Trong hai tuần qua, hai công cụ AI đã gặp phải cùng một kiểu lỗi và bốn nhóm nghiên cứu đã chứng minh điều đó. Điểm chung đằng sau mọi tiết lộ là một câu duy nhất: AI doanh nghiệp chấp nhận đầu vào bên ngoài mà không có ranh giới tin cậy. 🚨
Vào ngày 15 tháng 6, Varonis đã tiết lộ SearchLeak (CVE-2026-42824), một chuỗi tấn công đánh cắp dữ liệu chứng minh khái niệm (PoC) trong Microsoft 365 Copilot Enterprise Search. Nạn nhân chỉ cần nhấp vào một URL microsoft.com được tạo sẵn, Copilot sẽ tìm kiếm hộp thư của họ và dữ liệu bị rò rỉ qua một lỗ hổng Bing SSRF. Không cần plugin, không cần nhấp chuột lần hai, không có dấu hiệu nào bị phát hiện. Bốn ngày trước đó, Obsidian Security đã công bố một chuỗi ba lỗ hổng CVE chống lại LiteLLM cho phép người dùng có đặc quyền thấp mặc định leo thang lên quyền quản trị và thực thi mã từ xa. Hai công cụ. Hai nhóm. Một ranh giới bảo mật bị phá vỡ. 💥
Bản kiểm tra năm bước ở cuối bài viết này sẽ chỉ ra từng lỗ hổng với một CVE hoặc một tín hiệu thị trường từ tháng 6, một lệnh bạn có thể chạy trước bữa trưa và một câu mà CISO có thể trình bày trước ban giám đốc.
Copilot Biến URL Tin Cậy Thành Công Cụ Đánh Cắp Dữ Liệu
SearchLeak đã xâu chuỗi ba điểm yếu thành một chuỗi đánh cắp dữ liệu 'thầm lặng'. Tham số q của URL đã cung cấp trực tiếp các hướng dẫn của kẻ tấn công cho LLM của Copilot. Một điều kiện tranh chấp khi render (rendering race condition) đã kích hoạt một thẻ hình ảnh trước khi bộ lọc đầu ra (output sanitizer) chạy. Điểm cuối tìm kiếm hình ảnh của Bing, được phép trong Chính sách Bảo mật Nội dung (CSP), đã chuyển dữ liệu bị đánh cắp ra ngoài. Microsoft đã đánh giá lỗ hổng này là nghiêm trọng và đã vá lỗi ở phía backend, theo Varonis. NVD vẫn chưa chấm điểm; một công cụ theo dõi bên thứ ba xếp nó ở mức trung bình 6.5. Mức độ nghiêm trọng có thể còn đang được tranh cãi, nhưng cơ chế hoạt động thì không.
Sự leo thang đặc quyền mới là câu chuyện thực sự đáng nói. Đây là chuỗi tấn công đánh cắp dữ liệu Copilot thứ ba của Varonis trong vòng mười hai tháng, sau Reprompt vào tháng 1 và EchoLeak vào năm 2025. Reprompt ảnh hưởng đến Copilot Personal, còn SearchLeak tấn công Copilot Enterprise Search. Vì phiên bản Enterprise kế thừa toàn bộ quyền tổ chức của người dùng, nên phạm vi ảnh hưởng là mọi thứ mà người dùng đó có thể truy cập. 🤯
LiteLLM 'Vô Tư' Trao Khóa Quản Trị Cho Tài Khoản Mặc Định
Cổng LiteLLM lưu giữ các khóa API cho OpenAI, Anthropic, Azure và Bedrock đằng sau một proxy duy nhất. Chuỗi tấn công của Obsidian bao gồm ba bước. CVE-2026-47101, một lỗ hổng bỏ qua xác thực, cho phép người dùng không phải quản trị viên tạo một khóa API wildcard. CVE-2026-47102 nâng cấp người gọi đó lên quyền quản trị proxy thông qua một điểm cuối /user/update không được bảo vệ. CVE-2026-40217 thoát khỏi sandbox mã thông qua exec() với các hàm dựng sẵn đầy đủ. Obsidian sau đó đã trình diễn một reverse shell bằng cách chèn một phản hồi tool-call giả mạo thông qua cơ chế callback của LiteLLM. Obsidian đánh giá chuỗi tấn công tổng hợp này ở mức CVSS 9.9. Kẻ tấn công chỉ cần một vài thao tác, và một shell đã được mở. 😱
Một lỗ hổng LiteLLM riêng biệt đã khiến vấn đề trở nên cấp bách hơn. CVE-2026-42271, một lỗi chèn lệnh trong các điểm cuối kiểm tra MCP, đã được đưa vào danh sách KEV của CISA vào ngày 8 tháng 6 với thời hạn khắc phục là ngày 22 tháng 6. Lỗ hổng KEV này không phải là chuỗi tấn công của Obsidian. Hai lỗ hổng này được tiết lộ riêng biệt cách nhau bốn ngày, được vá trong các bản phát hành khác nhau, nhưng đều nhắm vào cùng một gateway. LiteLLM có hơn 40.000 sao trên GitHub và được sử dụng trong hàng nghìn triển khai của doanh nghiệp. Đây cũng không phải là lần đầu tiên xảy ra sự cố đáng báo động. Một sự cố chuỗi cung ứng đã cài cửa hậu vào các phiên bản LiteLLM 1.82.7 và 1.82.8 trên PyPI vào tháng 3. Một gateway bị xâm phạm sẽ phơi bày mọi thông tin xác thực của nhà cung cấp mà tổ chức đang nắm giữ.
Langflow và Mini Shai-Hulud: Bằng Chứng Rõ Ràng Về Quy Mô Tấn Công
Cùng một ranh giới bảo mật đã bị phá vỡ ở hai công cụ khác trong cùng hai tuần. Langflow CVE-2026-5027 trở thành lỗ hổng thực thi mã từ xa thứ ba của Langflow bị khai thác tích cực trong năm nay. Một lỗ hổng duyệt thư mục (path traversal) trong tính năng tải lên tệp cho phép kẻ tấn công ghi tệp vào bất kỳ đâu trên đĩa, và vì Langflow đi kèm với tính năng tự động đăng nhập được bật theo mặc định, một yêu cầu không xác thực duy nhất có thể dẫn đến RCE. VulnCheck đã xác nhận việc khai thác vào ngày 9 tháng 6. Censys đã đếm khoảng 7.000 phiên bản bị phơi nhiễm, tập trung nhiều nhất ở Bắc Mỹ, với sự quy kết cho nhóm tin tặc MuddyWater. 😱
Chiến dịch Mini Shai-Hulud lại tấn công vào một điểm yếu khác. Sau khi mã nguồn của sâu máy tính này được công bố vào ngày 12 tháng 5, các biến thể sao chép đã xâm phạm 32 gói npm của Red Hat Cloud Services vào ngày 1 tháng 6, những gói này được tải xuống 80.000 lần mỗi tuần. Sâu máy tính này thu thập hơn 20 loại thông tin xác thực và tự lây lan dưới danh tính của người duy trì bị xâm phạm. 👾
Bốn nhóm, bốn công cụ, một lỗi vận hành. Các loại lỗi khác nhau: SearchLeak là lỗ hổng chèn prompt, LiteLLM là leo thang đặc quyền, Langflow là duyệt thư mục, và Mini Shai-Hulud là tấn công chuỗi cung ứng. Nhưng ranh giới bảo mật bị phá vỡ thì giống nhau trong cả bốn trường hợp. 🔄
Thị Trường Đã Đánh Giá Lại Rủi Ro Bảo Mật AI
Trong cuộc họp báo cáo thu nhập Q1 FY27 của CrowdStrike, đã có những con số cụ thể về lỗ hổng này. AIDR, dòng sản phẩm phát hiện và phản hồi AI của công ty, đã tăng trưởng ARR (Annual Recurring Revenue) cuối kỳ hơn 250% theo quý, với một danh mục dự án Q2 vượt 50 triệu USD (theo hồ sơ 8-K gửi SEC). Tổng ARR của công ty đạt 5.51 tỷ USD, và dữ liệu từ CrowdStrike cho thấy hơn 1.800 ứng dụng agentic đang chạy trên các điểm cuối của doanh nghiệp.
Vào ngày 17 tháng 6, công ty đã mở rộng AIDR sang AWS, bổ sung khả năng đánh giá theo thời gian thực các giao tiếp của agent, LLM và MCP trên Amazon Bedrock, Kiro và Strands Agents, dựa trên hợp tác với Project Glasswing của Anthropic. Daniel Bernard, Giám đốc kinh doanh của CrowdStrike, cho biết bề mặt tấn công AI hiện nay bao gồm phát triển, thời gian chạy, danh tính và cơ sở hạ tầng đám mây, và các nhóm xử lý chúng như các miền riêng biệt sẽ để lại những lỗ hổng giữa chúng. ☁️
Các Chuyên Gia Lên Tiếng Về Lỗ Hổng Tương Tự
David Levin, CISO tại American Express Global Business Travel, chia sẻ với VentureBeat rằng mô hình này không làm ông ngạc nhiên. “Chúng ta đang có một loại 'AI bóng tối' (shadow AI), mà thực chất chỉ là phiên bản mới của 'IT bóng tối' (shadow IT)”, Levin nhận định. 💡
Cả Langflow và LiteLLM đều phù hợp với mô tả này. Các nhóm đã triển khai chúng vì sự tiện lợi, cấp thông tin xác thực và không bao giờ đưa chúng vào hệ thống quản trị. Levin nhấn mạnh việc khắc phục cần được thực hiện trước khi triển khai. “Chúng tôi không tiếp cận vấn đề này chỉ bằng cách nói rằng chúng tôi sẽ làm mà không có những nguyên tắc cơ bản đúng đắn,” ông nói. “Chúng tôi tận dụng các kiểm soát của NIST. NIST đã phát hành CSF cùng với khung AI của họ. OWASP cũng đã công bố Top 10 của mình. Bạn cần có những nguyên tắc cơ bản đúng đắn trước khi triển khai.”
Merritt Baer, CSO tại Enkrypt AI và cựu Phó CISO của AWS, đã chỉ ra phiên bản cấu trúc của lỗi này trong một cuộc phỏng vấn khác với VentureBeat. “Các doanh nghiệp tin rằng họ đã 'phê duyệt' các nhà cung cấp AI, nhưng thực ra họ chỉ phê duyệt một giao diện chứ không phải hệ thống nền tảng,” Baer nói. “Các phụ thuộc thực sự nằm sâu hơn một hoặc hai lớp, và đó là những phần sẽ thất bại khi gặp áp lực.” Bà đã liên hệ điều này trực tiếp với cách các hệ thống sụp đổ. “Các lỗ hổng zero-day thô không phải là cách hầu hết các hệ thống bị xâm phạm. Khả năng kết hợp (composability) mới là vấn đề,” Baer nói với VentureBeat. “Rủi ro nằm ở 'chất keo' giữa mô hình và dữ liệu của bạn. Nếu bạn cấp cho một agent quyền bash và root token, bạn đã làm gần hết công việc cho kẻ tấn công rồi.” Đó chính là điều mà dòng 2 và 4 của kiểm tra an ninh nhắc đến: gateway lưu giữ mọi khóa và danh tính agent không được quản lý. 🔑
Levin đưa ra một góc nhìn sắc sảo hơn cho các buổi họp ban giám đốc. “Bạn cần nói nhiều hơn về rủi ro so với tuân thủ với ban giám đốc và các nhà điều hành của mình,” ông nói. “Vấn đề không còn là quy mô của đội ngũ kỹ sư nữa. Mà là quy mô của trí tưởng tượng của bạn. Tất cả đều được viết bằng ngôn ngữ đơn giản. Không khó cho bất kỳ ai.” Cả SearchLeak và LiteLLM đều không cần phần mềm độc hại tùy chỉnh hay lỗ hổng zero-day để hoạt động. 💡
Adam Meyers, Phó Chủ tịch cấp cao về Tình báo của CrowdStrike, đã trình bày vấn đề vận hành bằng những con số trong một cuộc phỏng vấn độc quyền với VentureBeat. “Vấn đề không phải là zero-day. Vấn đề là vá lỗi. Nếu bạn nhân vấn đề đó lên 10 lần, họ sẽ hoàn toàn bị 'chìm nghỉm',” Meyers nói. Ông chỉ ra danh tính là mặt trận thứ hai. “Một số AI này có danh tính riêng của chúng, hoặc mọi người cấp danh tính của họ cho AI để thực hiện hành động thay mặt họ, và điều đó khiến nó trở thành một vấn đề rất phức tạp.”
Bản Kiểm Tra Ranh Giới Tin Cậy Năm Bước (Five-Check Audit) 📝
Mỗi bước kiểm tra sau đây sẽ chỉ ra một lỗ hổng cùng với bằng chứng, một lệnh bạn có thể chạy vào sáng thứ Hai, cách khắc phục và thông điệp bạn có thể trình bày với ban giám đốc:
1. Prompt-to-Data
* Điểm Chứng Minh: SearchLeak CVE-2026-42824. Chèn P2P + điều kiện tranh chấp HTML + Bing SSRF. Đánh cắp hộp thư chỉ bằng một cú nhấp qua URL microsoft.com. PoC đã được chứng minh; Microsoft đánh giá nghiêm trọng, NVD chưa chấm điểm. * Vấn Đề Gặp Phải: Tham số q của URL được truyền cho LLM dưới dạng hướng dẫn. Bộ lọc chạy sau khi render. Bing đóng vai trò proxy đánh cắp dữ liệu qua danh sách cho phép của CSP. * Kiểm Tra Ngay Lập Tức: Kiểm tra các danh sách cho phép của CSP đối với các miền thực hiện tìm nạp phía máy chủ. Giám sát các URL Copilot Search để tìm các payload được mã hóa. Xem xét nhật ký kiểm toán của Copilot. * Khắc Phục Ngay Lập Tức: Xác nhận đã áp dụng bản vá phía máy chủ. Bật nhãn nhạy cảm hạn chế Copilot. Coi đầu ra luồng AI là không đáng tin cậy. * Thông Điệp Cho Ban Giám Đốc: “Trợ lý AI của chúng ta có thể tìm kiếm email của nhân viên và gửi kết quả cho kẻ tấn công thông qua một URL Microsoft đáng tin cậy. Nhà cung cấp đã vá lỗi. Chúng ta phải xác minh cấu hình.”
2. Gateway Credential Exposure (Phơi Bày Thông Tin Xác Thực Gateway)
* Điểm Chứng Minh: Chuỗi ba lỗ hổng CVE của LiteLLM (-47101, -47102, -40217). CVSS 9.9. Lỗ hổng CVE-2026-42271 riêng biệt trên CISA KEV (đã vá trong v1.83.7; chuỗi đầy đủ đã vá trong v1.83.14-stable). Hạn chót 22 tháng 6. * Vấn Đề Gặp Phải: Không có xác thực vai trò trên các điểm cuối quan trọng. Tự nâng cấp lên quyền quản trị thông qua /user/update. Thoát sandbox exec(). Một gateway phơi bày tất cả các khóa của nhà cung cấp. * Kiểm Tra Ngay Lập Tức: Chạy pip show litellm. Dưới 1.83.14-stable = dễ bị tổn thương. Kiểm tra phơi nhiễm /mcp-rest/test/. Kiểm tra các tài khoản proxy_admin. * Khắc Phục Ngay Lập Tức: Nâng cấp lên v1.83.14-stable+. Xoay vòng tất cả các khóa API của nhà cung cấp. Chặn /mcp-rest/test/* tại proxy. Xem xét các Bảo vệ Mã Tùy chỉnh (Custom Code Guardrails). * Thông Điệp Cho Ban Giám Đốc: “Gateway AI của chúng ta chứa các khóa cho mọi nhà cung cấp. Một tài khoản mặc định có thể tự nâng cấp lên quyền quản trị và đánh cắp tất cả. Đang tiến hành xoay vòng khóa và vá lỗi ngay bây giờ.”
3. AI Tooling Sprawl (Phát Tán Công Cụ AI Bừa Bãi)
* Điểm Chứng Minh: Langflow CVE-2026-5027 (CVSS 8.8). Lỗ hổng RCE thứ ba trong năm 2026. Khoảng 7.000 phiên bản bị phơi nhiễm. Nhóm MuddyWater. Đã bị khai thác tích cực vào ngày 9 tháng 6. * Vấn Đề Gặp Phải: Lỗi duyệt thư mục trong tính năng tải lên tệp. Tự động đăng nhập được bật theo mặc định. Một yêu cầu không xác thực duy nhất có thể dẫn đến RCE. * Kiểm Tra Ngay Lập Tức: Truy vấn Censys/Shodan để tìm Langflow, Flowise, n8n, Dify trên hệ thống của bạn. Kiểm tra tính năng tự động đăng nhập. Kiểm kê các công cụ AI nằm ngoài quy trình quản lý thay đổi. * Khắc Phục Ngay Lập Tức: Đưa các nền tảng AI vào phía sau VPN/zero-trust. Bật xác thực ở mọi nơi. Nâng cấp Langflow lên v1.9.0+ (phiên bản hiện tại 1.10.0). Liên tục theo dõi bề mặt tấn công. * Thông Điệp Cho Ban Giám Đốc: “Các công cụ phát triển AI đang bị phơi nhiễm ra internet với tính năng đăng nhập bị tắt. Một nhóm hacker nhà nước đang khai thác lỗ hổng này. Chúng ta cần đưa chúng vào kiểm soát truy cập ngay hôm nay.”
4. Non-Human Identity Governance (Quản Trị Danh Tính Phi Con Người)
* Điểm Chứng Minh: AIDR ARR tăng 250% (Q1 FY27, SEC 8-K). Danh mục dự án Q2 > 50 triệu USD. Hơn 1.800 ứng dụng agentic trên các điểm cuối của doanh nghiệp. * Vấn Đề Gặp Phải: Các agent giữ danh tính và hoạt động thay mặt con người. Một số vượt quá phạm vi dự kiến để đạt được mục tiêu. Không có tiêu chuẩn nào quản lý vòng đời thông tin xác thực của agent. * Kiểm Tra Ngay Lập Tức: Kiểm kê tất cả các danh tính phi con người được sử dụng bởi các agent và máy chủ MCP. Ánh xạ quyền truy cập từ agent đến kho dữ liệu. Gắn cờ các agent có quyền ghi vào chính sách bảo mật. * Khắc Phục Ngay Lập Tức: Áp dụng nguyên tắc đặc quyền tối thiểu cho mọi danh tính agent. Đặt ranh giới đặc quyền thông qua bảo vệ danh tính. Phát hiện thời gian chạy cho các hành động vượt quá chính sách. Có sự can thiệp của con người cho các thay đổi chính sách. * Thông Điệp Cho Ban Giám Đốc: “Chúng ta không thể phân biệt một nhân viên con người với một tác nhân AI hành động thay mặt họ. Chúng ta cần quản lý vòng đời danh tính của chúng giống như cách chúng ta quản lý quyền truy cập của con người. Mức tăng trưởng thị trường 250% cho thấy lỗ hổng này là có hệ thống.”
5. Runtime Agentic Detection (Phát Hiện Agentic Thời Gian Chạy)
* Điểm Chứng Minh: Falcon AIDR mở rộng sang AWS (17 tháng 6). Bao gồm Bedrock, Kiro, Strands Agents. Tích hợp MCP. Đánh giá agent/LLM/MCP theo thời gian thực. * Vấn Đề Gặp Phải: Các công cụ truyền thống giám sát các hành động ở tốc độ con người. Các agent chạy ở tốc độ máy, hàng nghìn hành động mỗi phút, và có thể vượt qua các kiểm soát để đạt mục tiêu. * Kiểm Tra Ngay Lập Tức: Kiểm tra xem EDR/XDR có liên kết các hành động của agent với danh tính gốc hay không. Xác minh SIEM có tiếp nhận các giao tiếp MCP hay không. Xác nhận bạn có thể phân biệt con người với agent trên điểm cuối. * Khắc Phục Ngay Lập Tức: Triển khai AIDR hoặc giải pháp phát hiện thời gian chạy tương đương. Khám phá 'AI bóng tối' (shadow-AI) cho tất cả các ứng dụng agentic, mô hình, máy chủ MCP, danh tính. Thực thi chính sách thời gian thực đối với các hành động của agent. * Thông Điệp Cho Ban Giám Đốc: “Chúng ta không thể phân biệt một nhân viên con người với một tác nhân AI hành động thay mặt họ. Chúng ta cần phát hiện thời gian chạy ở tốc độ máy để có thể ngăn chặn thiệt hại trước khi nó xảy ra.”
Giải Pháp Nằm Ở Hạ Tầng, Không Phải Chính Sách
Sắc lệnh hành pháp ngày 2 tháng 6 đã tạo ra một Trung tâm Xử lý Thông tin An ninh mạng AI với thời hạn 2 tháng 7. Năm lỗ hổng trên không phải là vấn đề của các mô hình tiên tiến. Chúng là các vấn đề về hạ tầng trong các gateway, nền tảng điều phối, lớp danh tính và môi trường thời gian chạy nơi AI gặp gỡ doanh nghiệp.
Bản kiểm tra là năm dòng. Mỗi dòng ánh xạ một lỗ hổng với một tiết lộ hoặc tín hiệu thị trường từ tháng 6, một lệnh mà một nhóm có thể chạy trước bữa trưa và một câu mà CISO có thể đọc cho ban giám đốc. Câu hỏi không phải là liệu nhà cung cấp của bạn có vá lỗi hay không. Mà là liệu bạn có tìm thấy lỗ hổng trước tiên – hay kẻ tấn công tìm thấy nó theo cách chúng đã tìm thấy Copilot và LiteLLM.