ lưỡng.

Trong phòng thí nghiệm an ninh mạng, các chuyên gia mô phỏng một máy tính của lập trình viên bị cài đặt máy chủ MCP độc hại, từ đó có thể thu thập được nhiều loại dữ liệu nhạy cảm, bao gồm:

- Mật khẩu lưu trong trình duyệt

- Thông tin thẻ tín dụng

- Tệp ví tiền mã hóa

- API token và thông tin chứng chỉ

- Cấu hình đám mây và nhiều loại dữ liệu khác

Trong cuộc tấn công mô phỏng, người dùng dễ bị đánh lừa do không nhận ra dấu hiệu bất thường. Mặc dù Kaspersky chưa từng ghi nhận phương thức tấn công này trong thực tế, người dùng vẫn cần cảnh giác rằng tội phạm mạng có thể lợi dụng phương thức này không chỉ để đánh cắp dữ liệu nhạy cảm mà còn để thực hiện các hành vi nguy hiểm khác như chạy mã độc, cài đặt backdoor hay phát tán mã độc tống tiền.

Trước những nguy cơ đó, các chuyên gia an ninh mạng cũng đưa ra khuyến nghị nhằm giúp doanh nghiệp giảm thiểu rủi ro trước các cuộc tấn công lợi dụng MCP.

Kiểm tra kỹ MCP trước khi cài đặt: Mọi máy chủ mới cần được quét, đánh giá và phê duyệt trước khi đưa vào sử dụng thực tế. Doanh nghiệp nên duy trì một danh sách trắng (whitelist) các máy chủ đã được xác thực, nhằm dễ dàng phát hiện và kiểm soát bất kỳ yếu tố mới nào xuất hiện.

Giới hạn quyền truy cập: Vận hành máy chủ trong các container hoặc máy ảo (virtual machine), chỉ cấp quyền truy cập đến những thư mục thực sự cần thiết, đồng thời tách biệt các mạng lưới, đảm bảo môi trường phát triển không thể kết nối đến hệ thống sản xuất hoặc các hệ thống nhạy cảm khác.

Theo dõi hành vi bất thường: Cần ghi lại toàn bộ câu prompt và phản hồi, giúp phát hiện kịp thời các chỉ dẫn ẩn hoặc thao tác bất thường. Đặc biệt chú ý đến những dấu hiệu khả nghi như câu lệnh SQL ngoài dự kiến hoặc luồng dữ liệu bất thường, chẳng hạn như dữ liệu bị gửi ra ngoài từ các chương trình không nằm trong quy trình hoạt động thông thường.

Triển khai dịch vụ quản lý bảo mật như Managed Detection and Response (MDR) và/hoặc Incident Response: Các dịch vụ này bao quát toàn bộ quy trình xử lý sự cố, từ phát hiện mối đe dọa, bảo vệ liên tục đến khắc phục. Giải pháp này vẫn giúp doanh nghiệp phòng vệ trước các cuộc tấn công tinh vi, điều tra sự cố và cung cấp thêm chuyên môn cần thiết, ngay cả khi doanh nghiệp thiếu nhân sự chuyên trách về an ninh mạng.