Vào tháng 9 năm 2025, Anthropic đã tiết lộ rằng một tác nhân đe dọa được nhà nước bảo trợ đã sử dụng một AI coding agent để thực hiện một chiến dịch gián điệp mạng tự động nhằm vào 30 mục tiêu toàn cầu. AI đã tự mình xử lý 80-90% các hoạt động chiến thuật, thực hiện trinh sát, viết exploit code và cố gắng thực hiện lateral movement với tốc độ máy.
Sự cố này đáng lo ngại, nhưng có một kịch bản đáng báo động hơn nữa đối với các đội ngũ an ninh: một kẻ tấn công không cần phải thực hiện toàn bộ quy trình kill chain, vì chúng đã xâm nhập vào một AI agent vốn đã tồn tại trong môi trường của bạn. Một AI agent đã có quyền truy cập, các quyền hạn và lý do chính đáng để di chuyển giữa các hệ thống của bạn mỗi ngày.
Một khuôn khổ được xây dựng cho các mối đe dọa từ con người
Cyber kill chain truyền thống giả định rằng kẻ tấn công phải giành giật từng chút quyền truy cập. Đây là một mô hình được Lockheed Martin phát triển vào năm 2011 để mô tả cách các đối thủ di chuyển từ việc xâm nhập ban đầu đến mục tiêu cuối cùng của chúng, và nó đã định hình cách các đội an ninh suy nghĩ về việc phát hiện kể từ đó.
Logic rất đơn giản: kẻ tấn công cần hoàn thành một chuỗi các bước, và người phòng thủ có thể chặn chuỗi đó tại bất kỳ điểm nào. Mỗi giai đoạn mà kẻ tấn công phải vượt qua là một cơ hội khác để bắt giữ chúng.
Một cuộc xâm nhập điển hình trải qua các giai đoạn khác biệt:
- Initial access (khai thác một vulnerability, v.v.)
- Persistence mà không gây ra cảnh báo
- Reconnaissance để hiểu môi trường
- Lateral movement để tiếp cận dữ liệu có giá trị
- Privilege escalation khi quyền truy cập không đủ
- Exfiltration trong khi tránh các kiểm soát DLP
Mỗi giai đoạn tạo ra các cơ hội phát hiện: endpoint security có thể phát hiện payload ban đầu, network monitoring có thể phát hiện lateral movement bất thường, các hệ thống identity có thể gắn cờ privilege escalation, và các tương quan SIEM có thể liên kết các hành vi bất thường trên các hệ thống. Càng nhiều bước kẻ tấn công thực hiện, càng có nhiều cơ hội để bị phát hiện.
Đây là lý do tại sao các threat actor tiên tiến như LUCR-3 và APT29 đầu tư rất nhiều vào stealth, dành hàng tuần để sống ngoài vùng kiểm soát và hòa lẫn vào lưu lượng truy cập bình thường. Ngay cả khi đó, chúng vẫn để lại các artifacts: vị trí đăng nhập bất thường, các mẫu truy cập lạ, những sai lệch nhỏ so với hành vi cơ bản. Các artifacts này chính xác là những gì các hệ thống phát hiện hiện đại được thiết kế để tìm kiếm.
Tuy nhiên, vấn đề ở đây là các AI agent không thực sự tuân theo playbook này.
Những gì một AI Agent đã có
Các AI agent hoạt động khác biệt cơ bản so với người dùng là con người. Chúng làm việc trên nhiều hệ thống, di chuyển dữ liệu giữa các ứng dụng và chạy liên tục. Nếu bị xâm phạm, kẻ tấn công sẽ bỏ qua toàn bộ kill chain - chính agent đó trở thành kill chain.
Hãy nghĩ về những gì một AI agent thường có quyền truy cập. Lịch sử hoạt động của nó là một bản đồ hoàn hảo về dữ liệu nào tồn tại và nơi nó nằm. Nó có thể lấy dữ liệu từ Salesforce, đẩy tới Slack, đồng bộ với Google Drive và cập nhật ServiceNow như một phần của quy trình làm việc bình thường. Nó được cấp quyền rộng rãi khi triển khai, thường là quyền admin-level trên nhiều ứng dụng, và nó đã di chuyển dữ liệu giữa các hệ thống như một phần công việc của mình.
Một kẻ tấn công xâm nhập vào AI agent đó sẽ kế thừa tất cả những điều này ngay lập tức. Chúng có được bản đồ, quyền truy cập, các quyền hạn và lý do chính đáng để di chuyển dữ liệu. Mọi giai đoạn của kill chain mà các đội an ninh đã mất nhiều năm để học cách phát hiện? AI agent bỏ qua tất cả chúng theo mặc định.
Mối đe dọa đang diễn ra
Cuộc khủng hoảng OpenClaw đã cho chúng ta thấy điều này trông như thế nào trong thực tế:
Khoảng 12% các kỹ năng trong marketplace công cộng của nó là độc hại. Một vulnerability RCE nghiêm trọng cho phép xâm nhập chỉ với một cú nhấp chuột. Hơn 21.000 instance đã bị lộ công khai. Nhưng phần đáng sợ hơn là những gì một AI agent bị xâm phạm có thể truy cập khi nó được kết nối với Slack và Google Workspace: tin nhắn, file, email và tài liệu, với persistent memory qua các phiên.
Vấn đề chính là các công cụ bảo mật được thiết kế để phát hiện hành vi bất thường. Khi một kẻ tấn công sử dụng quy trình làm việc hiện có của một AI agent, mọi thứ đều trông bình thường. AI agent đang truy cập các hệ thống mà nó vẫn luôn truy cập, di chuyển dữ liệu mà nó vẫn luôn di chuyển, hoạt động vào những thời điểm mà nó vẫn luôn hoạt động.
Đây là lỗ hổng phát hiện mà các đội an ninh đang đối mặt.
Reco thu hẹp khoảng cách hiển thị như thế nào
Bảo vệ chống lại các AI agent bị xâm phạm bắt đầu bằng việc biết AI agent nào đang hoạt động trong môi trường của bạn, chúng kết nối với cái gì và giữ quyền hạn gì. Hầu hết các tổ chức không có bất kỳ danh mục nào về các AI agent chạm vào hệ sinh thái SaaS của họ. Đây chính xác là loại vấn đề mà Reco được xây dựng để giải quyết.
Khám phá mọi AI Agent đang hoạt động
Agentic AI Security của Reco khám phá mọi AI agent, tính năng AI nhúng và tích hợp AI của bên thứ ba trong môi trường SaaS của bạn, bao gồm cả các công cụ shadow AI được kết nối mà không có sự chấp thuận của IT.
Lập bản đồ phạm vi truy cập và phạm vi ảnh hưởng (Blast Radius)
Đối với mỗi AI agent, Reco lập bản đồ các ứng dụng SaaS mà nó kết nối, quyền hạn mà nó nắm giữ và dữ liệu mà nó có thể truy cập. Tính năng hiển thị SaaS-to-SaaS của Reco cho thấy chính xác cách các AI agent tích hợp trên hệ sinh thái ứng dụng của bạn, làm nổi bật các sự kết hợp độc hại nơi các AI agent kết nối các hệ thống lại với nhau thông qua MCP, OAuth hoặc tích hợp API, tạo ra sự phân tách quyền mà không chủ sở hữu ứng dụng nào có thể ủy quyền.
Gắn cờ mục tiêu, thực thi Nguyên tắc đặc quyền tối thiểu (Least Privilege)
Reco xác định AI agent nào đại diện cho mức độ phơi nhiễm lớn nhất của bạn bằng cách đánh giá phạm vi quyền hạn, quyền truy cập đa hệ thống và độ nhạy cảm của dữ liệu. Các AI agent liên quan đến rủi ro mới nổi được tự động gắn nhãn. Từ đó, Reco giúp bạn điều chỉnh quyền truy cập thông qua identity and access governance, trực tiếp giới hạn những gì kẻ tấn công có thể làm nếu một AI agent bị xâm phạm.
Phát hiện hoạt động bất thường của AI Agent
Công cụ phát hiện mối đe dọa của Reco áp dụng phân tích hành vi tập trung vào identity cho các AI agent giống như cách nó làm với identity con người, phân biệt tự động hóa bình thường với các sai lệch đáng ngờ trong thời gian thực.
Điều này có ý nghĩa gì đối với đội ngũ của bạn
Kill chain truyền thống giả định rằng kẻ tấn công phải chiến đấu để giành từng chút quyền truy cập. Các AI agent hoàn toàn đảo lộn giả định đó.
Một AI agent bị xâm phạm có thể cung cấp cho kẻ tấn công quyền truy cập hợp pháp, một bản đồ hoàn hảo về môi trường, quyền hạn rộng rãi và vỏ bọc sẵn có để di chuyển dữ liệu, mà không có bất kỳ bước nào trông giống như một cuộc xâm nhập.
Các đội an ninh vẫn tập trung độc quyền vào việc phát hiện hành vi tấn công của con người sẽ bỏ lỡ điều này. Kẻ tấn công sẽ lợi dụng quy trình làm việc hiện có của các AI agent của bạn, vô hình trong tiếng ồn của các hoạt động bình thường.
Sớm hay muộn, một AI agent trong môi trường của bạn sẽ bị nhắm mục tiêu. Khả năng hiển thị là sự khác biệt giữa việc phát hiện sớm và phát hiện trong quá trình ứng phó sự cố. Reco cung cấp cho bạn khả năng hiển thị đó, trên toàn bộ hệ sinh thái SaaS của bạn, chỉ trong vài phút.
Tìm hiểu thêm tại đây: Yêu cầu bản Demo: Bắt đầu với Reco.
