- Bằng chứng khái niệm tiết lộ rủi ro toàn ngành rộng hơn
- Các khuyến nghị chính dành cho nhà phát triển
- Ảnh hưởng đối với người dùng và nền tảng
Các nhà nghiên cứu tại CertiK đã bày tỏ mối lo ngại về an ninh của các hệ sinh thái AI agent mới nổi, lập luận rằng hệ thống đánh giá thị trường hiện tại không đủ để ngăn chặn hành vi độc hại.
Trong một nghiên cứu gần đây, nhóm đã chứng minh cách một “Skill” của bên thứ ba bị xâm phạm trên nền tảng OpenClaw có thể vượt qua các biện pháp bảo vệ hiện có và thực thi các lệnh tùy ý trên hệ thống chủ. Các phát hiện này làm nổi bật những điểm yếu về cấu trúc trong cách các thị trường AI agent kiểm tra và triển khai mã bên ngoài.
Nghiên cứu tập trung vào quy trình đánh giá của Clawhub, bao gồm phân tích mã tĩnh, kiểm tra qua VirusTotal, và các công cụ kiểm duyệt dựa trên AI.
HOT Stories
Giàu Có Cha Giàu Có Mẹ Tác giả: Bitcoin sẽ đạt 750.000 USD
Đánh giá Thị trường Crypto: XRP sẵn sàng chạy tới 1.70 USD, Ethereum (ETH) vào chế độ tăng giá, Shiba Inu (SHIB) cuối cùng có trong thị trường bò?
Theo CertiK, các cơ chế này có thể bị vượt qua thông qua các chỉnh sửa mã nhỏ. Bằng cách thay đổi nhẹ logic hoặc cấu trúc các lỗ hổng, một Skill độc hại có thể xuất hiện như vô hại trong quá trình cài đặt trong khi vẫn giữ khả năng thực thi các hành động có hại sau khi triển khai.
Điều này tạo ra cảm giác an toàn giả tạo cho người dùng, vì việc được phê duyệt bởi hệ thống đánh giá thị trường không đảm bảo rằng một Skill là an toàn.
Bằng chứng khái niệm tiết lộ rủi ro toàn ngành rộng hơn
Cuộc tấn công bằng bằng chứng khái niệm nhấn mạnh một vấn đề lớn hơn ảnh hưởng đến hệ sinh thái AI agent: các mô hình an ninh dựa nhiều vào đánh giá trước khi triển khai thay vì bảo vệ trong thời gian chạy.
Nếu không có các biện pháp bảo vệ như sandboxing, kiểm soát quyền hạn nghiêm ngặt, và cô lập trong thời gian chạy, các nền tảng đang đặt quá nhiều trách nhiệm vào các hệ thống phát hiện không được thiết kế để xử lý các mối đe dọa phức tạp, ngày càng phát triển.
Các phát hiện này cho thấy khi các thị trường AI agent mở rộng, rủi ro của việc các Skill độc hại hoặc bị xâm phạm xâm nhập vào môi trường sản xuất sẽ gia tăng.
Các nhà nghiên cứu của CertiK lập luận rằng ngành công nghiệp cần phải xem xét lại cách tiếp cận bảo vệ AI agents bằng cách ưu tiên kiểm soát trong thời gian chạy hơn là phát hiện.
Thay vì giả định rằng tất cả mã độc hại có thể được xác định trước khi triển khai, các nền tảng nên được thiết kế với kỳ vọng rằng một số mối đe dọa sẽ không thể tránh khỏi bị bỏ sót trong quá trình đánh giá. Trong mô hình này, trọng tâm chuyển từ việc ngăn chặn mọi vi phạm sang giảm thiểu thiệt hại có thể xảy ra.
Điều này thể hiện một sự chuyển đổi lớn hơn từ tư duy “phát hiện hoàn hảo” sang tập trung vào kiểm soát thiệt hại và khả năng phục hồi của hệ thống.
Các khuyến nghị chính dành cho nhà phát triển
Để giải quyết các rủi ro này, CertiK đề xuất một số biện pháp cho các nhà phát triển xây dựng nền tảng AI agent.
Sandboxing nên trở thành mô hình thực thi mặc định cho các Skill của bên thứ ba, đảm bảo rằng mã bên ngoài chạy trong môi trường cô lập thay vì tương tác trực tiếp với hệ thống chủ.
Ngoài ra, các nền tảng nên triển khai khung quyền hạn chi tiết, theo từng Skill. Mỗi Skill cần rõ ràng khai báo các tài nguyên cần thiết, và thời gian chạy sẽ thực thi các quyền hạn đó trong quá trình hoạt động. Cách tiếp cận này hạn chế tác động tiềm năng của các thành phần bị xâm phạm hoặc độc hại.
Các nhà nghiên cứu cũng nhấn mạnh rằng các Skill của bên thứ ba không nên thừa hưởng niềm tin rộng rãi, ngầm định từ hệ thống chủ, vì điều này làm tăng đáng kể rủi ro bị khai thác.
Ảnh hưởng đối với người dùng và nền tảng
Đối với người dùng, báo cáo nhấn mạnh một giới hạn quan trọng: nhãn “lành tính” trong thị trường không đồng nghĩa với an toàn thực sự. Nó chỉ cho biết rằng quy trình đánh giá hiện tại không phát hiện ra mối đe dọa.
Cho đến khi các biện pháp bảo vệ trong thời gian chạy mạnh mẽ hơn được áp dụng rộng rãi, các nền tảng như OpenClaw có thể phù hợp hơn cho các môi trường rủi ro thấp, không liên quan đến dữ liệu nhạy cảm, thông tin đăng nhập hoặc tài sản có giá trị cao.
Nói rộng hơn, nghiên cứu chỉ ra một vấn đề cấu trúc trong toàn bộ hệ sinh thái AI. Trong khi các quy trình đánh giá có thể giúp phát hiện các mối đe dọa rõ ràng, chúng không thể là cơ chế phòng thủ chính cho các hệ thống thực thi mã của bên thứ ba có đặc quyền cao.
CertiK kết luận rằng, để cải thiện an ninh một cách thực chất, ngành công nghiệp cần thay đổi cách thiết kế các nền tảng AI agent.
Thay vì dựa vào các hệ thống phát hiện ngày càng phức tạp, các nhà phát triển phải xây dựng môi trường giả định rằng thất bại là có thể xảy ra và đảm bảo rằng bất kỳ vi phạm nào cũng được kiểm soát. Điều này bao gồm áp dụng các kỹ thuật cô lập mạnh mẽ hơn, thực thi quyền hạn nghiêm ngặt, và xem an ninh trong thời gian chạy là lớp bảo vệ cốt lõi.
Khi các ứng dụng dựa trên AI tiếp tục phát triển về độ phức tạp và mở rộng, khả năng kiểm soát rủi ro trong thời gian chạy có thể trở thành yếu tố quyết định trong việc bảo vệ hệ sinh thái kỹ thuật số thế hệ tiếp theo.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
