AI router lộ lỗ hổng nghiêm trọng: ví tiền mã hóa bị rút sạch, chuỗi cung ứng LLM đứng trước rủi ro lan rộng

AI *hạ tầng* dạng “*router*” đang bộc lộ lỗ hổng rõ rệt: ví *tiền mã hóa* bị chiếm đoạt, mã nguồn trong môi trường *dev* bị âm thầm chỉnh sửa, kéo theo cảnh báo nghiêm trọng cho toàn bộ cấu trúc an ninh của hệ sinh thái dựa trên *LLM*.

Theo báo cáo công bố ngày 8 tháng 4 (giờ địa phương) của nhóm nghiên cứu Đại học California, sau khi kiểm tra 428 *AI API router*, họ phát hiện một số *router* đã thực hiện chèn mã độc và đánh cắp thông tin xác thực. Đáng chú ý, một *router* miễn phí đã thực sự rút tiền từ ví *Ethereum(ETH)* do chính nhóm nghiên cứu kiểm soát.

AI router từ “cầu nối” thành điểm tấn công trực tiếp

Vấn đề nằm ở cấu trúc của *AI router*. Hệ thống này trung chuyển yêu cầu của người dùng tới mô hình AI và trả lại phản hồi, nhưng lại có toàn quyền truy cập dữ liệu JSON chưa mã hóa, nghĩa là có thể đọc và chỉnh sửa toàn bộ nội dung.

Các *router* độc hại lợi dụng chính đặc điểm này. Chúng chèn mình vào giữa phần *prompt* và phần trả lời, âm thầm sửa đổi đoạn mã sinh ra, hoặc tuồn ra ngoài các thông tin nhạy cảm như *API key*, khóa riêng ví, cụm từ *seed*. Các mô hình bảo mật hiện tại lại được thiết kế với giả định tầng trung gian này là “đáng tin cậy”, dẫn tới tình trạng gần như không có lớp phòng vệ.

Những cuộc tấn công được ghi nhận không hề đơn giản. Một số *router* chỉ bắt đầu hành vi độc hại sau hơn 50 lần gọi API “bình thường” để né phát hiện. Chúng chủ yếu nhắm vào các phiên làm việc tự động không có can thiệp của con người – còn gọi là chế độ “YOLO” – nơi mọi lệnh được thực thi liên tục, khó bị người dùng nhận ra bất thường.

bình luận: Đây là chiến thuật “ngủ đông” cổ điển trong bảo mật, nhưng được đưa vào hạ tầng AI, khiến việc giám sát trở nên khó khăn hơn nhiều.

Hơn 2,1 tỷ token đã đi qua: rủi ro lan rộng trong “chuỗi cung ứng LLM”

Các thử nghiệm bằng *OpenAI API key* bị rò rỉ cho thấy quy mô xử lý của các *router* này không hề nhỏ. Hơn 2,1 tỷ *token* đã được xử lý, trong đó có 440 phiên *Codex* và 401 phiên tự động, làm lộ tổng cộng 99 thông tin xác thực khác nhau.

Điều này cho thấy “*chuỗi cung ứng LLM*” (*LLM supply chain*) có thể bị nhiễm độc ngay từ tầng hạ tầng. Đáng lo hơn, phần lớn hành vi độc hại lại xuất hiện ở các *router* miễn phí, dựa vào cộng đồng. Mô hình này thường được các team *dev* ưu tiên dùng để cắt giảm chi phí, vô tình biến các môi trường phát triển, thử nghiệm và *CI/CD* thành điểm nóng rủi ro.

bình luận: Khi mã nguồn, *pipeline* và khóa sản xuất đều đi qua hạ tầng của bên thứ ba, chỉ cần một “điểm hỏng” là cả chuỗi giá trị AI có thể bị thao túng.

Bảo mật ví bị vô hiệu: DeFi và tự động hóa hứng đòn

Một trong những mối nguy lớn nhất là các lớp phòng vệ truyền thống của *tiền mã hóa* gần như không phát huy tác dụng trong kịch bản này. Dù sử dụng ví cứng hay cấu trúc đa chữ ký, nếu khóa bị lộ ở tầng *router* thì toàn bộ kiến trúc bảo mật phía sau cũng vô nghĩa.

Các công cụ *on-chain*, nền tảng *DeFi* tự động, *trading bot*… đều dựa rất nhiều vào API và dịch vụ bên ngoài. Khi một *AI router* độc hại chen vào luồng dữ liệu:

- Mã lệnh sinh ra có thể bị sửa để chèn địa chỉ người nhận giả, thêm hàm rút tiền ẩn hoặc mở cổng hậu.

- Giao dịch có thể bị điều chỉnh thông số (địa chỉ ví, số lượng, *slippage*, *deadline*…) ngay trước khi ký.

- Trong môi trường tự động, thiếu bước xác nhận thủ công, tổn thất thường chỉ được phát hiện khi tài sản đã “bốc hơi”.

Trong bối cảnh ước tính thiệt hại liên quan *tiền mã hóa* hàng năm khoảng 1,4 tỷ USD (tương đương khoảng 2,0819 nghìn tỷ đồng), cách tấn công này đặc biệt nguy hiểm vì không cần phá vỡ lớp mật mã học trên chuỗi. Chỉ cần chiếm quyền kiểm soát “hạ tầng trung gian” – cụ thể là *AI router* – là đủ để chiếm đoạt tài sản.

bình luận: Đây là sự dịch chuyển từ việc tấn công thuật toán sang tấn công chuỗi cung ứng và hạ tầng, giống cách phần mềm độc hại từng tận dụng *package manager* và thư viện bên thứ ba.

“Router không trung lập”: cần thay đổi toàn bộ tư duy bảo mật

Đồng sáng lập Solayer ngày 10 tháng 4 đã đăng trên X nhận định rằng các *router* bên thứ ba mà *agent* LLM đang phụ thuộc có “lỗ hổng mang tính cấu trúc”. Nói cách khác, bản thân mô hình kinh doanh và cách triển khai *router* hiện nay đã tạo ra bề mặt tấn công mới.

Nhóm nghiên cứu đề xuất một số biện pháp đối phó:

- Thiết lập cơ chế chặn phản hồi bất thường ở phía *client*, thay vì chỉ tin tưởng hoàn toàn đầu ra từ *router*.

- Dùng bộ lọc phát hiện sai lệch trong nội dung phản hồi (ví dụ: mã bị chèn địa chỉ ví lạ, thêm lời gọi tới API không được yêu cầu).

- Ghi log bất biến, không thể chỉnh sửa, nhằm phục vụ điều tra và đối chiếu khi có sự cố.

- Về dài hạn, áp dụng chữ ký mật mã trực tiếp trên phản hồi AI, để có thể xác minh rằng nội dung không bị sửa đổi kể từ khi rời mô hình gốc.

bình luận: Nếu không có lớp “chứng thực nguồn gốc” cho phản hồi AI, toàn bộ hệ sinh thái *agent* tự động trong *DeFi* và giao dịch on-chain sẽ mãi phụ thuộc vào niềm tin mù quáng vào bên trung gian.

Khi cấu trúc niềm tin xoay quanh *AI router* đang lung lay, nguy cơ bị đánh cắp ví *tiền mã hóa* không còn là bài toán đơn thuần về công nghệ ví hay hợp đồng thông minh, mà trở thành bài toán “niềm tin vào hạ tầng” rộng hơn. Càng nhiều *DeFi* và quy trình tự động được triển khai, lỗ hổng này càng có cơ hội lan rộng, đòi hỏi ngành *tiền mã hóa* sớm xây dựng lại mô hình bảo mật cho kỷ nguyên AI.