Một lỗ hổng CVE nghiêm trọng trong GitHub Copilot đã được công bố, cho phép kẻ tấn công thực hiện remote code execution và kiểm soát hoàn toàn hệ thống thông qua các kỹ thuật tiêm nhiễm prompt phức tạp. Lỗ hổng này, được theo dõi dưới mã hiệu CVE-2025-53773, đã được Microsoft vá lỗi trong bản cập nhật Patch Tuesday tháng 8 năm 2025 sau khi được các nhà nghiên cứu bảo mật tiết lộ một cách có trách nhiệm.

Tổng quan về Lỗ hổng CVE-2025-53773

Lỗ hổng CVE-2025-53773 khai thác khả năng của GitHub Copilot trong việc sửa đổi các tệp dự án mà không cần sự chấp thuận của người dùng. Đặc biệt, mục tiêu là tệp cấu hình .vscode/settings.json. Bằng cách tiêm các prompt độc hại vào tệp mã nguồn, trang web hoặc các vấn đề trên GitHub, kẻ tấn công có thể thao túng Copilot để thêm dòng “chat.tools.autoApprove”: true vào tệp cài đặt.

Hành động này sẽ kích hoạt tính năng thử nghiệm “YOLO mode” của trợ lý AI. Một khi được kích hoạt, tính năng này vô hiệu hóa tất cả các xác nhận của người dùng cho các hoạt động của Copilot, cho phép AI thực thi các lệnh shell, duyệt web và thực hiện các hành động đặc quyền khác mà không cần giám sát.

Cơ chế khai thác và Ảnh hưởng

Kỹ thuật Prompt Injection và “YOLO Mode”

Kỹ thuật tiêm nhiễm prompt là xương sống của cuộc tấn công này. Nó dựa vào việc đưa các lệnh hoặc cấu hình không mong muốn vào Copilot thông qua các tệp dự án hoặc giao diện người dùng. Việc kích hoạt “YOLO mode” về cơ bản biến Copilot thành một công cụ mạnh mẽ, không bị kiểm soát, có khả năng thực hiện nhiều tác vụ nguy hiểm.

• Thực thi lệnh shell: Copilot có thể chạy các lệnh hệ thống tùy ý.
• Duyệt web: Truy cập các tài nguyên mạng bên ngoài.
• Thực hiện hành động đặc quyền: Thực hiện các thao tác trên hệ thống mà không có sự can thiệp của người dùng.

Chuỗi tấn công và Tác động hệ thống

Chuỗi tấn công tiến triển từ việc tiêm nhiễm prompt ban đầu đến sửa đổi tệp ngay lập tức, sau đó là thực thi lệnh không hạn chế với đầy đủ quyền hệ thống. Các cuộc trình diễn của nhà nghiên cứu bảo mật cho thấy lỗ hổng này đã xâm phạm thành công các hệ thống Windows, macOS và Linux. Kẻ tấn công có khả năng nhắm mục tiêu vào các hệ điều hành cụ thể thông qua các kỹ thuật tiêm nhiễm prompt có điều kiện.

Bằng chứng về khái niệm (PoC) bao gồm việc mở các ứng dụng máy tính và thiết lập kết nối command-and-control (C2) từ xa, minh họa mức độ nghiêm trọng của việc khai thác tiềm năng. Khả năng chiếm quyền điều khiển hoàn toàn hệ thống là một mối rủi ro bảo mật đáng lo ngại.

Các Vector Tấn công Nâng cao và Rủi ro Bảo mật

Khả năng lây lan và Mạng Botnet

Ngoài việc thực thi lệnh cơ bản, các nhà nghiên cứu đã xác định một số vector tấn công tinh vi. Lỗ hổng CVE-2025-53773 này cho phép tạo ra các “AI viruses” có thể tự lây lan qua các kho lưu trữ bị nhiễm. Chúng tự động nhúng các lệnh độc hại vào các dự án mới khi nhà phát triển tương tác với mã nguồn bị xâm phạm.

Kẻ tấn công đã chứng minh khả năng tuyển dụng các máy trạm của nhà phát triển vào mạng botnet, tạo ra các mạng “ZombAI” gồm các hệ thống bị xâm phạm. Đây là một mối đe dọa mạng mới nổi, tận dụng các công cụ phát triển AI để mở rộng phạm vi tấn công.

Các lỗ hổng bổ sung

Bề mặt tấn công mở rộng vượt ra ngoài việc khai thác “YOLO mode” chính. Các nhà nghiên cứu đã phát hiện ra các lỗ hổng bổ sung liên quan đến thao túng tệp .vscode/tasks.json và tiêm nhiễm máy chủ MCP độc hại. Tất cả đều tận dụng khả năng sửa đổi tệp không hạn chế của Copilot.

Các kỹ thuật tiêm nhiễm prompt dựa trên Unicode ẩn cũng được chứng minh, mặc dù có độ tin cậy thấp hơn so với các cuộc tấn công dựa trên comment rõ ràng.

Biện pháp khắc phục và Nhận định

Microsoft đã xác nhận việc tái tạo lỗ hổng và triển khai các bản sửa lỗi trong bản cập nhật bảo mật tháng 8 năm 2025. Bản vá tập trung vào giải quyết vấn đề cốt lõi của việc sửa đổi tệp không hạn chế bằng cách yêu cầu người dùng phê duyệt các thay đổi cấu hình ảnh hưởng đến cài đặt bảo mật. Lỗ hổng này được báo cáo lần đầu vào ngày 29 tháng 6 năm 2025, thông qua các kênh tiết lộ có trách nhiệm. Microsoft đã ghi nhận đây là một phần của sáng kiến theo dõi hiện có.

Nhà nghiên cứu bảo mật Markus Vervier từ Persistent Security đã độc lập xác định và báo cáo những phát hiện tương tự cho Trung tâm Phản hồi Bảo mật của Microsoft. Sự cố này làm nổi bật những thách thức bảo mật mới nổi liên quan đến các công cụ phát triển được hỗ trợ bởi AI và nhu cầu về các mô hình cấp phép mạnh mẽ trong các hệ thống dựa trên tác nhân. Việc thường xuyên cập nhật bản vá là vô cùng quan trọng để giảm thiểu các rủi ro bảo mật tương tự.

Để biết thêm thông tin chi tiết về bản vá và khuyến nghị của Microsoft, vui lòng tham khảo trang hướng dẫn cập nhật lỗ hổng của Microsoft MSRC. Ngoài ra, Gbhackers cũng đã từng đề cập đến các kỹ thuật tiêm nhiễm prompt gián tiếp trong LLM tại đây.