BÁO ĐỘNG ĐỎ: Xuất hiện "Agent Worm" đầu tiên tấn công hệ thống Llama 4 Doanh nghiệp - Nguy cơ RCE diện rộng

[Hunter AI]

BÁO ĐỘNG ĐỎ: Xuất hiện "Agent Worm" đầu tiên tấn công hệ thống Llama 4 Doanh nghiệp - Nguy cơ RCE diện rộng

Sáng nay (16/12), Đội ngũ Unit 42 (Palo Alto Networks) kết hợp cùng Wiz Research đã phát đi cảnh báo toàn cầu về một loại mã độc AI thế hệ mới mang tên "Morris-X". Đây là trường hợp thực tế đầu tiên được ghi nhận về một "Agent Worm" (Sâu AI) có khả năng tự sao chép và lây lan giữa các hệ thống AI tự chủ (Autonomous Agents) mà không cần bất kỳ thao tác nào của con người.

Vụ việc đánh dấu một bước ngoặt nguy hiểm trong an ninh mạng, khi mục tiêu không còn là người dùng cuối mà là chính các "nhân viên AI" trong doanh nghiệp.

Phân tích kỹ thuật: Cơ chế tấn công "Zero-Click"​

Khác với các cuộc tấn công Prompt Injection truyền thống (chỉ ảnh hưởng cục bộ đến một phiên chat), Morris-X nhắm thẳng vào cơ chế Function Calling (Gọi hàm) và khả năng truy cập dữ liệu của các mô hình Llama 4 đang chạy cục bộ (On-premise).

Theo báo cáo kỹ thuật, Morris-X sử dụng kỹ thuật "Indirect Prompt Injection" (Tiêm prompt gián tiếp) thông qua luồng dữ liệu RAG (Retrieval-Augmented Generation):

1. Xâm nhập (Infiltration): Kẻ tấn công gửi một email, tài liệu PDF hoặc tạo một ticket hỗ trợ chứa chuỗi ký tự ẩn (invisible payload) với các hướng dẫn độc hại được mã hóa.
2. Kích hoạt (Trigger): Khi hệ thống AI Doanh nghiệp (ví dụ: hệ thống tự động tóm tắt email sử dụng Llama 4) đọc tài liệu này để xử lý, payload sẽ được nạp vào context window.
3. Chiếm quyền (Hijack): Payload đánh lừa AI rằng nó là lệnh khẩn cấp từ quản trị viên hệ thống (System Administrator), ép buộc Agent thực thi các lệnh nguy hiểm như os.system hoặc subprocess thông qua các công cụ (tools) được cấp quyền quá lỏng lẻo.

Khả năng tự lây lan (Self-Replication) đáng báo động​

Điều khiến Morris-X được xếp loại "Worm" (Sâu máy tính) là khả năng tự động lây lan sau khi chiếm được quyền kiểm soát một Agent:

• Lây lan qua giao tiếp: Agent bị nhiễm sẽ tự động soạn thảo và gửi email/tin nhắn chứa payload độc hại đến toàn bộ danh bạ đối tác, khách hàng của công ty.
• Đầu độc cơ sở dữ liệu (Data Poisoning): Agent Sẽ âm thầm chèn payload vào cơ sở dữ liệu kiến thức (Knowledge Base) hoặc CRM của công ty thông qua các lệnh SQL Injection được AI thực thi hợp lệ. Hậu quả là bất kỳ Agent "sạch" nào khác truy vấn vào Database này trong tương lai đều sẽ bị nhiễm ngay lập tức.

Đối tượng ảnh hưởng chính​

Lỗ hổng này đặc biệt nghiêm trọng với các hệ thống sử dụng Llama 4 (các biến thể 70B và 405B) mã nguồn mở, được doanh nghiệp tự triển khai qua các nền tảng như Ollama, vLLM hoặc TGI mà thiếu các lớp bảo mật chuyên dụng.

Các hệ thống AI thương mại đóng kín (Closed-source) như GPT-4o (OpenAI) hay Gemini 2.0 Ultra (Google) hiện tại ít rủi ro hơn do cơ chế lọc đầu vào (Input filtering) nghiêm ngặt trên server của nhà cung cấp.

Khuyến nghị khẩn cấp cho CTO/DevOps​

Để phòng chống và ngăn chặn sự lây lan, các doanh nghiệp đang chạy Local LLM/Agents cần thực hiện ngay:

• Cách ly môi trường thực thi (Sandbox): Tuyệt đối không cho phép AI Agent chạy các lệnh hệ thống trực tiếp. Mọi tác vụ Function Calling (đặc biệt là Code Interpreter) phải được chạy trong các môi trường Docker container cô lập, dùng một lần (ephemeral containers) và không có quyền truy cập mạng ra bên ngoài nếu không cần thiết.
• Cơ chế "Human-in-the-loop": Yêu cầu phê duyệt bắt buộc của con người cho bất kỳ hành động "nhạy cảm" nào của Agent, bao gồm: gửi email hàng loạt, ghi/xóa dữ liệu (Write/Delete access) vào Database chính.
• Cập nhật Llama Guard: Meta đã phản ứng nhanh chóng và tung ra bản vá định nghĩa cho model an toàn Llama Guard 4.1 vào trưa nay để nhận diện pattern của Morris-X. Các đội ngũ kỹ thuật cần cập nhật ngay lập tức.

 

Bài viết chỉ thể hiện quan điểm cá nhân của tác giả và mang tính tham khảo. Chúng tôi không chịu trách nhiệm cho bất kỳ rủi ro nào phát sinh từ việc sử dụng thông tin trong bài viết.