Tin tặc lần đầu sử dụng AI Agent để tự động đánh cắp dữ liệu sau khi xâm nhập hệ thống

Một chiến dịch tấn công mạng mới vừa được các nhà nghiên cứu phát hiện đang làm dấy lên lo ngại về khả năng AI không còn chỉ hỗ trợ tin tặc mà đã bắt đầu trực tiếp tham gia vào các giai đoạn hậu xâm nhập trong các cuộc tấn công thực tế.
​

Theo báo cáo từ Sysdig, một tác nhân đe dọa chưa xác định đã sử dụng một AI Agent dựa trên mô hình ngôn ngữ lớn (LLM) để tự động thực hiện hàng loạt hoạt động sau khi chiếm được quyền truy cập vào hệ thống mục tiêu. Đây được xem là một trong những trường hợp đầu tiên ghi nhận AI Agent được sử dụng trong môi trường tấn công thực tế thay vì chỉ xuất hiện trong các thử nghiệm hoặc nghiên cứu học thuật.​

Khởi đầu từ lỗ hổng RCE nghiêm trọng trên Marimo​

Chuỗi tấn công bắt đầu bằng việc khai thác lỗ hổng CVE-2026-39987 trên nền tảng Marimo, một công cụ notebook mã nguồn mở dành cho Python.

Lỗ hổng này cho phép kẻ tấn công thực thi lệnh từ xa mà không cần xác thực trên các phiên bản Marimo từ 0.20.4 trở về trước. Sau khi giành được quyền thực thi mã trên máy chủ công khai, AI Agent tiếp tục thực hiện các bước trinh sát và mở rộng phạm vi tấn công một cách gần như tự động.​

AI tự tìm khóa truy cập và mở rộng quyền kiểm soát​

Theo Sysdig, sau khi xâm nhập thành công, AI Agent đã nhanh chóng thu thập hai thông tin xác thực đám mây (cloud credentials) từ máy chủ bị xâm nhập.

Tiếp đó, hệ thống AI sử dụng các thông tin này để truy cập vào môi trường AWS của nạn nhân, thực hiện hoạt động trinh sát và phát hiện một khóa SSH được lưu trữ trong AWS Secrets Manager. Sau khi lấy được khóa này, AI Agent tự động sử dụng nó để kết nối tới máy chủ bastion nội bộ của tổ chức.

Các nhà nghiên cứu nhận định đây là điểm đặc biệt của vụ việc bởi AI không chỉ thực hiện một nhiệm vụ đơn lẻ mà còn có khả năng lập kế hoạch nhiều bước, đánh giá kết quả và tự động chuyển sang giai đoạn tiếp theo trong chuỗi tấn công.​

Đánh cắp toàn bộ cơ sở dữ liệu trong chưa đầy 2 phút​

Sau khi truy cập được máy chủ bastion, AI Agent tiếp tục thu thập thông tin về cơ sở dữ liệu PostgreSQL nội bộ.

Theo báo cáo, toàn bộ cấu trúc và dữ liệu của cơ sở dữ liệu đã bị trích xuất trong thời gian chưa tới hai phút. Điều này cho thấy tốc độ hoạt động của AI Agent vượt xa nhiều chiến dịch tấn công thủ công truyền thống.

Dù cuộc tấn công được phát hiện và ngăn chặn trước khi gây hậu quả nghiêm trọng hơn, vụ việc đã chứng minh rằng AI Agent hiện đã đủ khả năng thực hiện các hoạt động hậu khai thác vốn trước đây cần tới sự can thiệp liên tục của con người.​

Bước ngoặt mới của tội phạm mạng​

Trong nhiều năm qua, tin tặc chủ yếu sử dụng AI để hỗ trợ viết mã độc, tạo email lừa đảo hoặc nghiên cứu lỗ hổng. Tuy nhiên, vụ việc lần này cho thấy AI đang tiến thêm một bước mới: trở thành một “tác nhân tự động” có khả năng đưa ra quyết định trong quá trình tấn công.

Các chuyên gia cảnh báo rằng khi AI Agent ngày càng được tích hợp thêm công cụ, quyền truy cập và khả năng tự động hóa, các cuộc tấn công trong tương lai có thể diễn ra nhanh hơn, quy mô lớn hơn và khó phát hiện hơn.

Thay vì phải trực tiếp điều khiển từng bước, kẻ tấn công chỉ cần đưa ra mục tiêu ban đầu, còn AI sẽ tự thực hiện quá trình thu thập thông tin, leo thang đặc quyền, di chuyển ngang trong hệ thống và đánh cắp dữ liệu.​

Doanh nghiệp cần chuẩn bị gì?​

Các chuyên gia khuyến nghị các tổ chức cần xem xét lại chiến lược phòng thủ trước các mối đe dọa sử dụng AI, bao gồm:​

Sự xuất hiện của AI Agent trong các chiến dịch tấn công thực tế đang đánh dấu một giai đoạn mới của an ninh mạng, nơi các hệ thống trí tuệ nhân tạo không còn chỉ là công cụ hỗ trợ mà đang dần trở thành một phần trực tiếp trong chuỗi tấn công của tội phạm mạng.​