AI 全 tự động “tấn công ransomware” bị phơi bày! Mã hiệu JadePuffer chuyên quét ví tiền mã hóa

資安公司 Sysdig 7 月 1 日揭露 một vụ tấn công được gắn mã JadePuffer, các nhà nghiên cứu đánh giá đây là vụ tấn công ransomware tự động hoàn toàn đầu tiên trên thế giới do AI Agent thực thi. Một agent do LLM điều khiển tự chạy trọn chuỗi tấn công—từ dò quét, đánh cắp mật khẩu, di chuyển ngang, nâng quyền để lấy dữ liệu mã hóa—và còn tự debug và sửa trong vòng 31 giây khi đăng nhập của quản trị viên thất bại, đồng thời nhắm chuyên biệt vào các ví tiền mã hóa của nạn nhân. Tuy nhiên, việc thực thi thực sự vẫn do con người.
(Cập nhật trước: Microsoft Copilot Cowork bộc lộ lỗ hổng nghiêm trọng—AI Agent gặp tấn công bằng prompt và tự động rò rỉ tài liệu bí mật của doanh nghiệp)
(Bổ sung bối cảnh: các nhà nghiên cứu tại Google, Meta kêu gọi chung rằng an toàn của AI Agent không phải là vấn đề của mô hình, mà là vấn đề của hệ thống)

Mục lục bài viết

Toggle

  • Tự sửa bug trong 31 giây, nhanh đến mức không ai làm được như con người
  • Tập trung quét ví mã hóa
  • Nhưng nạn nhân vẫn là do con người chọn

Tóm tắt trọng điểm

  • Sysdig 7/1 tiết lộ JadePuffer, xác định đây là vụ ransomware do AI Agent tự động thực thi hoàn toàn đầu tiên trong lịch sử
  • LLM agent tự chạy xong chuỗi tấn công từ dò điểm đến mã hóa, tự sửa trong 31 giây khi đăng nhập thất bại; chạy hơn 600 payload kèm chú thích bình dân sẵn
  • Agent tập trung vào ví tiền mã hóa và khóa API như OpenAI, Anthropic, nhưng việc chọn nạn nhân và hạ tầng vẫn do con người

Công ty an ninh mạng Sysdig vào ngày 7/1 đã phát hành báo cáo, tiết lộ một vụ xâm nhập xảy ra vào cuối tháng 6, được gắn mã JadePuffer, và phán định đây là vụ tấn công ransomware thực thi end-to-end tự chủ bằng AI Agent đầu tiên có ghi nhận. Đây là một agent do LLM điều khiển: chính nó tự hoàn tất toàn bộ quy trình từ do thám, đánh cắp thông tin xác thực, di chuyển ngang, nâng cấp quyền, đến cuối cùng mã hóa dữ liệu trong cơ sở dữ liệu.

Điểm xâm nhập là lỗ hổng quan trọng của framework mã nguồn mở Langflow CVE-2025-3248 (một lỗ hổng thực thi mã từ xa với CVSS 9.8; Langflow chính là công cụ phổ biến để dựng ứng dụng LLM). Agent từ đây đột nhập, rồi lợi dụng việc vượt qua cơ chế xác thực của Nacos để nhảy sang cơ sở dữ liệu MySQL của môi trường chính thức; cuối cùng nó mã hóa 1.342 mục cấu hình Nacos và tự viết sẵn thư tống tiền.

Tự sửa bug trong 31 giây, nhanh đến mức không ai làm được như con người

Sysdig dám khẳng định phía sau là AI chứ không phải người nhờ một vài chi tiết “không giống con người”. Trong quá trình tấn công, agent cố tạo một tài khoản quản trị nhưng lại vướng bug: đăng nhập thất bại trả về một chuỗi hash mật khẩu rỗng; sau khi đọc thông báo lỗi, nó ngay lập tức đổi cách làm từ gọi hàm con sang nạp thẳng thư viện hàm bcrypt, xóa tài khoản lỗi, dùng hash đúng để xây dựng lại, rồi đăng nhập thành công—tổng thời gian trước sau chỉ 31 giây.

Toàn bộ chiến dịch, Sysdig ghi nhận được hơn 600 payload nhắm mục tiêu rõ ràng, và mỗi đoạn đều có chú thích giải thích bằng lời bình dân về mục đích của bước đó, thứ tự ưu tiên và logic xử lý. Cách viết kiểu “vừa làm vừa lải nhải” này chính là phong cách đặc trưng của việc sinh mã bằng LLM; hacker con người rất hiếm khi viết như vậy.

Tinh tế hơn nữa, Sysdig phát hiện quá trình tấn công sử dụng không chỉ một mô hình. Khi dò điểm, agent tiện thể thu thập toàn bộ khóa API của OpenAI, Anthropic, Google và DeepSeek.

Chuyên quét ví tiền mã hóa

Với giới crypto, điều đáng cảnh giác nhất là hành động “gom danh sách”. Agent này được cấu hình rõ ràng để quét ví tiền mã hóa và cụm từ ghi nhớ (seed/mnemonic) trong hệ thống của nạn nhân, đồng thời đóng gói cả chứng chỉ dữ liệu và mật khẩu tài khoản cơ sở dữ liệu của các nhà cung cấp dịch vụ đám mây (Aliyun, Tencent Cloud, Huawei Cloud).

Điều này không hề gây bất ngờ. Tiền mã hóa từ lâu đã là phương thức thu tiền ưa thích của ransomware: khó lần theo, vượt biên giới, không phải đi qua ngân hàng; giờ đây AI hạ chi phí tấn công xuống cực thấp, tài sản cũng được đưa thẳng vào danh sách mục tiêu. Những quy trình mà cả một nhóm hacker phải phân công mới chạy nổi trước đây, giờ chỉ cần agent thêm vài công cụ mã nguồn mở là có thể nhân bản.

Nhưng nạn nhân vẫn là do con người chọn

Nghe thì giật gân, nhưng có một điểm then chốt: chuỗi thực thi kỹ thuật đúng là do AI tự chủ hoàn thành, và có cả khả năng ứng biến tại chỗ; tuy nhiên việc quyết định “đánh ai” vẫn do con người. Chính con người chọn nạn nhân, dựng sẵn hạ tầng tấn công, và chuyển các thông tin xác thực bị đánh cắp ban đầu cho agent; AI chỉ đảm nhận phần việc nặng nhọc ở nửa sau. Thực sự được tự động hóa là “cách tấn công”, chứ chưa phải “tấn công ai”.

Câu hỏi thường gặp

JadePuffer là gì? Vì sao nói đây là vụ tấn công ransomware tự động hoàn toàn bằng AI đầu tiên trong lịch sử?

JadePuffer là vụ tấn công do công ty an ninh mạng Sysdig tiết lộ vào tháng 7 năm 2026. Đây là một AI agent do LLM điều khiển, tự hoàn thành trọn quy trình ransomware từ dò quét, đánh cắp thông tin xác thực, di chuyển ngang, nâng quyền đến mã hóa dữ liệu; đồng thời còn tự viết thư tống tiền. Sysdig xác định đây là vụ ransomware do AI thực thi end-to-end đầu tiên có ghi nhận.

Vụ tấn công AI này liên quan gì đến tiền mã hóa?

AI agent này được thiết lập để quét chuyên biệt ví tiền mã hóa và cụm từ ghi nhớ trong hệ thống của nạn nhân, kèm theo việc đánh cắp khóa API của OpenAI, Anthropic, Google, DeepSeek và chứng thực của dịch vụ đám mây. Tiền mã hóa lâu nay luôn là phương thức thu tiền ưu tiên của ransomware; nay tài sản bản thân cũng trở thành mục tiêu trực tiếp.

Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
  • Phần thưởng
  • Bình luận
  • Đăng lại
  • Retweed
Bình luận
Thêm một bình luận
Thêm một bình luận
Không có bình luận
  • Đã ghim