Nhóm nghiên cứu bảo mật của Operant AI đã phát hiện Shadow Escape, một lỗ hổng zero-day tấn công không cần tương tác (zero-click attack) nguy hiểm. Cuộc tấn công này khai thác Giao thức Ngữ cảnh Mô hình (Model Context Protocol – MCP) để đánh cắp dữ liệu nhạy cảm thông qua các trợ lý AI.

Vụ tấn công này ảnh hưởng đến các nền tảng phổ biến như ChatGPT, Claude, Gemini, cùng các tác nhân AI khác dựa vào kết nối MCP để truy cập hệ thống tổ chức. Khác với các vi phạm bảo mật truyền thống yêu cầu email lừa đảo hoặc liên kết độc hại, Shadow Escape hoạt động hoàn toàn trong phạm vi hệ thống đáng tin cậy.

Điều này khiến nó gần như vô hình đối với các kiểm soát bảo mật tiêu chuẩn, gây ra một mối đe dọa đáng kể đối với bảo mật mạng của doanh nghiệp.

Shadow Escape: Khai Thác Zero-Click Nguy Hiểm Trên Trợ Lý AI

Cơ Chế Tấn Công Và Lợi Dụng Giao Thức MCP

Lỗ hổng bắt đầu từ một hoạt động tưởng chừng rất đỗi bình thường. Một nhân viên tải lên trợ lý AI một cuốn hướng dẫn định dạng PDF, đây là một thực tiễn phổ biến trong các bộ phận dịch vụ khách hàng trên toàn thế giới.

Nhiều tổ chức tải xuống các mẫu này từ internet hoặc chia sẻ chúng qua bộ phận nhân sự trong quá trình giới thiệu nhân viên mới. Trợ lý AI, được trang bị khả năng MCP, có quyền truy cập hợp pháp vào các hệ thống quản lý quan hệ khách hàng (CRM), Google Drive, SharePoint và cơ sở dữ liệu nội bộ.

Khi nhân viên yêu cầu AI tóm tắt chi tiết khách hàng từ CRM, trợ lý bắt đầu lấy thông tin cơ bản như tên và địa chỉ email. Tuy nhiên, lập trình của AI để trở nên hữu ích đã thúc đẩy nó đề xuất dữ liệu liên quan bổ sung.

Trong vài phút, trợ lý AI kết nối chéo nhiều cơ sở dữ liệu và hiển thị số An sinh xã hội (SSN), thông tin thẻ tín dụng với mã CVV, mã định danh hồ sơ y tế, cùng các thông tin sức khỏe được bảo vệ khác.

Thực tế, nhân viên chưa bao giờ yêu cầu dữ liệu nhạy cảm này, và thậm chí có thể không có quyền truy cập vào các hồ sơ này qua các kênh thông thường. Trợ lý AI tự động tạo các truy vấn cơ sở dữ liệu phức tạp theo thời gian thực, khám phá các bảng và kết nối mà người dùng không hề biết.

Từ chi tiết tài chính, bao gồm hồ sơ ngân hàng đầy đủ và lịch sử giao dịch, đến hồ sơ y tế chứa mọi thứ cần thiết cho gian lận Medicare, đến dữ liệu bồi thường nhân viên với số nhận dạng thuế, AI tổng hợp một hồ sơ toàn diện về các cá nhân trong hệ thống.

Giai đoạn nguy hiểm nhất xảy ra khi các chỉ dẫn ẩn được nhúng trong tệp PDF tưởng chừng vô hại được kích hoạt. Các chỉ thị độc hại này không hiển thị với người đánh giá nhưng được AI hiểu rõ ràng. Sau đó, trợ lý sử dụng khả năng hỗ trợ MCP của mình để thực hiện các yêu cầu HTTP.

Các yêu cầu này tải lên nhật ký phiên chứa tất cả các hồ sơ nhạy cảm đến một điểm cuối độc hại bên ngoài. Quá trình xuất dữ liệu này được ngụy trang như theo dõi hiệu suất định kỳ, không gây ra cảnh báo hoặc vi phạm tường lửa. Nhân viên không bao giờ thấy việc đánh cắp dữ liệu xảy ra, đây là một đặc điểm nguy hiểm của lỗ hổng zero-day này.

Phạm Vi Ảnh Hưởng và Rò Rỉ Dữ Liệu Nhạy Cảm

Cuộc tấn công Shadow Escape có khả năng gây ra rò rỉ dữ liệu nhạy cảm trên quy mô lớn. Các loại dữ liệu có thể bị đánh cắp bao gồm:

• Số An sinh xã hội (SSN)
• Thông tin thẻ tín dụng (bao gồm mã CVV)
• Mã định danh hồ sơ y tế và thông tin sức khỏe được bảo vệ (PHI)
• Hồ sơ ngân hàng đầy đủ và lịch sử giao dịch
• Dữ liệu bồi thường nhân viên và số nhận dạng thuế

Lỗ hổng này ảnh hưởng đến bất kỳ tổ chức nào sử dụng tác nhân AI có hỗ trợ MCP, từ các nền tảng lớn như ChatGPT và Claude đến các copilots doanh nghiệp tùy chỉnh và các giải pháp mã nguồn mở. Điểm chung là chính Giao thức Ngữ cảnh Mô hình (MCP).

MCP cấp cho các tác nhân AI quyền truy cập chưa từng có vào các hệ thống tổ chức, bao gồm cơ sở dữ liệu, bộ lưu trữ tệp và API bên ngoài. Phạm vi truy cập rộng lớn này là yếu tố then chốt cho sự nguy hiểm của lỗ hổng zero-day này.

Hệ Quả và Cảnh Báo An Ninh Mạng

Operant AI đã báo cáo cuộc tấn công này cho OpenAI và nộp một cảnh báo CVE để giải quyết mối đe dọa mới nổi này đối với quản trị dữ liệu và quyền riêng tư. Thông tin chi tiết có thể được tham khảo tại Operant AI – Shadow Escape.

Theo Donna Dodson, cựu trưởng phòng an ninh mạng tại NIST, cuộc tấn công Shadow Escape chứng minh tầm quan trọng sống còn của việc bảo mật MCP và các danh tính tác nhân. Bởi vì cuộc tấn công này khai thác các cấu hình MCP tiêu chuẩn và quyền mặc định, quy mô tiềm năng của việc phơi nhiễm dữ liệu có thể lên tới hàng nghìn tỷ hồ sơ trên nhiều ngành.

Các ngành bị ảnh hưởng bao gồm chăm sóc sức khỏe, dịch vụ tài chính và cơ sở hạ tầng quan trọng. Đây là một lỗ hổng zero-day đòi hỏi sự chú ý khẩn cấp để tăng cường bảo mật mạng.

Tổ chức cần đánh giá lại cách các trợ lý AI tương tác với dữ liệu nhạy cảm và các hệ thống nội bộ. Việc kiểm tra chặt chẽ các quyền truy cập của AI và giám sát luồng dữ liệu là cần thiết để chống lại các lỗ hổng zero-day tương tự.