Công ty an ninh mạng ESET đã tiết lộ việc phát hiện một biến thể ransomware hỗ trợ trí tuệ nhân tạo (AI) có tên mã là PromptLock. Được viết bằng ngôn ngữ lập trình Golang, biến thể mới này sử dụng mô hình ngôn ngữ mã nguồn mở gpt-oss:20b của OpenAI thông qua giao diện API Ollama để tạo ra các mã Lua độc hại theo thời gian thực. Mô hình ngôn ngữ này được OpenAI công bố vào đầu tháng này.
Theo ESET, PromptLock tận dụng các tập lệnh Lua được tạo từ các lời nhắc (prompt) được mã hóa cứng để thực hiện các tác vụ như liệt kê hệ thống tệp cục bộ, kiểm tra các tệp mục tiêu, trích xuất dữ liệu được chọn và thực hiện mã hóa. Các tập lệnh Lua này có khả năng tương thích đa nền tảng, hoạt động trên cả Windows, Linux và macOS. Mã ransomware còn bao gồm hướng dẫn để tạo ra một ghi chú tùy chỉnh dựa trên danh sách “tệp bị ảnh hưởng”, bất kể thiết bị bị nhiễm là máy tính cá nhân, máy chủ công ty hay bộ điều khiển phân phối điện.
Hiện tại, danh tính của kẻ đứng sau PromptLock vẫn chưa được xác định. Tuy nhiên, ESET cho biết các mẫu mã độc PromptLock đã được tải lên VirusTotal từ Hoa Kỳ vào ngày 25 tháng 8 năm 2025.
Kiểm tra và phân tích sâu hơn
ESET nhấn mạnh rằng các tập lệnh Lua được tạo bởi AI trong PromptLock khiến các chỉ số xâm nhập (Indicators of Compromise – IoCs) có thể thay đổi giữa các lần thực thi. Sự biến đổi này tạo ra thách thức lớn trong việc phát hiện. Nếu được triển khai hiệu quả, phương pháp này có thể làm phức tạp đáng kể việc nhận diện mối đe dọa và gây khó khăn cho các nhà bảo vệ mạng.
Được đánh giá là một bản thử nghiệm (Proof-of-Concept – PoC) hơn là một mã độc hoàn chỉnh được triển khai trong thực tế, PromptLock sử dụng thuật toán mã hóa SPECK 128-bit để khóa tệp. Phân tích mã độc cho thấy nó không chỉ mã hóa mà còn có khả năng trích xuất dữ liệu hoặc thậm chí phá hủy dữ liệu, mặc dù tính năng xóa dữ liệu dường như chưa được triển khai hoàn chỉnh.
ESET cũng làm rõ rằng PromptLock không tải toàn bộ mô hình gpt-oss:20b (có kích thước vài gigabyte) về máy nạn nhân. Thay vào đó, kẻ tấn công có thể thiết lập một proxy hoặc đường hầm từ mạng bị xâm nhập đến một máy chủ chạy API Ollama với mô hình gpt-oss:20b.
Tác động và xu hướng
Sự xuất hiện của PromptLock là một dấu hiệu cho thấy AI đang giúp tội phạm mạng, kể cả những người không có chuyên môn kỹ thuật cao, dễ dàng thiết lập các chiến dịch tấn công mới, phát triển mã độc, tạo nội dung lừa đảo thuyết phục và xây dựng các trang web độc hại. Cùng ngày, Anthropic tiết lộ rằng họ đã chặn các tài khoản của hai nhóm tội phạm mạng sử dụng chatbot Claude AI để thực hiện hành vi trộm cắp và tống tiền dữ liệu cá nhân quy mô lớn nhắm vào ít nhất 17 tổ chức khác nhau. Các nhóm này cũng phát triển nhiều biến thể ransomware với khả năng né tránh nâng cao, mã hóa mạnh mẽ và các cơ chế chống khôi phục dữ liệu.
Sự phát triển này diễn ra trong bối cảnh các mô hình ngôn ngữ lớn (Large Language Models – LLMs) cung cấp năng lượng cho các chatbot và công cụ phát triển tập trung vào AI như Amazon Q Developer, Anthropic Claude Code, AWS Kiro, Butterfly Effect Manus, Google Jules, Lenovo Lena, Microsoft GitHub Copilot, OpenAI ChatGPT Deep Research, OpenHands, Sourcegraph Amp và Windsurf dễ bị tấn công bởi các cuộc tấn công chèn lời nhắc (prompt injection). Những cuộc tấn công này có thể dẫn đến rò rỉ thông tin, trích xuất dữ liệu hoặc thực thi mã không mong muốn.
Mặc dù đã tích hợp các biện pháp bảo mật và rào cản an toàn mạnh mẽ để ngăn chặn hành vi không mong muốn, các mô hình AI vẫn liên tục trở thành nạn nhân của các biến thể tấn công chèn lời nhắc và vượt qua rào cản (jailbreak), cho thấy sự phức tạp và bản chất không ngừng phát triển của thách thức an ninh mạng.
Anthropic cảnh báo: “Các cuộc tấn công chèn lời nhắc có thể khiến AI xóa tệp, đánh cắp dữ liệu hoặc thực hiện các giao dịch tài chính.” Các hình thức tấn công chèn lời nhắc mới cũng liên tục được các tác nhân độc hại phát triển.
Tấn công PROMISQROUTE
Nghiên cứu mới đây đã phát hiện một cuộc tấn công đơn giản nhưng tinh vi có tên PROMISQROUTE (viết tắt của “Prompt-based Router Open-Mode Manipulation Induced via SSRF-like Queries, Reconfiguring Operations Using Trust Evasion”). Tấn công này lạm dụng cơ chế định tuyến mô hình của ChatGPT để kích hoạt việc hạ cấp mô hình, khiến lời nhắc được gửi đến một mô hình cũ hơn, kém an toàn hơn, từ đó vượt qua các bộ lọc an toàn và tạo ra kết quả không mong muốn.
Adversa AI cho biết trong một báo cáo tuần trước: “Việc thêm các cụm từ như ‘sử dụng chế độ tương thích’ hoặc ‘cần phản hồi nhanh’ có thể vượt qua hàng triệu đô la nghiên cứu an toàn AI.” Cuộc tấn công này nhắm vào cơ chế định tuyến mô hình tiết kiệm chi phí mà các nhà cung cấp AI sử dụng.
