Một AI mới đang làm giới công nghệ phát cuồng, nhưng các chuyên gia lại cảnh báo: Đầy hữu ích nhưng cũng rất nguy hiểm

Trong những tuần gần đây, cộng đồng công nghệ liên tục chia sẻ về một cái tên mới: Moltbot. Đây không phải là chatbot chỉ để trò chuyện hay trả lời câu hỏi, mà là một Tác nhân AI (AI agent) được mô tả là “thực sự làm việc”. Moltbot có thể thay người dùng thực hiện hàng loạt tác vụ hằng ngày, từ quản lý lịch, ghi chú, gửi email cho đến thao tác trực tiếp trên máy tính. Chính khả năng hành động này khiến Moltbot nhanh chóng trở thành tâm điểm chú ý, đồng thời cũng làm dấy lên không ít lo ngại.

Moltbot là một dự án mã nguồn mở, chạy trực tiếp trên máy cá nhân thay vì hoàn toàn phụ thuộc vào đám mây. Người dùng có thể trò chuyện và ra lệnh cho Moltbot thông qua các ứng dụng nhắn tin quen thuộc như WhatsApp, Telegram, Signal, Discord hay iMessage. Thay vì tự sở hữu mô hình trí tuệ nhân tạo, Moltbot đóng vai trò như một “bộ não điều phối”, chuyển yêu cầu đến các nhà cung cấp AI lớn như OpenAI, Anthropic hoặc Google, rồi dùng kết quả đó để thực hiện hành động cụ thể.

Sự hào hứng của giới công nghệ đến từ những ví dụ sử dụng rất thực tế. Bạn có thể cài Moltbot trên máy tính cá nhân và nó sẽ trở thành trợ lý ảo và làm các tác vụ trên máy tính thay cho bạn, dựa trên dữ liệu từ lịch làm việc, ứng dụng ghi chú và danh sách việc cần làm. Người khác lại để Moltbot tự động quản lý các tác vụ hành chính, gửi email, điền biểu mẫu trên trình duyệt hoặc giao tiếp với khách hàng. Với nhiều người, đây là hình ảnh rất gần của một “trợ lý số” đúng nghĩa, không chỉ trả lời mà còn thay họ xử lý công việc.

Tuy nhiên, sức mạnh đó đi kèm với một cái giá đắt. Để hoạt động hiệu quả, Moltbot yêu cầu quyền truy cập cấp quản trị vào toàn bộ hệ thống máy tính của bạn, cho phép nó đọc và ghi file, chạy các lệnh shell và thực thi các script. Khi kết hợp quyền truy cập cấp quản trị này với thông tin đăng nhập các ứng dụng của bạn, rủi ro bảo mật trở nên nghiêm trọng.

Rachel Tobac, CEO của SocialProof Security, đã đưa ra cảnh báo gay gắt: “Nếu AI agent tự động của bạn như MoltBot có quyền truy cập quản trị vào máy tính và tôi có thể tương tác với nó bằng cách nhắn tin trực tiếp cho bạn trên mạng xã hội, thì giờ đây tôi có thể cố gắng chiếm quyền điều khiển máy tính của bạn chỉ trong một tin nhắn đơn giản.” Bà giải thích rằng khi chúng ta cấp quyền truy cập quản trị cho các AI agent tự động, chúng có thể bị chiếm đoạt thông qua tấn công prompt injection – một lỗ hổng được ghi nhận rõ ràng nhưng vẫn chưa có giải pháp.

Tấn công prompt injection xảy ra khi kẻ xấu thao túng AI bằng các lời nhắc độc hại, có thể đưa trực tiếp cho chatbot hoặc nhúng vào file, email hay trang web được cung cấp cho mô hình ngôn ngữ lớn. Đây không chỉ là lo ngại lý thuyết – nó đã trở thành hiện thực.

Jamieson O’Reilly, chuyên gia bảo mật và người sáng lập công ty an ninh mạng Dvuln, đã phát hiện rằng tin nhắn riêng tư, thông tin đăng nhập tài khoản và khóa API được liên kết với Moltbot đều bị để lộ trên web, tiềm tàng cho phép tin tặc đánh cắp thông tin này hoặc khai thác cho các cuộc tấn công khác. O’Reilly đã báo cáo vấn đề này cho các nhà phát triển Moltbot, và họ đã phát hành bản sửa lỗi theo báo cáo từ The Register.

Ngay cả các nhà phát triển của Moltbot cũng thừa nhận những rủi ro này. Một trong số họ đã nói trên X rằng Moltbot là “phần mềm mạnh mẽ với rất nhiều góc cạnh sắc nhọn,” cảnh báo người dùng nên “đọc kỹ tài liệu bảo mật trước khi chạy nó gần bất kỳ đâu trên internet công cộng.”

Bên cạnh rủi ro kỹ thuật, sự nổi tiếng của Moltbot còn kéo theo những hệ quả khác. Sau khi dự án đổi tên từ Clawdbot sang Moltbot vì lý do thương hiệu, các đối tượng lừa đảo đã nhanh chóng tận dụng tên cũ để phát hành token tiền số giả mạo, nhằm đánh vào sự tò mò của cộng đồng. Điều này cho thấy Moltbot không chỉ là một công cụ công nghệ, mà đã trở thành một hiện tượng đủ lớn để bị lợi dụng.