Nhà nghiên cứu bảo mật Hariharan Shanmugam mới đây đã lên tiếng cảnh báo về một mối đe dọa tiềm ẩn trong lĩnh vực trí tuệ nhân tạo (AI). Theo ông, thế hệ phần mềm độc hại tiếp theo có thể đang “ẩn náu” trong chính các mô hình AI, đặc biệt là trong những ứng dụng được người dùng tin tưởng. Điều đáng chú ý là những kẻ tấn công không nhất thiết phải dựa vào các cuộc tấn công tức thời bằng AI, mà thay vào đó có thể khiến mã độc lặng lẽ ẩn mình trong các mô hình AI như công cụ Core ML của Apple.
Trong hội nghị bảo mật Black Hat USA 2025, diễn ra vào ngày 7 tháng 8, ông Shanmugam sẽ trình bày nghiên cứu của mình về cách các mô hình AI có thể bị “vũ khí hóa” mà không cần đến sự hiện diện của lỗ hổng phần mềm. Vấn đề cốt lõi nằm ở chỗ phần lớn các công cụ bảo mật hiện tại không được thiết kế để quét sâu vào bên trong mô hình học máy hoặc thư viện AI, nơi mà mã độc có thể bị giấu kín trong hình ảnh hoặc tệp âm thanh.
Shanmugam đã phát triển một framework tấn công có tên MLArc, sử dụng chính các thành phần học máy của Apple để thực hiện kiểm soát và ra lệnh (Command & Control – C2). Bằng cách tận dụng Core ML, Vision (xử lý ảnh) và AVFoundation (xử lý âm thanh), mã độc có thể ẩn mình dưới dạng dữ liệu hợp pháp, lọt qua mọi hệ thống kiểm tra và thậm chí được kích hoạt mà không để lại dấu vết nào rõ ràng.
Điều đáng lo ngại là những cuộc tấn công như vậy không cần bất kỳ lỗi nào trong hệ thống Apple hay ứng dụng AI. Thay vào đó, kẻ tấn công có thể phát hành một ứng dụng AI “trông có vẻ hợp pháp”, được lưu hành công khai trên các kho phần mềm, nhưng bên trong lại chứa mã độc giấu kín. Khi ứng dụng chạy, payload độc hại sẽ được thực thi hoàn toàn trong bộ nhớ, tránh xa mọi bộ quét truyền thống.
Shanmugam cảnh báo rằng bất kỳ tổ chức nào cũng có thể trở thành nạn nhân nếu vô tình tích hợp một mô hình AI bị “nhiễm độc”. Đây là rủi ro nghiêm trọng trong chuỗi cung ứng phần mềm hiện đại, nơi AI ngày càng được dùng phổ biến trong ảnh, âm thanh, chatbot, và nhiều ứng dụng khác.
Ông gọi đây là một chiến thuật “nhóm đỏ” nhằm giúp cộng đồng bảo mật nhận ra rằng mô hình AI không chỉ là dữ liệu thụ động, mà có thể trở thành kênh truyền tải dữ liệu nguy hiểm. Ông sẽ công bố các chỉ số xâm nhập (IoC) liên quan trong blog nghiên cứu của mình cùng thời điểm với buổi thuyết trình.
“Thế hệ cấy ghép độc hại tiếp theo đang tìm nơi ẩn náu trong AI, và hiện tại chúng ta chưa đủ sẵn sàng để phát hiện,” ông kết luận.
