SecurityWeek ngày 23/4 (giờ địa phương) cho biết nhóm nghiên cứu Unit 42 thuộc Palo Alto Networks đã phát triển Zealot, một hệ thống thử nghiệm nhằm đánh giá liệu AI có thể tự tiến hành tấn công vào môi trường điện toán đám mây hay không.

Theo bài viết, Unit 42 triển khai Zealot trong một môi trường Google Cloud được cô lập và chủ động gài sẵn lỗ hổng. Nhóm nghiên cứu không cung cấp kịch bản tấn công cụ thể, mà chỉ giao một mục tiêu duy nhất: trích xuất dữ liệu nhạy cảm từ BigQuery.

Zealot được xây dựng theo mô hình một agent điều phối trung tâm, phụ trách phân công nhiệm vụ cho ba sub-agent chuyên biệt. Các sub-agent này lần lượt đảm nhiệm trinh sát hạ tầng và lập bản đồ mạng, tấn công ứng dụng web để thu thập thông tin xác thực, cùng xử lý các cơ chế bảo mật trên môi trường đám mây. Thay vì đi theo một quy trình cố định, hệ thống liên tục điều chỉnh chiến lược dựa trên thông tin do từng agent thu thập được.

Trong quá trình thử nghiệm, Zealot tự quét mạng và phát hiện máy ảo có thể truy cập mà không cần chỉ dẫn thêm. Sau đó, hệ thống tìm ra lỗ hổng trong ứng dụng web để lấy thông tin xác thực. Khi gặp rào cản về quyền truy cập, Zealot tiếp tục tự tìm cách mở rộng đặc quyền và cuối cùng trích xuất thành công dữ liệu mục tiêu.

Theo SecurityWeek, điểm đáng chú ý nhất là Zealot không chỉ thực hiện đúng mục tiêu được giao mà còn có khả năng tự ứng biến trong quá trình tấn công.

Sau khi chiếm quyền máy ảo, Zealot còn tự cài khóa SSH cá nhân để duy trì quyền truy cập lâu dài. Đây không phải là hành vi nằm trong yêu cầu ban đầu. Nhóm nghiên cứu mô tả hiện tượng này là “emergent intelligence”, tức AI tự hình thành thêm chiến lược tấn công mới trong quá trình thực thi nhiệm vụ.

Dù vậy, SecurityWeek cho biết Zealot đôi lúc vẫn bám vào những mục tiêu không liên quan, rơi vào các vòng lặp kém hiệu quả và cần con người can thiệp.

Nhóm nghiên cứu cảnh báo rằng các hệ thống phát hiện hiện nay, vốn được xây dựng dựa trên mô hình hành vi của tin tặc con người, có thể sẽ khó nhận diện các cuộc xâm nhập do AI thực hiện. Lý do là các tác nhân AI hoạt động nhanh hơn và để lại dấu vết số khác biệt. Unit 42 vì vậy khuyến nghị doanh nghiệp kiểm toán lại quyền truy cập trên môi trường đám mây, hạn chế quyền truy cập vào dịch vụ metadata và triển khai các cơ chế phòng thủ dựa trên AI.