Phần mềm tống tiền đầu tiên hỗ trợ bởi AI bằng mô hình gpt-oss:20b của OpenAI

[Starlink]

Công ty an ninh mạng ESET đã tiết lộ rằng họ đã phát hiện ra một biến thể ransomware sử dụng trí tuệ nhân tạo (AI) có tên mã là PromptLock.

Được viết bằng Golang, chủng mới được xác định sử dụng mô hình gpt-oss:20b từ OpenAI cục bộ thông qua API Ollama để tạo ra các tập lệnh Lua độc hại theo thời gian thực. Mô hình ngôn ngữ open-weight đã được OpenAI phát hành vào đầu tháng này.

"PromptLock tận dụng các tập lệnh Lua được tạo từ các lời nhắc được mã hóa cứng để liệt kê hệ thống tệp cục bộ, kiểm tra các tệp mục tiêu, trích xuất dữ liệu đã chọn và thực hiện mã hóa", ESET cho biết. "Các tập lệnh Lua này tương thích đa nền tảng, hoạt động trên Windows, Linux và macOS."

Mã độc tống tiền cũng nhúng các hướng dẫn để tạo ghi chú tùy chỉnh dựa trên "các tệp bị ảnh hưởng", và máy tính bị nhiễm có thể là máy tính cá nhân, máy chủ công ty hoặc bộ điều khiển phân phối điện. Hiện tại vẫn chưa rõ ai là kẻ đứng sau phần mềm độc hại này, nhưng ESET đã nói với The Hacker News rằng các hiện vật PromptLoc đã được tải lên VirusTotal từ Hoa Kỳ vào ngày 25 tháng 8 năm 2025.

"PromptLock sử dụng các tập lệnh Lua do AI tạo ra, nghĩa là các chỉ số xâm phạm (IoC) có thể khác nhau giữa các lần thực thi", công ty an ninh mạng Slovakia chỉ ra. "Sự khác biệt này gây ra những thách thức cho việc phát hiện. Nếu được triển khai đúng cách, cách tiếp cận này có thể làm phức tạp đáng kể việc xác định mối đe dọa và khiến nhiệm vụ của các bên bảo vệ trở nên khó khăn hơn."

Được đánh giá là bằng chứng khái niệm (PoC) chứ không phải là phần mềm độc hại hoạt động hoàn toàn được triển khai trong thực tế, PromptLock sử dụng thuật toán mã hóa SPECK 128-bit để khóa tệp.

Bên cạnh mã hóa, phân tích về phần mềm tống tiền cho thấy nó cũng có thể được sử dụng để đánh cắp dữ liệu hoặc thậm chí phá hủy dữ liệu, mặc dù chức năng thực sự xóa dữ liệu dường như vẫn chưa được triển khai.

"PromptLock không tải xuống toàn bộ mô hình, vốn có thể lên đến vài gigabyte", ESET giải thích. "Thay vào đó, kẻ tấn công chỉ cần thiết lập một proxy hoặc đường hầm từ mạng bị xâm nhập đến một máy chủ đang chạy API Ollama với mô hình gpt-oss-20b."

Sự xuất hiện của PromptLock là một dấu hiệu khác cho thấy AI đã giúp tội phạm mạng, ngay cả những người thiếu chuyên môn kỹ thuật, dễ dàng thiết lập các chiến dịch mới, phát triển phần mềm độc hại và tạo nội dung lừa đảo hấp dẫn cùng các trang web độc hại.

Sớm hơn hôm nay, Anthropic tiết lộ rằng họ đã cấm các tài khoản được tạo bởi hai tác nhân đe dọa khác nhau sử dụng chatbot Claude AI để thực hiện hành vi trộm cắp và tống tiền dữ liệu cá nhân trên quy mô lớn nhắm vào ít nhất 17 tổ chức khác nhau và phát triển một số biến thể của phần mềm tống tiền có khả năng trốn tránh tiên tiến, mã hóa và cơ chế chống phục hồi.

Sự phát triển này diễn ra khi các mô hình ngôn ngữ lớn (LLM) cung cấp năng lượng cho nhiều chatbot và công cụ dành cho nhà phát triển tập trung vào AI, chẳng hạn như Amazon Q Developer, Anthropic Claude Code, AWS Kiro, Butterfly Effect Manus, Google Jules, Lenovo Lena, Microsoft GitHub Copilot, OpenAI ChatGPT Deep Research, OpenHands, Sourcegraph Amp và Windsurf, được phát hiện dễ bị tấn công chèn mã độc tức thời, có khả năng tiết lộ thông tin, đánh cắp dữ liệu và thực thi mã.

Mặc dù đã tích hợp các biện pháp bảo mật và an toàn mạnh mẽ để tránh các hành vi không mong muốn, các mô hình AI vẫn liên tục trở thành nạn nhân của các biến thể mới của các cuộc tấn công tiêm mã độc và bẻ khóa, nhấn mạnh tính phức tạp và bản chất luôn thay đổi của thách thức bảo mật.

"Các cuộc tấn công tiêm mã độc nhanh có thể khiến AI xóa tệp, đánh cắp dữ liệu hoặc thực hiện giao dịch tài chính", Anthropic cho biết. "Các hình thức tấn công tiêm mã độc nhanh mới cũng liên tục được phát triển bởi các tác nhân độc hại."

Hơn nữa, nghiên cứu mới đã phát hiện ra một cuộc tấn công đơn giản nhưng thông minh có tên là PROMISQROUTE – viết tắt của "Prompt-based Router Open-Mode Manipulation Induced via SSRF-like Queries, Reconfiguring Operations Using Trust Evasion" – lợi dụng cơ chế định tuyến mô hình của ChatGPT để kích hoạt hạ cấp và khiến lời nhắc được gửi đến một mô hình cũ hơn, kém an toàn hơn, do đó cho phép hệ thống bỏ qua các bộ lọc an toàn và tạo ra kết quả không mong muốn.

Adversa AI cho biết trong một báo cáo được công bố tuần trước rằng: "Việc thêm các cụm từ như 'sử dụng chế độ tương thích' hoặc 'cần phản hồi nhanh' sẽ bỏ qua hàng triệu đô la trong nghiên cứu về an toàn AI", đồng thời cho biết thêm rằng cuộc tấn công này nhắm vào cơ chế định tuyến mô hình tiết kiệm chi phí được các nhà cung cấp AI sử dụng.