Báo cáo của Anthropic quá sơ sài nên khó có thể tin cậy

 (djnn.sh)
1 điểm bởi GN⁺ 2025-11-17 | 2 bình luận | Chia sẻ qua WhatsApp
  • Báo cáo về hoạt động gián điệp mạng dựa trên AI do Anthropic công bố tuyên bố đã phát hiện các cuộc tấn công từ một nhóm hacker được nhà nước Trung Quốc hậu thuẫn, nhưng bị chỉ ra là có vấn đề vì thiếu căn cứ kỹ thuật và thông tin có thể kiểm chứng
  • Báo cáo hoàn toàn không bao gồm các yếu tố cốt lõi thường thấy trong một báo cáo threat intelligence như IoC (chỉ dấu xâm nhập), TTP (chiến thuật, kỹ thuật và quy trình), tên miền, giá trị hash, công cụ tấn công
  • Do không đưa ra dữ liệu hay bằng chứng cụ thể về phương thức tấn công chi tiết, loại công cụ hoặc hệ thống đã được sử dụng, cũng như quy mô thiệt hại, nên đây vẫn chỉ là những tuyên bố không thể kiểm chứng
  • Đặc biệt, tuyên bố quy kết nguồn gốc tấn công (attribution) cho một nhóm liên hệ với chính phủ Trung Quốc cũng không có cơ sở, khiến đây trở thành một công bố thiếu trách nhiệm, không cân nhắc tới khả năng gây hệ quả ngoại giao
  • Nhìn chung, báo cáo này bị đánh giá là được dùng để quảng bá sản phẩm AI của chính công ty mà không có bằng chứng dựa trên sự thật, đồng thời cho thấy sự cần thiết phải tăng cường tính minh bạch và tiêu chuẩn kiểm chứng trong ngành

Tổng quan về báo cáo của Anthropic

  • Anthropic là công ty phát triển trợ lý AI Claude, gần đây đã công bố một báo cáo nói rằng họ phát hiện một “chiến dịch gián điệp mạng do AI dẫn dắt”
  • Theo báo cáo, vào khoảng tháng 9/2025, nhóm hacker được nhà nước Trung Quốc hậu thuẫn GTG-1002 đã tiến hành tấn công nhằm vào khoảng 30 tổ chức, và tuyên bố rằng một số vụ xâm nhập đã thành công
  • Cuộc tấn công được mô tả là sử dụng instance Claude Code để tự động thực hiện kiểm thử xâm nhập, đồng thời tự động hóa 80~90% công việc mang tính chiến thuật

Thiếu căn cứ kỹ thuật

  • Báo cáo hoàn toàn không bao gồm chỉ dấu xâm nhập (IoC) thường được công bố như tên miền, hash, IP, email phishing, công cụ được sử dụng
  • Cũng thiếu phân tích dựa trên khung MITRE ATT&CK, thời điểm tấn công, thông tin về tooling, và khuyến nghị ứng phó
  • Khi so sánh với các báo cáo như báo cáo APT28 của CERT Pháp, tài liệu này bị đánh giá là không đạt chuẩn định dạng của ngành

Những tuyên bố không thể kiểm chứng

  • Con số trong báo cáo cho rằng “AI đã thực hiện 80~90% công việc chiến thuật” là không thể kiểm chứng
  • Báo cáo nói Claude đã thực hiện trích xuất chứng chỉ, thu thập thông tin xác thực, truy vấn dịch vụ nội bộ, nhưng không hề đề cập cách thực thi cụ thể hay công cụ được dùng (như Mimikatz)
  • Cũng không có giải thích về những hệ thống hay môi trường nào đã bị xâm nhập, hoặc dữ liệu đã được xử lý như thế nào

Vấn đề quy kết nguồn gốc (attribution)

  • Báo cáo khẳng định cuộc tấn công đến từ một nhóm liên hệ với chính phủ Trung Quốc, nhưng không đưa ra căn cứ
  • Không rõ đó là nhóm APT nào, cũng như đã quy kết dựa trên phân tích nào
  • Tác giả chỉ trích việc quy kết cấp quốc gia không có cơ sở như vậy là rủi ro về mặt ngoại giao và là một công bố thiếu trách nhiệm

Kết luận và phê phán

  • Báo cáo dường như tập trung vào việc quảng bá giải pháp phòng thủ AI của chính công ty mà không qua kiểm chứng thực tế
  • Ở đoạn cuối, báo cáo khuyến nghị rằng “các đội ngũ bảo mật nên áp dụng AI vào phòng thủ”, qua đó bộc lộ ý đồ thúc đẩy bán sản phẩm bảo mật AI
  • Tác giả gọi đây là hành vi đáng xấu hổ và thiếu chuyên nghiệp, đồng thời kêu gọi siết chặt tiêu chuẩn kiểm chứng và trách nhiệm đạo đức trên toàn ngành
  • Những tuyên bố không có căn cứ có thể dẫn tới xói mòn độ tin cậy của nghiên cứu bảo mật, và cần phải công bố bằng chứng dựa trên sự thật

Bài viết liên quan

2 bình luận

 
GN⁺ 2025-11-17
Ý kiến Hacker News

  • Trước đây khi làm SRE/quản trị hệ thống tại một phòng nghiên cứu AI của một công ty FAANG, tôi từng được yêu cầu thử nghiệm một mô hình nền tảng đã được tinh chỉnh cho mục đích an ninh thông tin
    Tôi đã gợi nó hack máy in mô phỏng hoặc hộp Linux, nhưng thực tế không giúp được nhiều
    Tôi không nghĩ loại mô hình này sẽ hữu ích lắm cho điều phối tấn công. Đặc biệt, việc dựng cấu trúc chỉ huy-điều khiển trên một hệ thống công khai trong khi API lại gắn với tài khoản ngân hàng là một lựa chọn rủi ro

    • Tôi nghĩ với tội phạm mạng thì những ràng buộc đó không có nhiều ý nghĩa. Họ thường thanh toán bằng API key bị đánh cắp hoặc tài khoản trộm được
      AI hiện nay giỏi hơn rất nhiều so với trước đây, nên chỉ cần vượt qua bộ lọc an toàn là có thể dễ dàng xử lý cả các tác vụ liên quan đến bảo mật
    • Tôi tự hỏi cụm “do một thiếu niên gán nhãn dữ liệu vận hành” có phải đang nói về Alexandr Wang không. Wiki ghi anh ta 28 tuổi
    • Lý do tác nhân độc hại chọn Claude có lẽ không phải vì khả năng viết mã tấn công, mà vì các tổ chức phương Tây dùng Claude rất nhiều
      Mô hình Sonnet được huấn luyện theo các mẫu code của phương Tây, nên có lợi thế khi tìm lỗ hổng trong các hệ thống xử lý dữ liệu cùng phân phối
      Ngay cả trong các cuộc tấn công phishing, nó cũng dễ tái hiện giọng điệu ngôn ngữ một cách tự nhiên
    • “Meta và thiếu niên gán nhãn dữ liệu của họ” làm tôi nhớ lại suy nghĩ cũ
    • Dù API có gắn với tài khoản ngân hàng thì các dịch vụ trung gian như OpenRouter vẫn chấp nhận thanh toán bằng tiền mã hóa

  • Lịch sử chỉnh sửa của blog Anthropic khá thú vị
    Vào ngày 14 tháng 11 năm 2025, họ đã sửa từ “hàng nghìn yêu cầu mỗi giây” thành “hàng nghìn yêu cầu, xảy ra nhiều lần mỗi giây”

    • Dựa vào cách diễn đạt “nhiều yêu cầu mỗi giây” để khẳng định cuộc tấn công là do mô hình tự trị chứ không phải con người là điều kỳ lạ
      Con người cũng có thể thực hiện nhiều tác vụ mỗi giây thông qua code
    • Tôi không nghĩ một người làm kỹ thuật lại có thể nhầm lẫn các đơn vị kiểu này

  • Mọi người thường đánh giá thấp APT (mối đe dọa thường trực nâng cao)
    Ở nơi tôi từng làm cũng đã có một vụ xâm nhập Gmail, là một cuộc tấn công phức hợp kết hợp nhiều zero-day và một chiến dịch social engineering
    Cuối cùng đã lộ ra dấu vết của một tác nhân cấp quốc gia, và AI đóng vai trò tăng tốc hiệu quả của những cuộc tấn công như vậy

    • Trên thực tế, trong số các APT cũng có nhiều kẻ tấn công tay nghề thấp. Tôi từng thấy có người mở một máy chủ HTTP không mật khẩu và để lộ toàn bộ thư mục gốc
      Họ thắng bằng số lượng chứ chất lượng thì thấp. Vì thế tôi không hoàn toàn tin báo cáo của Anthropic
    • Nghe “tin tức mới nhất về phần cứng và phần mềm” xong lại có cảm giác như sắp đăng ký thêm một podcast công nghệ nữa
    • Tôi ngạc nhiên nếu đúng là trong một cuộc tấn công lại dùng tới nhiều zero-day
    • Tôi muốn xác nhận APT có phải là viết tắt của Advanced Persistent Threat không

  • Khoảng cách kiến thức giữa nhà nghiên cứu infosec và nhà nghiên cứu bảo mật ML là rất lớn
    Anthropic có nhiều người thuộc phía sau hơn, còn phía trước thì thiếu
    Bài báo Attacker Moves Second cũng bàn về khác biệt này
    Phía ML dùng ASR (Attack Success Rate) làm chỉ số, trong khi phía bảo mật xem chỉ một lần thành công cũng đã là nghiêm trọng
    ML giả định kiểm thử tĩnh, còn bảo mật giả định kẻ tấn công thích ứng

    • Nhà nghiên cứu ML không phải là chuyên gia bảo mật. Phải dùng cả hai lĩnh vực mới thấy được toàn cảnh
      ML là blue team, còn nhà nghiên cứu bảo mật là red team

  • Toàn bộ bài viết khiến tôi thấy giống một bài marketing kiểu “Claude mạnh đến mức hacker Trung Quốc cũng dùng

    • Nó khá giống tin đồn ngày xưa rằng PlayStation 2 mạnh đến mức Iraq dùng làm siêu máy tính
      Liên kết bài viết liên quan
    • Có vẻ Anthropic làm Claude tốt đến mức họ tự nhầm rằng mình là chuyên gia bảo mật
      Vì thế báo cáo dường như được viết theo cách đi ngược các chuẩn mực của ngành
    • Nhấn mạnh “mối đe dọa từ Trung Quốc” có thể giúp lấy lòng chính phủ Mỹ
      Họ có thể thực sự đã phát hiện một cuộc tấn công, nhưng khẳng định đó là tổ chức được chính phủ Trung Quốc hậu thuẫn thì giống marketing cường điệu hơn
    • Kiểu quảng bá “sản phẩm của chúng tôi rất nguy hiểm” là chiến lược hiếm thấy ngoài ngành công nghiệp quốc phòng
      Dù vậy, nếu không công khai thì họ có thể bị chỉ trích là che giấu, nên đây cũng có thể là một bài viết mang mục đích cảnh báo

  • Vấn đề là thiếu cơ sở để khẳng định cuộc tấn công do một nhóm được Trung Quốc hậu thuẫn thực hiện
    Những báo cáo kiểu này trông giống một thông điệp chính trị nhằm lôi kéo đầu tư từ chính phủ Mỹ

    • Việc một báo cáo công khai nêu cả công cụ chi tiết hay URL cụ thể là điều hiếm thấy
      Trong báo cáo dành cho chính phủ thì có thể có, nhưng ở mức blog thì có thể bị lược bỏ
      Tuy vậy, tôi không nghĩ có thể đi từ “thiếu bằng chứng” đến kết luận “thao túng chính trị” một cách hợp lý
      Chỉ riêng khả năng AI được dùng cho các cuộc tấn công như vậy cũng đã là một tín hiệu cảnh báo đủ mạnh
    • Anthropic từ lâu đã theo đường lối chống Trung Quốc
      Cũng có khả năng họ đã cố ý nhấn mạnh vào một sự cố thực sự có chứa một phần IP từ Trung Quốc
    • Bong bóng AI sớm muộn cũng sẽ vỡ, và có vẻ các công ty đang cố gói mình thành hạ tầng an ninh quốc gia để nhận hỗ trợ từ chính phủ
    • Hô hào rằng “Trung Quốc ăn cắp công nghệ” trong khi chính họ lại huấn luyện trái phép trên tác phẩm có bản quyền thì thật mỉa mai

  • Tôi tự hỏi liệu Anthropic có thực sự có chuyên gia bảo mật hay không
    Có thể chỉ là chiến lược doanh nghiệp, nhưng cũng có thể do cấu trúc nội bộ khiến năng lực bảo mật bị thiếu hụt

    • Tôi thường chỉ trích họ thiếu năng lực kỹ thuật. Một công ty như vậy gần như không thể đã xây dựng được hệ thống bảo mật tử tế
    • Trong khi thiếu nhân lực bảo mật mà lại đưa ra các tuyên bố như “chiến dịch gián điệp do chính phủ Trung Quốc hậu thuẫn” mà không có bằng chứng thì đó là hành vi vô trách nhiệm
    • Dù sao họ cũng đang có chính mô hình được huấn luyện bằng các báo cáo kiểu này, nên thật khó hiểu vì sao họ không thể tự phân tích trực tiếp
    • Thực tế cũng có video thuyết trình về việc dùng AI để giải quyết các vấn đề bảo mật
      Liên kết YouTube

  • Những ai từng dùng AI hỗ trợ lập trình như Claude sẽ không đánh giá thấp khả năng của nó
    Các tuyên bố trong báo cáo cũng nghe khá hợp lý

    • Tôi từng cấp cho Claude quyền truy cập SSH và để nó trực tiếp điều tra sự cố mạng trong máy chủ
      Quá trình nó phân tích tcpdump và bảng định tuyến khá hữu ích
      Tuy vậy, bạn phải hiểu giới hạn của nó, biết lúc nào nó hoạt động sai và có thể can thiệp trực tiếp
    • Các bài viết kiểu “tôi chưa dùng nhưng…” xuất hiện rất thường trên HN
      Mẫu người chưa hề dùng thực tế nhưng lại nói như chuyên gia khiến tôi khó tin tưởng
    • Vấn đề của báo cáo không phải là khả năng của công cụ, mà là thiếu bằng chứng
      Chỉ có khả năng thôi thì chưa thể trở thành một báo cáo đáng tin cậy
    • Anthropic chỉ nêu ra tính khả dĩ, chứ không có bằng chứng thực nghiệm, nên chất lượng thấp và động cơ cũng đáng bị nghi ngờ

  • Báo cáo của Anthropic cho tôi cảm giác như một quảng cáo kiểu “công nghệ của chúng tôi mạnh đến mức có thể bị lạm dụng”
    Nó giống cách quảng cáo vũ khí kiểu “hãy xem thứ vũ khí này nguy hiểm đến mức nào”

  • Lúc mới đọc tiêu đề, tôi còn tưởng nói về công ty giấy Anthropic làm ra loại giấy có mùi kỳ quặc
    Đọc đến cuối rồi mà tôi vẫn thấy nó giống một tràng nhảm nhí