Hacker dùng AI tạo ra mã khai thác Zero-day đầu tiên để vượt qua xác thực 2FA trên quy mô lớn
Ngày 11 tháng 5 năm 2026, Google công bố phát hiện mang tính bước ngoặt: lần đầu tiên trong lịch sử an ninh mạng, một nhóm tội phạm mạng đã dùng trí tuệ nhân tạo để tạo ra mã khai thác zero-day sẵn sàng cho chiến dịch tấn công hàng loạt.
Google Threat Intelligence Group (GTIG), trong một báo cáo tổng hợp từ dữ liệu của Gemini, Mandiant và nhóm nghiên cứu nội bộ, đã xác nhận: lần đầu tiên, một nhóm tội phạm mạng đã sử dụng AI để phát triển một mã khai thác zero-day. Mã khai thác là một đoạn script Python được thiết kế để vượt qua cơ chế xác thực hai yếu tố (2FA) trên một công cụ quản trị hệ thống web mã nguồn mở phổ biến. Nhóm tin tặc này dự định triển khai nó trong một chiến dịch khai thác hàng loạt, Google đã phát hiện và ngăn chặn kịp thời.
Theo John Hultquist, chuyên gia phân tích trưởng của GTIG: "Có một quan niệm sai lầm rằng cuộc đua AI trong lĩnh vực lỗ hổng bảo mật là điều sắp xảy ra. Thực tế là nó đã bắt đầu rồi." Ông bổ sung thêm: "Với mỗi zero-day chúng tôi có thể truy ngược về AI, có lẽ còn rất nhiều cái khác ngoài kia."
AI phát hiện lỗ hổng với tư duy của lập trình viên
Điều làm cho vụ việc này đặc biệt đáng lo ngại không chỉ là sự tham gia của AI, mà còn là loại lỗ hổng mà AI đã tìm ra.
Lỗ hổng được mô tả là một lỗi logic ngữ nghĩa cấp cao (high-level semantic logic flaw) xuất phát từ việc lập trình viên đã "hardcode" (mã hóa cứng) một giả định tin tưởng vào quy trình xác thực. Đây chính xác là loại lỗi mà các mô hình ngôn ngữ lớn (LLM) rất giỏi phát hiện, không phải lỗi bộ nhớ hay lỗi đầu vào thông thường.
Trong khi các công cụ quét lỗ hổng truyền thống được tối ưu hóa để phát hiện "sink" (điểm tiếp nhận dữ liệu nguy hiểm) và các lỗi làm crash chương trình, LLM thế hệ mới lại vượt trội trong việc nhận diện các lỗi logic cấp cao và các bất thường hardcode. Mặc dù LLM vẫn còn gặp khó khăn với logic xác thực phức tạp ở tầng doanh nghiệp, chúng ngày càng có khả năng lập luận theo ngữ cảnh, thực sự "đọc được ý định của lập trình viên" để tìm ra sự mâu thuẫn giữa logic thực thi 2FA và các ngoại lệ hardcode của nó.
Nói đơn giản hơn: AI không tìm lỗi như các công cụ fuzzing truyền thống. Nó đọc code như một senior developer, hiểu ý định của lập trình viên, rồi tìm ra nơi thực thi mâu thuẫn với ý định đó. Đây là bước nhảy vọt về chất lượng trong khả năng tìm lỗ hổng tự động.
3 "dấu vết" trong mã khai thác của AI
Dựa trên cấu trúc và nội dung của đoạn script, GTIG kết luận với độ tin cậy cao rằng một mô hình AI đã tham gia vào toàn bộ quá trình: từ việc tìm ra lỗ hổng cho đến việc viết mã khai thác. Đây là lần đầu tiên trong lịch sử an ninh mạng một trường hợp như vậy được xác nhận công khai.
Một hacker viết mã khai thác nhanh thường làm theo kiểu thực dụng nhất có thể: code ngắn, ít comment, không có cấu trúc cầu kỳ. Mục tiêu là chạy được, không phải đẹp. Nhưng đoạn script Python này hoàn toàn khác.
1Thứ nhất, code chứa docstrings kiểu giáo trình
Mỗi hàm đều có chú thích giải thích tỉ mỉ mục đích, đầu vào, đầu ra, như viết tài liệu học lập trình. Không có hacker thực dụng nào bỏ thời gian làm điều đó khi đang viết công cụ tấn công.
2Thứ hai, code có một điểm số CVSS hoàn toàn bịa ra
CVSS là thang điểm chuẩn quốc tế để đánh giá mức độ nghiêm trọng của lỗ hổng bảo mật, do các tổ chức chuyên trách gán sau khi phân tích kỹ lưỡng. Không có lỗ hổng zero-day nào có điểm CVSS vì nó chưa được ai biết đến để mà đánh giá. AI không biết điều đó, nó thấy các exploit thường đi kèm điểm CVSS trong dữ liệu huấn luyện nên tự thêm vào một con số, và con số đó hoàn toàn không tồn tại trong bất kỳ cơ sở dữ liệu nào. Đây là kiểu "ảo giác" (hallucination) điển hình của LLM.
3Thứ ba, phong cách code quá gọn gàng
Script dùng cấu trúc Python rất chuẩn mực, có menu trợ giúp chi tiết, dùng lớp màu ANSI cho output đẹp mắt. Đây là những thứ xuất hiện trong code mẫu trên Stack Overflow hay GitHub tutorial, đúng kiểu dữ liệu mà LLM học từ đó.
Cuộc tấn công trước đó cũng đã nhắm vào chính AI
Trước đó, vào tháng 3/2026, cũng có một nhóm khác có tên TeamPCP xâm phạm LiteLLM, một thư viện Python phổ biến dùng để kết nối ứng dụng với nhiều nhà cung cấp LLM khác nhau bằng cách nhúng mã độc vào các package trên PyPI và gửi pull request độc hại lên GitHub.
Mục tiêu không phải là người dùng cuối. Mục tiêu là môi trường build của các công ty đang tích hợp AI vào sản phẩm của họ. Khi mã độc chạy trong môi trường này, nó trích xuất AWS keys và GitHub tokens, loại thông tin có thể dùng để leo thang vào toàn bộ hạ tầng của tổ chức.
Điểm đáng lo ngại: càng nhiều doanh nghiệp tích hợp AI vào quy trình làm việc thông qua các thư viện mã nguồn mở, hệ sinh thái AI càng trở thành mục tiêu hấp dẫn. Không cần hack mô hình AI trực tiếp chỉ cần xâm phạm một trong các thư viện kết nối là đủ.
Điều này có nghĩa gì với doanh nghiệp và người dùng?
Rào cản phát triển giai đoạn khai thác (exploit) tinh vi hiện đã giảm đi đáng kể. Trước đây, việc tạo ra một zero-day đòi hỏi kiến thức chuyên sâu về reverse engineering, nghiên cứu lỗ hổng và phát triển mã khai thác, những kỹ năng thường mất nhiều năm mới thành thạo. Nhưng với AI, phần lớn quy trình này có thể được rút ngắn xuống chỉ còn vài giờ. Điều đó không chỉ làm hạ thấp ngưỡng tiếp cận cho các tác nhân tấn công tiềm năng, mà còn giúp những hacker giàu kinh nghiệm đẩy khả năng khai thác lên một mức độ nguy hiểm hơn nữa.
Ryan Dewhurst, Trưởng bộ phận Tình báo Đe dọa tại watchTowr, nhận xét: "AI đang đẩy nhanh quá trình phát hiện lỗ hổng, làm giảm đáng kể công sức cần thiết để nhận diện, xác thực và 'vũ khí hóa' các lỗ hổng. Đây không còn là dự báo về tương lai, mà là thực tế chúng ta đang đối mặt: chu kỳ từ lúc phát hiện đến khi thực hiện tấn công đang tăng tốc một cách chóng mặt"
Vài điểm cảnh báo thực tế cho các quản trị viên hệ thống và chuyên gia bảo mật:
2FA không đồng nghĩa với an toàn tuyệt đối
Lỗ hổng này không phải do 2FA yếu mà do cách triển khai 2FA có lỗi logic. Bài học: kiểm tra xem các kiểm soát bảo mật của bạn có được áp dụng nhất quán trên tất cả luồng xử lý không, kể cả các ngoại lệ và edge case.
Logic flaw đang trở thành loại lỗ hổng nguy hiểm nhất
Không phải vì nó mới mà vì AI giờ đây có thể tìm ra nó một cách có hệ thống. Các công cụ SAST/DAST truyền thống sẽ không giúp được nhiều ở đây; cần có code review có chiều sâu kết hợp threat modeling.
Chuỗi cung ứng phần mềm mã nguồn mở là "mặt trận mới"
Từ vụ LiteLLM cho thấy rằng khi doanh nghiệp tích hợp ngày càng nhiều công cụ AI vào quy trình, mỗi dependency trong hệ sinh thái đó đều trở thành một bề mặt tấn công tiềm năng. Đặc biệt với các thư viện AI và tích hợp LLM. Kiểm tra dependency, xác thực package checksum, giới hạn quyền truy cập trong môi trường CI/CD.
Rào cản kỹ thuật để tạo mã khai thác đang hạ thấp dần
Điều đó có nghĩa là bạn cần phải xem xét đến trường hợp người tạo ra mã khai thác tấn công không cần là chuyên gia mới có thể tìm ra lỗ hổng trong hệ thống của bạn.
GTIG cho biết các mô hình AI vẫn còn gặp khó khăn với logic xác thực phức tạp ở tầng doanh nghiệp. Tuy nhiên, khả năng lập luận theo ngữ cảnh của AI đang giúp phát hiện các lỗi tiềm ẩn mà các công cụ quét truyền thống có thể bỏ qua. Đây vừa là tin tốt (giới hạn của AI vẫn còn), vừa là tin xấu (giới hạn đó đang thu hẹp dần).
Tấn công zero-day 2FA được nhìn lại như một cột mốc, là bằng chứng đầu tiên, được xác nhận công khai, rằng AI có thể tự mình đi qua toàn bộ chuỗi: tìm lỗ hổng, hiểu cơ chế, viết mã khai thác hoạt động được.
- Google Cloud Blog — GTIG AI Threat Tracker: "Adversaries Leverage AI for Vulnerability Exploitation, Augmented Operations, and Initial Access" (11/5/2026).
- SecurityWeek — "Google Detects First AI-Generated Zero-Day Exploit" (11/5/2026).
- BleepingComputer — "Google: Hackers used AI to develop zero-day exploit for web admin tool" (11/5/2026).
- CSO Online — "Google discovers weaponized zero-day exploits created with AI" (11/5/2026).
- The Hacker News — "Hackers Used AI to Develop First Known Zero-Day 2FA Bypass for Mass Exploitation" (13/5/2026)
