Phần mềm kỹ sư Jeff Kaufman (jefftk) vào ngày 8 tháng 5 đã đăng bài viết “AI is Breaking Two Vulnerability Cultures”, cho rằng AI đồng thời phá vỡ hai “văn hoá” xử lý lỗ hổng bảo mật vốn tồn tại song song lâu nay—phát hiện và công bố phối hợp (coordinated disclosure) và “sửa lặng lẽ” (bugs are bugs)—cùng với giả định “kẻ tấn công phải mất thời gian để phát hiện” mà hai chiến lược này dựa vào, giờ đã bị các công nghệ quét tự động của AI vượt qua. Bài gốc trên blog của Kaufman và cũng được đăng trên Hacker News, đạt hơn 200 điểm nhiệt độ, là một trong những bài quan sát về an ninh mạng được thảo luận sôi nổi nhất trong cộng đồng nhà phát triển trong tuần này.
Hai văn hoá lỗ hổng: phát hiện và công bố phối hợp vs “sửa lặng lẽ”
Khung hai văn hoá mà Kaufman tổng hợp:
Phát hiện và công bố phối hợp (coordinated disclosure)—người phát hiện thông báo riêng cho bên duy trì, cung cấp cửa sổ vá điển hình 90 ngày, rồi sau đó mới công bố công khai. Nền tảng giả định: kẻ tấn công cần thời gian để độc lập phát hiện cùng một lỗ hổng
“Bugs are Bugs” sửa lặng lẽ—một cách làm thường thấy ở các dự án mã nguồn mở như Linux: khi vá không nhất thiết đánh dấu là bản vá an toàn, dựa vào việc “chìm” trong lưu lượng nộp code để lấn át các bản vá bảo mật, nhằm tránh thu hút sự chú ý của kẻ tấn công
Hai văn hoá trước đây có thể tồn tại song song vì kẻ tấn công không có các công cụ “nhanh, tự động, chi phí thấp” để quét toàn bộ lịch sử các lần gửi hoặc đồng thời tìm cùng một lỗ hổng. AI đã thay đổi tiền đề đó.
Tác động của AI đến “sửa lặng lẽ”: quét commit trở nên rẻ
Tác động cụ thể của AI lên các dự án mã nguồn mở theo phong cách Linux:
Trước đây: kẻ tấn công phải lần lượt rà soát từng commit, cần nhiều nhân lực và thời gian; việc “chìm trong lưu lượng nộp code” là một vỏ bọc hiệu quả
Hiện nay: AI có thể quét lịch sử commit với chi phí thấp, tự động nhận diện những commit “trông giống như vá an toàn”, ngay cả khi tác giả không nói rõ
Hệ quả: tính ẩn giấu của “sửa lặng lẽ” đang nhanh chóng mất hiệu lực, thời gian đệm “vá xong chờ triển khai” bị rút ngắn
Kaufman dẫn một ví dụ cụ thể: “việc rà soát commit (examining commits) ngày càng hấp dẫn”, vì đánh giá của AI đối với từng thay đổi “ngày càng rẻ hơn, ngày càng hiệu quả hơn”. Điều này có nghĩa là trong tương lai các dự án mã nguồn mở sẽ không thể tiếp tục dựa vào lợi thế truyền thống rằng “tốc độ vá phải nhanh hơn tốc độ chú ý của kẻ tấn công”.
Tác động của AI đến “phát hiện và công bố phối hợp”: thời gian cấm công bố 90 ngày phản tác dụng
Cốt lõi của văn hoá phát hiện và công bố phối hợp là “thời gian cấm công bố” (embargo), khi người phát hiện cam kết sẽ không công khai trước khi bên duy trì kịp vá—nhưng AI khiến nhiều nhóm có thể đồng thời quét và phát hiện cùng một lỗ hổng:
Ví dụ cụ thể: một lỗ hổng do nhà nghiên cứu Hyunwoo Kim báo cáo, chỉ sau 9 giờ đã được người khác độc lập phát hiện
Nhiều nhóm được hỗ trợ bởi AI vận hành đồng bộ; thời gian cấm công bố dài lại tạo ra “cảm giác không vội vàng” mang tính giả
Khi người khác chỉ mất 9 giờ đã tìm được, thì thời gian cấm công bố 90 ngày lại trao cho kẻ tấn công thực thụ một “cửa sổ tấn công” 89 ngày 23 giờ
Kết luận của Kaufman là: trong tương lai nên áp dụng “các thời gian cấm công bố rất ngắn” (very short embargoes), và càng về sau khi năng lực AI tăng lên thì thời gian này càng cần rút ngắn. Quan trọng là: AI không chỉ đơn phương có lợi cho kẻ tấn công—người phòng thủ cũng có thể dùng AI để tăng tốc vá và triển khai, và cả hai sẽ cạnh tranh trong một khoảng thời gian bị nén chặt.
Các sự kiện cụ thể có thể tiếp tục theo dõi: liệu Linux Kernel và các dự án lớn như Project Zero có cập nhật hướng dẫn về thời gian công bố hay không; tiến độ thương mại hoá các công cụ quét lỗ hổng tự động bằng AI (Semgrep, CodeQL, v.v.); và các chiến lược ứng phó cụ thể của bộ phận an ninh mạng doanh nghiệp trước “AI tăng tốc hai mặt”.
Bài viết này “Jeff Kaufman: AI đồng thời phá vỡ hai văn hoá lỗ hổng an ninh mạng, thời gian cấm công bố 90 ngày phản tác dụng” lần đầu xuất hiện trên 鏈新聞 ABMedia.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Chuỗi hệ sinh thái Space Computing của NVIDIA ra mắt, Space-1 Vera Rubin đưa năng lực AI cấp trung tâm dữ liệu lên không gian
NVIDIA Space Computing ra mắt tại GTC 2026, gần đây phía NVIDIA chính thức công bố thêm thông tin, nhằm đưa nền tảng điện toán tăng tốc từ trung tâm dữ liệu mặt đất lên quỹ đạo không gian. Dự án này tập trung vào hạ tầng AI cần thiết cho các nhiệm vụ không gian thế hệ mới, giúp vệ tinh, nền tảng quỹ đạo và trạm mặt đất đều có thể sử dụng GPU NVIDIA và các mô-đun điện toán biên để tăng tốc xử lý hình ảnh, dữ liệu cảm biến và thông tin địa không gian. (NVIDIA GTC 2026|NVIDIA đưa Space-1 Vera Rubin
ChainNewsAbmedia15phút trước
Chrome Tự Động Tải Xuống Mô Hình AI Gemini Nano Quy Mô Nhiều Gigabyte Vào Ngày 9 Tháng 5, Gây Ra Những Lo Ngại Về An Ninh Trong Cộng Đồng Crypto
Theo BlockBeats, vào ngày 9/5, Chrome đã tự động tải xuống một tệp mô hình AI đa gigabyte (Gemini Nano) vào thiết bị của người dùng mà không có sự đồng ý rõ ràng để phục vụ phát hiện gian lận tại chỗ, tóm tắt trang web và các tính năng AI. Trong khi Google cho biết việc thực thi AI cục bộ giúp tăng cường quyền riêng tư và bảo mật, người dùng crypto lại bày tỏ lo ngại về việc thiếu minh bạch và không có ủy quyền rõ ràng. Khi các trình duyệt ngày càng trở thành điểm truy cập cốt lõi cho ví crypto,
GateNews59phút trước
Thẩm phán Mỹ ra phán quyết việc cắt trợ cấp DOGE là trái pháp luật sau khi sử dụng ChatGPT và các từ khóa về DEI, đồng thời chặn việc thực thi vào thứ Năm
Theo ABC News, hôm thứ Năm một thẩm phán liên bang của Mỹ đã ra phán quyết rằng các đợt cắt giảm tài trợ do DOGE hậu thuẫn bởi Elon Musk thực hiện là bất hợp pháp. Thẩm phán quận liên bang Colleen McMahon tại New York cho biết nhân viên đã dùng ChatGPT và các tìm kiếm theo từ khóa, bao gồm “DEI”, “Equity”, “Inclusion” và “LGBTQ”, để hỗ trợ chấm dứt các chương trình tài trợ trên toàn bộ National Endowment for the Humanities. Tòa đã ngăn chính quyền Trump thực thi các hủy bỏ gây tranh cãi, nêu rõ
GateNews2giờ trước
Quan chức ECB cho biết rủi ro từ AI sẽ thúc đẩy việc rà soát cơ sở hạ tầng tài chính vào Thứ Bảy
José Luis Escrivá, thành viên Hội đồng quản trị Ngân hàng Trung ương châu Âu và Thống đốc Ngân hàng Tây Ban Nha, cho biết vào ngày thứ Bảy rằng các ngân hàng trung ương phải rà soát mức độ vững bền của hạ tầng tài chính và an ninh mạng trước sự gia tăng của trí tuệ nhân tạo. “Những diễn biến gần đây trong lĩnh vực trí tuệ nhân tạo buộc chúng tôi phải đánh giá lại mức độ bền vững của hạ tầng tài chính và an ninh mạng của mình”, Escrivá nói tại một sự kiện ở Tarragona. Ông cũng nhấn mạnh vai trò c
GateNews2giờ trước
Cổ phiếu Cloudflare giảm 23,62% vào ngày 8/5 sau thông báo lợi nhuận quý 1 và kế hoạch sa thải 1.100 nhân sự
Cổ phiếu của Cloudflare giảm 23,62% vào ngày 8/5 xuống còn 196,13 USD mỗi cổ phiếu sau khi công ty công bố kết quả kinh doanh quý 1 và thông báo cắt giảm khoảng 1.100 nhân sự. Mặc dù doanh thu quý 1 đạt 640 triệu USD, vượt kỳ vọng và tăng 34% so với cùng kỳ năm trước, dự báo doanh thu quý 2 ở mức 664–665 triệu USD lại thấp hơn kỳ vọng trước đó của thị trường là 666 triệu USD. Đợt cắt giảm nhân sự này, tương đương khoảng 20% lực lượng lao động, nằm trong kế hoạch chuyển đổi của công ty sang mô hì
GateNews4giờ trước
Helsing nhắm mục tiêu huy động vốn với mức định giá 18 tỷ USD
Theo Financial Times, Helsing, một startup drone của Đức được hỗ trợ bởi AI, đang dự kiến huy động thêm vốn với định giá xấp xỉ 18 tỷ USD.
GateNews5giờ trước
