Phần mềm kỹ sư Jeff Kaufman (jefftk) vào ngày 8 tháng 5 đã đăng bài viết “AI is Breaking Two Vulnerability Cultures”, cho rằng AI đồng thời phá vỡ hai “văn hoá” xử lý lỗ hổng bảo mật vốn tồn tại song song lâu nay—phát hiện và công bố phối hợp (coordinated disclosure) và “sửa lặng lẽ” (bugs are bugs)—cùng với giả định “kẻ tấn công phải mất thời gian để phát hiện” mà hai chiến lược này dựa vào, giờ đã bị các công nghệ quét tự động của AI vượt qua. Bài gốc trên blog của Kaufman và cũng được đăng trên Hacker News, đạt hơn 200 điểm nhiệt độ, là một trong những bài quan sát về an ninh mạng được thảo luận sôi nổi nhất trong cộng đồng nhà phát triển trong tuần này.
Hai văn hoá lỗ hổng: phát hiện và công bố phối hợp vs “sửa lặng lẽ”
Khung hai văn hoá mà Kaufman tổng hợp:
Phát hiện và công bố phối hợp (coordinated disclosure)—người phát hiện thông báo riêng cho bên duy trì, cung cấp cửa sổ vá điển hình 90 ngày, rồi sau đó mới công bố công khai. Nền tảng giả định: kẻ tấn công cần thời gian để độc lập phát hiện cùng một lỗ hổng
“Bugs are Bugs” sửa lặng lẽ—một cách làm thường thấy ở các dự án mã nguồn mở như Linux: khi vá không nhất thiết đánh dấu là bản vá an toàn, dựa vào việc “chìm” trong lưu lượng nộp code để lấn át các bản vá bảo mật, nhằm tránh thu hút sự chú ý của kẻ tấn công
Hai văn hoá trước đây có thể tồn tại song song vì kẻ tấn công không có các công cụ “nhanh, tự động, chi phí thấp” để quét toàn bộ lịch sử các lần gửi hoặc đồng thời tìm cùng một lỗ hổng. AI đã thay đổi tiền đề đó.
Tác động của AI đến “sửa lặng lẽ”: quét commit trở nên rẻ
Tác động cụ thể của AI lên các dự án mã nguồn mở theo phong cách Linux:
Trước đây: kẻ tấn công phải lần lượt rà soát từng commit, cần nhiều nhân lực và thời gian; việc “chìm trong lưu lượng nộp code” là một vỏ bọc hiệu quả
Hiện nay: AI có thể quét lịch sử commit với chi phí thấp, tự động nhận diện những commit “trông giống như vá an toàn”, ngay cả khi tác giả không nói rõ
Hệ quả: tính ẩn giấu của “sửa lặng lẽ” đang nhanh chóng mất hiệu lực, thời gian đệm “vá xong chờ triển khai” bị rút ngắn
Kaufman dẫn một ví dụ cụ thể: “việc rà soát commit (examining commits) ngày càng hấp dẫn”, vì đánh giá của AI đối với từng thay đổi “ngày càng rẻ hơn, ngày càng hiệu quả hơn”. Điều này có nghĩa là trong tương lai các dự án mã nguồn mở sẽ không thể tiếp tục dựa vào lợi thế truyền thống rằng “tốc độ vá phải nhanh hơn tốc độ chú ý của kẻ tấn công”.
Tác động của AI đến “phát hiện và công bố phối hợp”: thời gian cấm công bố 90 ngày phản tác dụng
Cốt lõi của văn hoá phát hiện và công bố phối hợp là “thời gian cấm công bố” (embargo), khi người phát hiện cam kết sẽ không công khai trước khi bên duy trì kịp vá—nhưng AI khiến nhiều nhóm có thể đồng thời quét và phát hiện cùng một lỗ hổng:
Ví dụ cụ thể: một lỗ hổng do nhà nghiên cứu Hyunwoo Kim báo cáo, chỉ sau 9 giờ đã được người khác độc lập phát hiện
Nhiều nhóm được hỗ trợ bởi AI vận hành đồng bộ; thời gian cấm công bố dài lại tạo ra “cảm giác không vội vàng” mang tính giả
Khi người khác chỉ mất 9 giờ đã tìm được, thì thời gian cấm công bố 90 ngày lại trao cho kẻ tấn công thực thụ một “cửa sổ tấn công” 89 ngày 23 giờ
Kết luận của Kaufman là: trong tương lai nên áp dụng “các thời gian cấm công bố rất ngắn” (very short embargoes), và càng về sau khi năng lực AI tăng lên thì thời gian này càng cần rút ngắn. Quan trọng là: AI không chỉ đơn phương có lợi cho kẻ tấn công—người phòng thủ cũng có thể dùng AI để tăng tốc vá và triển khai, và cả hai sẽ cạnh tranh trong một khoảng thời gian bị nén chặt.
Các sự kiện cụ thể có thể tiếp tục theo dõi: liệu Linux Kernel và các dự án lớn như Project Zero có cập nhật hướng dẫn về thời gian công bố hay không; tiến độ thương mại hoá các công cụ quét lỗ hổng tự động bằng AI (Semgrep, CodeQL, v.v.); và các chiến lược ứng phó cụ thể của bộ phận an ninh mạng doanh nghiệp trước “AI tăng tốc hai mặt”.
Bài viết này “Jeff Kaufman: AI đồng thời phá vỡ hai văn hoá lỗ hổng an ninh mạng, thời gian cấm công bố 90 ngày phản tác dụng” lần đầu xuất hiện trên 鏈新聞 ABMedia.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
