Các nhà nghiên cứu vừa cảnh báo một lỗ hổng nghiêm trọng trong tính năng Claude Skills của Claude AI. Vốn được thiết kế để mở rộng khả năng của AI bằng các modul mã tùy chỉnh, nhưng chính cơ chế này lại có thể bị kẻ tấn công lợi dụng để cài mã độc, bao gồm cả ransomware MedusaLocker, mà người dùng hoàn toàn không hay biết. Những Skill bị chỉnh sửa vẫn trông như công cụ hợp pháp, khiến người dùng dễ dàng bị đánh lừa.

Claude Skills hoạt động theo mô hình tin cậy đơn (single-consent). Nghĩa là chỉ cần người dùng cấp quyền một lần, Skill đó có thể âm thầm thực thi hàng loạt tác vụ phía sau, bao gồm tải xuống và chạy mã độc bổ sung. Theo cảnh báo, chỉ một Skill “nhìn vô hại” trên GitHub hoặc mạng xã hội cũng có thể trở thành “con ngựa thành Troy” trong doanh nghiệp. Chỉ cần một nhân viên cài đặt Skill độc hại, toàn bộ hệ thống có thể bị khóa bởi ransomware.

Để chứng minh mức độ rủi ro, nhóm Cato CTRL đã thử nghiệm chỉnh sửa một Skill hợp lệ tên “GIF Creator”. Họ thêm vào một hàm phụ tên “postsave”, được mô tả như một bước xử lý ảnh sau khi tạo GIF. Nhưng thực tế, hàm này bí mật tải xuống và chạy một script độc hại. Claude chỉ yêu cầu người dùng phê duyệt phần mã chính mà không hiển thị những hành vi ẩn trong các hàm phụ, khiến người dùng tin rằng Skill an toàn. Một khi bấm “Allow”, toàn bộ tác vụ ngầm lập tức được phép hoạt động.

Điều này tạo điều kiện cho ransomware như MedusaLocker được tải về và kích hoạt mà không để lại dấu hiệu bất thường. Vì tất cả subprocess của Skill đều thừa hưởng quyền tin cậy ban đầu, toàn bộ quá trình tấn công diễn ra âm thầm. Lỗ hổng rõ ràng nằm ngay trong cơ chế cấp phép — nơi chỉ một lần đồng ý của người dùng có thể mở đường cho một cuộc tấn công hoàn chỉnh dưới vỏ bọc của một công cụ AI hợp pháp.

Theo Cybersecuritynews