Thành tích này không chỉ cho thấy năng lực phân tích chuyên sâu của đội ngũ, mà còn khẳng định hiệu quả rõ rệt của việc ứng dụng trí tuệ nhân tạo (AI) trong quy trình tìm kiếm lỗ hổng ở quy mô lớn. Đây được xem là hướng đi chiến lược, góp phần nâng cao năng lực công nghệ và đảm bảo an toàn thông tin cho hệ sinh thái nhà Phần mềm FPT.
Chương trình CVE Discovery được SAS (Cyber Security Assurance Service – Đơn vị Cung cấp Dịch vụ An toàn thông tin mạng, nhà Phần mềm FPT) xây dựng nhằm chủ động rà soát và nhận diện các điểm yếu bảo mật trong các sản phẩm đang được sử dụng rộng rãi, thông qua việc kết hợp năng lực phân tích với các công cụ AI, từ đó góp phần củng cố độ tin cậy và khả năng phòng vệ của hệ sinh thái công nghệ.
 |
| SAS (Cyber Security Assurance Service - Đơn vị Cung cấp Dịch vụ An toàn thông tin mạng, nhà Phần mềm FPT) ứng dụng AI vào phát hiện lỗ hổng bảo mật. |
Trong đó, SAS tập trung triển khai tìm kiếm lỗ hổng trên hai nhóm nền tảng chính: Close Source (mã nguồn đóng) và Open Source (mã nguồn mở), mỗi nhóm yêu cầu phương pháp tiếp cận và kỹ thuật khác nhau.
Các hệ thống Close Source có thể được ví như một “ngôi nhà kín cổng cao tường”, nơi cấu trúc bên trong bị hạn chế truy cập. Đây là mô hình phổ biến của các phần mềm thương mại và hệ thống độc quyền. Để đảm bảo an toàn, nhiều nhà cung cấp triển khai Bug Bounty Program hoặc Vulnerability Disclosure Program, cho phép các chuyên gia bảo mật tham gia tìm kiếm và báo cáo lỗ hổng theo quy trình kiểm soát chặt chẽ, thường đi kèm với các quy định và cổng thông tin riêng biệt.
Sau hơn một tháng triển khai, nhóm đã ghi nhận 37 lỗ hổng, trong đó: 6 lỗi đã được xác nhận và khắc phục, 18 lỗi đang trong quá trình xử lý, 13 lỗi trùng lặp hoặc không còn tồn tại. “Thách thức lớn nhất với nhóm là quy mô codebase (toàn bộ mã nguồn của một chương trình phần mềm) khổng lồ cùng các lớp bảo vệ phức tạp như obfuscation (kỹ thuật làm rối mã nguồn). Trong nhiều trường hợp, quá trình đảo ngược (decompile) chỉ có thể khôi phục khoảng 80% mã nguồn gốc, gây khó khăn trong việc phân tích", anh Hoàng Ngọc Thuần, đại diện nhóm chia sẻ. Tuy nhiên, việc tích hợp AI đã giúp rút ngắn đáng kể thời gian xử lý, đặc biệt trong việc nhận diện nhanh các điểm source-sink (nguồn - điểm đích) và phân tích khối lượng lớn mã nguồn.
 |
| Anh Hoàng Ngọc Thuần (ngoài cùng bên trái) và các thành viên Chương trình CVE Discovery của đơn vị SAS, nhà Phần mềm FPT. |
Khác với mã nguồn đóng, các nền tảng Open Source cho phép truy cập và kiểm tra trực tiếp codebase. Điều này tạo điều kiện thuận lợi cho việc rà soát bảo mật, nhưng đồng thời cũng làm tăng rủi ro nếu lỗ hổng không được phát hiện và xử lý kịp thời. SAS triển khai phân tích trên các nền tảng như GitHub, WordPress và các thành phần mã nguồn mở phổ biến, kết hợp tự động hóa với AI để mở rộng quy mô kiểm thử và tăng hiệu quả xác minh.
Điểm nổi bật trong cách tiếp cận này là khả năng của AI trong việc rút ngắn thời gian rà soát từ vài tuần xuống còn vài ngày, đồng thời nâng cao độ chính xác khi phát hiện các lỗ hổng logic phức tạp, điều mà các phương pháp truyền thống khó có thể đạt được với cùng tốc độ.
Đặc biệt, chương trình không dừng lại ở việc phát hiện và báo cáo lỗ hổng. Với các phát hiện có giá trị, đội ngũ SAS còn tham gia trực tiếp vào quá trình phân tích nguyên nhân, đề xuất hướng khắc phục và xây dựng bản vá bảo mật nhằm hỗ trợ nhà cung cấp xử lý triệt để vấn đề.
Nhờ sự hỗ trợ của AI trong việc phân tích ảnh hưởng, xác định lỗi cần chỉnh sửa, đội ngũ đã đóng góp trên 20 bản vá bảo mật được nhà cung cấp chấp nhận và tích hợp vào sản phẩm. Điều này cho thấy SAS không chỉ dừng ở việc phát hiện rủi ro mà còn trực tiếp góp phần nâng cao chất lượng và mức độ an toàn của các sản phẩm đang được sử dụng trên thị trường.
Kết quả từ chương trình CVE Discovery cho thấy AI không chỉ là công cụ hỗ trợ mà đang trở thành đòn bẩy chiến lược trong lĩnh vực an toàn thông tin. Việc ứng dụng AI giúp tăng tốc độ phát hiện lỗ hổng, mở rộng phạm vi kiểm tra, giảm tải khối lượng công việc thủ công và nâng cao chất lượng phân tích.
Với hơn 70 lỗ hổng được phát hiện chỉ trong thời gian ngắn, SAS đã chứng minh tiềm năng lớn của việc kết hợp giữa trí tuệ con người và trí tuệ nhân tạo. Đây là nền tảng quan trọng để tiếp tục mở rộng năng lực bảo mật, hướng tới mục tiêu xây dựng hệ sinh thái công nghệ an toàn, bền vững và có khả năng phòng vệ chủ động trước các mối đe doạ ngày càng tinh vi.
Vĩnh Trinh
Ý kiến
()