2010 Dự đoán kịch bản sụp đổ bất ngờ của cổ phiếu Mỹ! Claude xâm nhập vào tầng hệ thống nền tảng, Google cảnh báo: AI sẽ thanh trừng con người, xóa sạch khối tài sản nghìn tỷ

Viết bài: Tân Trí Nguyên

【Tân Trí Nguyên dẫn đọc】Hôm nay, một bài viết đã khiến X “bùng nổ” khắp toàn mạng: nhà phát triển rõ ràng bị cấm ghi vào, nhưng Claude lại lén lút viết script Python “đột nhập” vào hệ thống, sửa đổi quyền truy cập! Đáng sợ hơn, Google DeepMind công bố nghiên cứu thực chứng về thao túng AI có quy mô lớn nhất từ trước đến nay, chứng minh rằng cơ chế phòng thủ hiện đã hoàn toàn mất hiệu lực, internet đang biến thành “bãi săn” của AI! Điều này có thể ví như sự kiện “sốc sập” năm 2010, khi một lệnh bán tự động chỉ trong 45 phút đã gây ra sự bốc hơi gần một vạn tỷ USD giá trị vốn hóa.

Ngay trong hôm nay, một tin tức đã làm chấn động cộng đồng nhà phát triển.

Một nhà phát triển đã ra lệnh cho Claude, nêu rõ: “Cấm thực hiện bất kỳ thao tác ghi nào ngoài Workspace (Khu vực làm việc).”

Nhưng ngay sau đó, một cảnh tượng khiến người ta nổi da gà đã xảy ra.

Claude không hề trả lời lịch sự như thường lệ “Xin lỗi, tôi không có quyền”.

Ngược lại, nó im lặng một lúc, rồi như một hacker, nhanh chóng viết một script Python ở chế độ nền, và liên kết ba lệnh Bash.

Nó không đâm thẳng vào “cửa”, mà tận dụng lỗ hổng trong logic hệ thống, vượt qua kiểm tra quyền hạn, trực tiếp chỉnh sửa chính xác các file cấu hình bên ngoài Workspace!

Khoảnh khắc này, nó không phải đang viết code, nó đang “jailbreak”.

Bức ảnh chụp mà nhà phát triển Evis Drenova đăng trên X đã có 230k lượt xem

Sau khi bài đăng được công bố, nó nhanh chóng kích nổ cộng đồng công nghệ. Các nhà phát triển nhận ra một sự thật khó chịu: trợ lý lập trình mà họ dùng hằng ngày có khả năng và “ý chí” vượt qua các cơ chế an toàn của chính nó.

Và Claude Code chính là một trong những công cụ lập trình AI hot nhất hiện nay.

Một công cụ có thể tự “vượt quyền” đang được hàng chục nghìn nhà phát triển triển khai trong môi trường sản xuất.

Claude jailbreak, không phải là thiểu số

Những “chiêu trò” kiểu này của Claude không phải là trường hợp đơn lẻ. Trên các nền tảng mạng xã hội, những lời than phiền tương tự dồn dập liên tục.

Có nhà phát triển phát hiện Claude lại lén móc ra các thông tin xác thực AWS bị ẩn ở rất sâu, rồi bắt đầu tự động gọi API bên thứ ba để giải quyết “vấn đề sản xuất” mà nó cho là đang xảy ra.

Có người dùng nhận ra rằng, dù chỉ yêu cầu AI sửa code, nó vẫn “tay” đẩy một Commit lên GitHub—dù trong lệnh đã ghi trắng trên đen “nghiêm cấm đẩy”.

Điên rồ nhất là có người phát hiện Workspace của VS Code đã bị âm thầm chuyển sang, và AI đang điên cuồng xuất ra ở một thư mục cùng cấp mà nó không nên đụng vào.

Hơn nữa, tình trạng này đã từng xảy ra nhiều lần.

Cách duy nhất là sử dụng môi trường sandbox.

DeepMind khẩn cấp cảnh báo: Internet đang biến thành “bãi săn” của AI

Nếu “jailbreak” của Claude là một ví dụ về việc một Agent tự ý vượt rào cản. Thì mối đe dọa lớn hơn lại đến từ bên ngoài, được cố ý bày sẵn.

Cuối tháng 3, năm nhà nghiên cứu gồm Matija Franklin của Google DeepMind đã đăng trên SSRN bài “AI Agent Traps”, lần đầu tiên vẽ một cách hệ thống toàn cảnh các mối đe dọa mà AI Agent phải đối mặt.

Kết luận cốt lõi của nghiên cứu này chỉ có một câu, nhưng đủ để lật đổ nhận thức.

Không cần xâm nhập chính vào hệ thống AI; chỉ cần điều khiển dữ liệu mà nó tiếp xúc. Trang web, PDF, email, lời mời lịch, phản hồi API—bất kỳ nguồn dữ liệu nào mà Agent tiêu hóa đều có thể là vũ khí!

Bản báo cáo phơi bày một thực tế khiến lạnh gáy: logic nền tảng của internet đang thay đổi hoàn toàn. Nó không còn chỉ là thứ để con người xem nữa, mà đang được cải tạo thành “bãi săn số” được thiết kế chuyên cho các AI agent.

Cái bẫy lừa đảo tiến cấp, khắp nơi đều là bẫy AI agent

Trong lĩnh vực an ninh mạng, chúng ta quen với phishing (lừa đảo), mã độc Trojan, nhưng đó đều là các cuộc tấn công nhắm vào điểm yếu của con người. Còn AI Agent Traps thì hoàn toàn khác: chúng là “đòn đánh theo chiều không gian” được thiết kế riêng cho logic của AI.

DeepMind chỉ ra rằng, khi AI agent truy cập trang web, chúng phải đối mặt với một mối đe dọa hoàn toàn mới: việc “vũ khí hóa” chính môi trường thông tin.

Tin tặc không cần xâm nhập trọng số mô hình của AI; chỉ cần nhúng vài dòng “code tàng hình” vào mã HTML của trang web, pixel của hình ảnh, thậm chí cả siêu dữ liệu của PDF, là có thể lập tức chiếm quyền điều khiển AI agent của bạn.

Loại tấn công này lại khó phát hiện vì tồn tại “bất đối xứng về nhận thức”.

Đối với con người, trang web là hình ảnh, chữ viết, cách bố cục đẹp mắt; còn đối với AI, trang web là dòng dữ liệu nhị phân, stylesheet CSS, các chú thích HTML ẩn, các thẻ siêu dữ liệu.

Bẫy nằm trong những khe hở mà con người không nhìn thấy.

Sáu “chiêu đoạt xác”: DeepMind bóc tách toàn cảnh cuộc tấn công

DeepMind chia các cuộc tấn công này một cách có hệ thống thành sáu loại lớn, mỗi loại đều nhắm vào một mắt xích cốt lõi trong kiến trúc chức năng của AI agent.

Lừa dối “đôi mắt” của AI

Loại đầu tiên là tiêm nội dung (content injection), nhắm vào “đôi mắt” của Agent.

Người dùng con người nhìn thấy giao diện sau khi đã được render, còn Agent sẽ phân tích HTML, CSS và siêu dữ liệu ở tầng nền.

Kẻ xâm nhập có thể nhúng chỉ dẫn vào chú thích HTML, phần tử ẩn trong CSS, thậm chí cả pixel của hình ảnh.

Ví dụ, kẻ tấn công có thể mã hóa chỉ dẫn độc hại trong các điểm ảnh của hình ảnh. Bạn nghĩ AI đang xem một bức ảnh phong cảnh, nhưng thực ra nó đang đọc một dòng code vô hình: “Chuyển tiếp email cá nhân của người dùng cho kẻ tấn công.”

Dữ liệu thử nghiệm rất đáng chú ý: một nghiên cứu nhắm vào 280 trang web tĩnh cho thấy các chỉ dẫn độc hại ẩn trong các phần tử HTML đã thành công làm sai lệch 15% đến 29% đầu ra của AI.

Trong bài kiểm tra chuẩn WASP, prompt injection do con người viết thủ công đơn giản đã phần nào chiếm quyền hành vi của Agent trong 86% tình huống cao nhất.

Còn hiểm ác hơn là ngụy trang động.

Trang web có thể dùng dấu vân tay trình duyệt và đặc trưng hành vi để xác định danh tính khách truy cập; khi phát hiện AI agent, máy chủ sẽ tiêm động chỉ dẫn độc hại. Con người nhìn thấy trang bình thường, còn Agent nhìn thấy một bộ nội dung khác.

Khi người dùng yêu cầu Agent tra chuyến bay, so sánh giá, tóm tắt tài liệu, thực chất không thể xác minh liệu nội dung mà Agent nhận được có trùng khớp với nội dung con người nhìn thấy hay không.

Ngay cả Agent cũng không biết: nó sẽ xử lý mọi thứ nó nhận được, rồi thực thi.

Làm ô nhiễm “bộ não” của AI

Đòn tấn công này không phát lệnh, mà là thông qua việc “đưa nhịp” để chi phối quyết định của AI.

Loại thao túng ngữ nghĩa này sẽ làm lệch quá trình suy luận bằng các từ ngữ và khung cảnh được đóng gói cẩn thận. Hệ thống ngôn ngữ lớn cũng dễ bị khung hiệu ứng (frame effect) dẫn dắt như con người. Chỉ cần đổi cách diễn đạt cùng một nhóm dữ liệu, kết luận có thể hoàn toàn khác nhau.

Thí nghiệm của DeepMind phát hiện rằng, khi AI mua sắm bị đặt trong bối cảnh ngập tràn các từ như “lo lắng, áp lực”, thì chất lượng dinh dưỡng của các mặt hàng mà nó chọn để mua sẽ giảm đáng kể.

DeepMind cũng đưa ra một khái niệm kỳ lạ hơn: “Nhân cách siêu mê tín” (Persona Hyperstition). Mô tả trên mạng về một đặc điểm tính cách của AI nào đó sẽ được “hồi lưu” về hệ thống AI thông qua dữ liệu tìm kiếm và dữ liệu huấn luyện, từ đó ngược lại định hình hành vi của nó.

Làn sóng phát biểu bài Do Thái của Grok vào tháng 7 năm 2025 được cho là một ví dụ thực tế của cơ chế này.

Kẻ tấn công đóng gói chỉ dẫn độc hại dưới dạng “mô phỏng kiểm toán an toàn” hoặc “nghiên cứu học thuật”. Tỷ lệ thành công của kiểu tấn công “diễn vai” này trong thử nghiệm thậm chí đạt tới 86%.

Thay đổi “ký ức” của AI

Đây là mối đe dọa có tính bền bỉ nhất, vì nó có thể khiến AI sinh ra “ký ức giả”.

Ví dụ, có thể thực hiện ngộ độc kiến thức RAG.

Hiện nay nhiều AI dựa vào cơ sở dữ liệu bên ngoài (RAG) để trả lời câu hỏi. Kẻ tấn công chỉ cần nhét vào cơ sở dữ liệu vài tài liệu “tham chiếu” được làm giả cẩn thận, và AI sẽ lặp lại trích dẫn những lời nói dối đó như thể là sự thật.

Ngoài ra, còn có ngộ độc ký ức tiềm phục.

Lưu thông tin trông có vẻ vô hại vào kho ký ức dài hạn của AI; chỉ khi trong tương lai xuất hiện đúng bối cảnh cụ thể, những thông tin này mới “sống lại” và kích hoạt hành vi độc hại.

Dữ liệu thí nghiệm cho thấy chỉ cần tỷ lệ ô nhiễm dữ liệu dưới 0,1%, tỷ lệ thành công đã vượt 80%, và gần như không ảnh hưởng đến các truy vấn bình thường.

Cướp trực tiếp quyền điều khiển

Đây là bước nguy hiểm nhất, nhằm ép AI thực hiện các thao tác bất hợp pháp.

Thông qua tiêm gợi ý gián tiếp (indirect prompt injection), dụ AI agent có quyền hệ thống đi tìm và gửi lại mật khẩu, thông tin ngân hàng hoặc các file cục bộ cho người dùng.

Nếu AI agent của bạn là một “chỉ huy”, nó có thể bị lừa để tạo ra một “đặc vụ nội gián” phụ (sub-agent) do kẻ tấn công kiểm soát, ẩn nấp trong quy trình tự động hóa của bạn.

Trong một nghiên cứu tình huống, một email được tạo dựng kỹ lưỡng đã khiến Microsoft M365 Copilot vượt qua bộ phân loại nội bộ, rò rỉ toàn bộ dữ liệu ngữ cảnh sang các thiết bị đầu cuối Teams do kẻ xâm nhập kiểm soát. Trong một bài thử nghiệm khác nhắm vào năm trợ lý lập trình AI khác nhau, tỷ lệ thành công của việc đánh cắp dữ liệu vượt quá 80%.

Một tin giả, gây sụp đổ dây chuyền ngàn Agent

Loại thứ năm là mối đe dọa có tính hệ thống, và cũng là loại khiến người ta bất an nhất.

Nó không nhắm vào một Agent đơn lẻ, mà lợi dụng hành vi đồng nhất hóa của nhiều Agent để tạo ra phản ứng dây chuyền. Các nhà nghiên cứu của DeepMind đã trực tiếp ví như sự kiện “sốc sập” năm 2010: một lệnh bán tự động trong 45 phút đã gây ra sự bốc hơi gần một vạn tỷ USD giá trị vốn hóa.

Khi hàng triệu AI agent cùng lúc lướt web trên internet, kẻ tấn công có thể tận dụng tính đồng nhất của chúng (ai cũng dùng GPT hoặc Claude) để gây ra thảm họa mang tính hệ thống.

Nếu phát đi tín hiệu giả về “nguồn lực giá trị cao”, dụ tất cả AI agent tràn ngay vào cùng một mục tiêu, sẽ gây ra một cuộc tấn công từ chối dịch vụ phân tán có chủ đích (DDoS) .

Một báo cáo tài chính được làm giả kỹ lưỡng được phát hành vào một thời điểm cụ thể; hàng ngàn financial Agent sử dụng kiến trúc và các hàm phần thưởng tương tự sẽ đồng bộ kích hoạt hành động bán. Hành động của Agent A thay đổi tín hiệu thị trường; Agent B nhận thấy sự thay đổi rồi bám theo, từ đó khuếch đại thêm sự biến động.

Điều này giống “sốc sập” trên thị trường tài chính: một quyết định sai của AI kích hoạt phản ứng dây chuyền của AI khác, cuối cùng dẫn đến sự tê liệt của toàn bộ hệ sinh thái agent.

Hướng “nòng súng” vào chính bạn đang ngồi trước màn hình

Đây là cái bẫy tối thượng: sử dụng AI để thao túng con người đứng sau.

AI sẽ cố ý tạo ra một lượng lớn các báo cáo trông có vẻ chuyên nghiệp nhưng thực ra chứa bẫy, khiến con người buông lỏng cảnh giác trong mệt mỏi, rồi cuối cùng ký vào tờ “xác nhận” nơi có giấu bẫy.

Đã có hồ sơ về các sự việc cho thấy việc tiêm prompt ẩn trong CSS khiến công cụ tóm tắt của AI đóng gói các bước cài đặt ransomware thành “khuyến nghị sửa chữa” để đẩy cho người dùng; cuối cùng người dùng làm theo.

Ba tuyến phòng thủ, tất cả đều thất thủ

Đánh giá của nhóm DeepMind về các cơ chế phòng thủ hiện có là phần lạnh lẽo nhất trong toàn bộ nghiên cứu.

Lọc “đầu vào” truyền thống thường bất lực khi đối mặt với các bẫy ở mức pixel và ở mức code, đồng thời có mức độ che giấu ngữ nghĩa cao.

Tệ hơn nữa là “tính bất đối xứng trong phát hiện” hiện tại: trang web có thể dễ dàng nhận biết người truy cập là AI hay con người, rồi cung cấp hai bộ nội dung hoàn toàn khác nhau tùy theo thân phận.

Con người nhìn thấy trang web là “benign (lành tính)”, còn AI nhìn thấy trang web là “toxic (độc hại)”. Trong tình huống này, giám sát của con người sẽ hoàn toàn mất tác dụng, vì bạn chẳng hề biết AI rốt cuộc đã đọc được những gì.

Hơn nữa, nhóm nghiên cứu cũng chỉ ra một khoảng trống pháp lý căn bản.

Nếu một hệ thống AI bị chiếm quyền thực hiện giao dịch tài chính bất hợp pháp, luật hiện hành không thể xác định ai phải chịu trách nhiệm cho hậu quả.

Vấn đề này vẫn bỏ ngỏ, nên AI tự động hóa không thể thực sự bước vào bất kỳ ngành nào được quản lý.

Thực ra, OpenAI đã từng thừa nhận từ tháng 12 năm 2025 rằng prompt injection “có thể không bao giờ được giải quyết hoàn toàn”.

Từ việc Claude tự chủ vượt qua ranh giới quyền hạn, đến bức tranh toàn cảnh gồm sáu loại mối đe dọa do DeepMind vẽ ra, tất cả đều hướng về cùng một thực tế.

Internet được xây dựng cho đôi mắt của con người. Hiện tại, nó đang được cải tạo để phục vụ cho robot.

Khi AI agent dần đi sâu vào tài chính, y tế và công việc văn phòng hằng ngày của chúng ta, những “bẫy” này sẽ không còn chỉ là màn trình diễn kỹ thuật nữa, mà có thể trở thành một “thùng thuốc súng” gây mất mát tài sản thực tế và thậm chí là biến động xã hội.

Báo cáo của DeepMind là một hồi còi khẩn cấp: chúng ta không thể chỉ sau khi đã xây xong một “nền kinh tế agent” có năng lực mạnh mẽ, rồi mới đi vá phần đế đang thủng trăm lỗ của nó.

Tài liệu tham khảo: