Sự phát triển nhanh chóng của các công cụ trí tuệ nhân tạo như Claude, ChatGPT hay Copilot đang biến chúng thành những “trợ lý kỹ thuật số” quen thuộc trên máy tính cá nhân và trong môi trường doanh nghiệp. Tuy nhiên, một sự cố bảo mật nghiêm trọng vừa được phát hiện tại Anthropic – công ty phát triển Claude – đã cho thấy ngay cả các phần mềm AI chính chủ cũng có thể trở thành điểm yếu nguy hiểm nếu tồn tại sai sót trong thiết kế bảo mật.

Theo thông tin công bố, ba tiện ích mở rộng chính thức của Claude Desktop gồm Chrome, iMessage và Apple Notes, với tổng cộng hơn 350.000 lượt tải, đã bị phát hiện chứa lỗ hổng thực thi mã từ xa (RCE) ở mức nghiêm trọng cao. Lỗ hổng này cho phép kẻ tấn công chiếm quyền điều khiển máy tính của người dùng chỉ thông qua một tương tác trò chuyện tưởng chừng vô hại, mà không cần người dùng tải hay chạy mã độc theo cách truyền thống.

Nguyên nhân của sự cố bắt nguồn từ một lỗi chèn lệnh – dạng lỗi đã được biết đến từ lâu trong lập trình. Trong trường hợp này, các tiện ích Claude Desktop xử lý đầu vào người dùng thông qua AppleScript nhưng không thực hiện việc lọc hoặc “escape” các ký tự đặc biệt. Do các tiện ích này chạy với quyền hệ thống đầy đủ, kẻ tấn công có thể lợi dụng việc “thoát chuỗi” để chèn và thực thi lệnh trái phép trực tiếp trên máy của nạn nhân.

Kịch bản tấn công đặc biệt nguy hiểm ở chỗ nó không đòi hỏi hành vi bất thường từ người dùng. Chỉ cần Claude truy cập vào một trang web chứa payload độc hại trong quá trình trả lời câu hỏi thông thường, mã độc có thể được thực thi ngay lập tức. Hậu quả tiềm ẩn bao gồm việc đánh cắp khóa SSH, mật khẩu trình duyệt, thông tin đám mây như AWS, hoặc mở đường cho các cuộc tấn công sâu hơn vào hệ thống.

Anthropic đã đánh giá lỗ hổng này ở mức CVSS 8.9 và nhanh chóng phát hành bản vá khẩn cấp. Tuy nhiên, mối lo ngại không chỉ dừng lại ở ba tiện ích chính thức. Hệ sinh thái Model Context Protocol (MCP) đang mở rộng nhanh, với nhiều tiện ích được tạo ra nhờ AI hỗ trợ lập trình nhưng chưa trải qua quy trình kiểm tra bảo mật nghiêm ngặt. Do nhiều tiện ích MCP cũng có quyền truy cập hệ thống tương tự, chúng trở thành mục tiêu hấp dẫn cho tin tặc.

Các chuyên gia khuyến cáo người dùng cần cập nhật ngay các bản vá mới nhất, hạn chế cài đặt tiện ích AI từ nguồn không rõ ràng, và triển khai các giải pháp giám sát hành vi như EDR để phát hiện sớm các hoạt động bất thường. Sự cố này là lời cảnh báo rõ ràng rằng trong kỷ nguyên AI desktop, một lỗi nhỏ cũng có thể dẫn đến hậu quả nghiêm trọng nếu không được kiểm soát chặt chẽ.