Phi Vũ
New member
Google cho biết tin tặc, kể cả nhóm được nhà nước bảo trợ, đang dùng mô hình Gemini để tăng tốc các cuộc tấn công mạng — từ rà soát mục tiêu đến giai đoạn hậu xâm nhập. Báo cáo nhấn mạnh hiểm họa không phải là chiến thuật mới mà là tốc độ tấn công được đẩy nhanh.
Google Threat Intelligence Group vừa công bố báo cáo cảnh báo rằng các nhóm tấn công, trong đó có những nhóm liên quan đến Trung Quốc, Iran, Bắc Triều Tiên và Nga, đang lợi dụng Gemini trong nhiều giai đoạn của chiến dịch xâm nhập.
Các mẫu yêu cầu (prompt) và kết quả mà Google quan sát được bao gồm: lập hồ sơ mục tiêu, soạn nội dung lừa đảo (social engineering), dịch thuật, trợ giúp về mã nguồn, kiểm thử lỗ hổng và gỡ lỗi khi công cụ gặp sự cố. Những trợ giúp nhanh này có thể thay đổi kết quả tấn công bằng cách giảm thời gian lặp lại và khắc phục lỗi.
Google nhấn mạnh đây là yếu tố tăng tốc chứ không phải phép màu: kẻ tấn công vốn đã làm việc rà soát, soạn mồi, tinh chỉnh mã độc và theo dõi lỗi — Gemini chỉ làm vòng lặp đó ngắn lại, đặc biệt khi cần viết lại nhanh, hỗ trợ ngôn ngữ hoặc sửa mã dưới áp lực thời gian.
Báo cáo nêu ví dụ liên quan nhóm có liên hệ Trung Quốc: một kẻ vận hành đóng vai chuyên gia an ninh mạng đã dùng Gemini để tự động hóa phân tích lỗ hổng và tạo kế hoạch kiểm thử nhắm mục tiêu trong một kịch bản giả định. Một tác nhân khác có trụ sở tại Trung Quốc cũng lặp lại việc dùng Gemini cho gỡ lỗi, nghiên cứu và hướng dẫn kỹ thuật liên quan tới xâm nhập.
Google cũng cảnh báo về một dạng mối đe dọa khác không giống trò lừa truyền thống: khai thác mô hình và chưng cất tri thức (model extraction và knowledge distillation). Trong tình huống này, kẻ có quyền truy cập API hợp lệ gửi rất nhiều prompt để sao chép cách mô hình hoạt động và suy luận, rồi dùng kiến thức đó để huấn luyện một mô hình khác — gây tổn hại thương mại và sở hữu trí tuệ, đồng thời tạo rủi ro lan rộng nếu hành vi này tăng quy mô (Google đề cập đến ví dụ gần 100.000 prompt nhằm tái tạo hành vi ở các tác vụ phi tiếng Anh).
Để phản ứng, Google cho biết đã vô hiệu hóa tài khoản và cơ sở hạ tầng liên quan đến các hành vi lạm dụng được ghi nhận, cập nhật lớp phòng thủ trong bộ phân loại của Gemini và tiếp tục thử nghiệm các biện pháp an toàn cũng như rào chắn bảo vệ.
Khuyến nghị cho đội ngũ an ninh: hãy giả định các cuộc tấn công có trợ giúp AI sẽ diễn ra nhanh hơn — không nhất thiết là thông minh hơn. Theo dõi các dấu hiệu như chất lượng mồi lừa cải thiện đột ngột, tốc độ lặp công cụ nhanh hơn và mẫu sử dụng API bất thường. Cập nhật playbook phản ứng để tốc độ không trở thành lợi thế lớn nhất cho kẻ tấn công.
Nguồn: Digitaltrends
Google Threat Intelligence Group vừa công bố báo cáo cảnh báo rằng các nhóm tấn công, trong đó có những nhóm liên quan đến Trung Quốc, Iran, Bắc Triều Tiên và Nga, đang lợi dụng Gemini trong nhiều giai đoạn của chiến dịch xâm nhập.
Các mẫu yêu cầu (prompt) và kết quả mà Google quan sát được bao gồm: lập hồ sơ mục tiêu, soạn nội dung lừa đảo (social engineering), dịch thuật, trợ giúp về mã nguồn, kiểm thử lỗ hổng và gỡ lỗi khi công cụ gặp sự cố. Những trợ giúp nhanh này có thể thay đổi kết quả tấn công bằng cách giảm thời gian lặp lại và khắc phục lỗi.
Google nhấn mạnh đây là yếu tố tăng tốc chứ không phải phép màu: kẻ tấn công vốn đã làm việc rà soát, soạn mồi, tinh chỉnh mã độc và theo dõi lỗi — Gemini chỉ làm vòng lặp đó ngắn lại, đặc biệt khi cần viết lại nhanh, hỗ trợ ngôn ngữ hoặc sửa mã dưới áp lực thời gian.
Báo cáo nêu ví dụ liên quan nhóm có liên hệ Trung Quốc: một kẻ vận hành đóng vai chuyên gia an ninh mạng đã dùng Gemini để tự động hóa phân tích lỗ hổng và tạo kế hoạch kiểm thử nhắm mục tiêu trong một kịch bản giả định. Một tác nhân khác có trụ sở tại Trung Quốc cũng lặp lại việc dùng Gemini cho gỡ lỗi, nghiên cứu và hướng dẫn kỹ thuật liên quan tới xâm nhập.
Google cũng cảnh báo về một dạng mối đe dọa khác không giống trò lừa truyền thống: khai thác mô hình và chưng cất tri thức (model extraction và knowledge distillation). Trong tình huống này, kẻ có quyền truy cập API hợp lệ gửi rất nhiều prompt để sao chép cách mô hình hoạt động và suy luận, rồi dùng kiến thức đó để huấn luyện một mô hình khác — gây tổn hại thương mại và sở hữu trí tuệ, đồng thời tạo rủi ro lan rộng nếu hành vi này tăng quy mô (Google đề cập đến ví dụ gần 100.000 prompt nhằm tái tạo hành vi ở các tác vụ phi tiếng Anh).
Để phản ứng, Google cho biết đã vô hiệu hóa tài khoản và cơ sở hạ tầng liên quan đến các hành vi lạm dụng được ghi nhận, cập nhật lớp phòng thủ trong bộ phân loại của Gemini và tiếp tục thử nghiệm các biện pháp an toàn cũng như rào chắn bảo vệ.
Khuyến nghị cho đội ngũ an ninh: hãy giả định các cuộc tấn công có trợ giúp AI sẽ diễn ra nhanh hơn — không nhất thiết là thông minh hơn. Theo dõi các dấu hiệu như chất lượng mồi lừa cải thiện đột ngột, tốc độ lặp công cụ nhanh hơn và mẫu sử dụng API bất thường. Cập nhật playbook phản ứng để tốc độ không trở thành lợi thế lớn nhất cho kẻ tấn công.
Nguồn: Digitaltrends
Bài viết liên quan
