Một công cụ AI đào được lỗ hổng chết người ẩn trong Linux suốt 15 năm, nhưng một AI khác lại khiến bốn xe cảnh sát vây kín một phóng viên vô tội vì một con số bị ghi nhầm.
"Anh có mang súng không? Xuống xe!"
Vào một buổi chiều Chủ nhật bình thường, phóng viên ô tô Joel Feder lái chiếc Range Rover trị giá 15,5 triệu USD đi trả hàng, vừa lùi ra khỏi chỗ đậu được khoảng 60 cm, bốn xe cảnh sát từ bốn hướng lao tới, vây kín anh và vợ.
Cảnh sát đặt tay lên cán súng, trong tư thế sẵn sàng ứng phó.

12:21 ngày 28/6/2026, camera ghi hình cảnh sát chụp lại khoảnh khắc Feder bị vây. Biển số xe của anh bị hệ thống Flock nhận diện nhầm là một biển số xe bị mất cắp. (Nguồn ảnh: Joel Feder / Instagram)
Cảnh sát nhảy khỏi xe hét vào mặt anh, tình huống kiểu này rất dễ trở nên tồi tệ hơn. Vì vậy, Feder chỉ còn cách tuân lệnh, giơ tay cao và bước xuống xe.
Anh trở thành một nghi phạm trộm xe.
Nhưng anh hoàn toàn không trộm xe. Thứ khiến anh bị coi là kẻ trộm, là một lỗi ghi nhập đơn giản từ cách đó 2000 dặm, cộng thêm một mạng lưới camera AI hoạt động không ngừng nghỉ.
Gần như cùng thời điểm đó, một AI khác đã giúp con người đào ra một lỗ hổng chết người ẩn trong nhân Linux suốt 15 năm, ảnh hưởng đến hầu hết mọi bản phân phối.
Cùng là "nhận diện mẫu, tự động phán đoán, kích hoạt hành động", một AI đang giúp con người lấp lỗ hổng, một AI khác suýt hại người, đó là câu chuyện chúng ta sẽ nói hôm nay.
AI đào lỗ hổng 15 năm, 5 giây chiếm root
Trước tiên hãy nói về việc AI giúp con người lấp lỗ hổng.
Gần đây, công ty an ninh Nebula Security tiết lộ, họ đã sử dụng công cụ khai thác lỗ hổng dựa trên AI mang tên VEGA để tìm ra một lỗ hổng nhân Linux có tên mã GhostLock (CVE-2026-43499).

Ngày 7/7/2026, Nebula Security công bố báo cáo kỹ thuật về GhostLock (CVE-2026-43499), cho biết do công cụ AI VEGA phát hiện, tồn tại trên hầu hết các bản phân phối Linux từ năm 2011. (Nguồn ảnh: Nebula Security)
Lỗ hổng này đã ẩn náu suốt 15 năm.
Nó được đưa vào từ năm 2011, từ đó đến nay, hầu hết mọi bản phân phối Linux chính thống đều mặc định mang theo nó, nhưng chưa ai phát hiện ra.
Điều này có nghĩa: vô số máy chủ, máy chủ đám mây, container đang chạy trên toàn thế giới, dưới đáy đều chôn giấu quả bom này.
Nó dễ kích nổ đến mức nào? Kẻ tấn công không cần bất kỳ quyền đặc biệt nào, cũng không cần cấu hình hiếm gặp, chỉ cần dùng lệnh gọi luồng thông thường, là có thể leo từng bước lên quyền cao nhất, thậm chí thoát khỏi container.
Nebula đã biến nó thành một chuỗi leo thang đặc quyền ổn định 97%, trên máy thử nghiệm, từ một người dùng thông thường lên root, chỉ mất khoảng 5 giây. Với thành quả này, KernelCTF của Google đã thưởng cho họ 92.337 USD.
"GhostLock (CVE-2026-43499) demo leo thang đặc quyền: một người dùng thông thường chạy chương trình khai thác, vài giây sau terminal hiển thị uid=0 (root), trực tiếp có được quyền cao nhất. (Nguồn video: Nebula Security)"
Lỗ hổng này ẩn trong cơ chế quản lý khóa của nhân Linux, nói đơn giản, là nhân "nhận nhầm người".
Hãy ví dụ trước. Trong nhân có một hàm dọn dẹp tên remove_waiter(), chuyên đảm nhận một việc: một luồng xếp hàng chờ khóa, khi chờ được hoặc không chờ nữa, thì xóa sạch bản ghi xếp hàng mà nó để lại.
Ban đầu nó chỉ xem xét trường hợp đơn giản nhất - ai xếp hàng thì người đó tự đến hủy số. Vì vậy nó mặc định "luồng đang đứng trước cửa sổ này, chính là luồng cần hủy số", mỗi lần đều dựa vào "luồng hiện tại" để dọn.
Ở thời kỳ tự xếp hàng, tự hủy số, giả định này chưa bao giờ sai.
Nhưng sau này nhân xuất hiện một cách chơi mới: một luồng có thể thay một luồng khác "đang ngủ" đi xếp hàng - ngủ ở đây có nghĩa là nó bị treo khi chờ khóa, nhường CPU, dừng tại chỗ chờ người khác đánh thức.
Rắc rối nằm ở đây: luồng thực sự xếp hàng đang ngủ, người đứng trước cửa sổ hủy số, thực ra là "người làm thay".
Hàm dọn dẹp vẫn giữ lối suy nghĩ cũ, xóa bản ghi của "người làm thay", nhưng không động đến luồng thực sự đang xếp hàng, thực sự đang ngủ kia.
Vấn đề là, luồng đang ngủ kia, trong tay vẫn nắm một tờ giấy ghi "thông tin xếp hàng của tôi ở đây", tờ giấy này trỏ đến một vùng nhớ tạm nhỏ của chính nó (tức là "stack", loại mà luồng dùng xong sẽ trả về).
Khi nó tỉnh dậy, trở về từ lệnh gọi hệ thống, vùng nhớ này lập tức được trả về, bị dữ liệu khác chiếm dụng. Nhưng tờ giấy vẫn còn, vẫn trỏ đến vùng nhớ đã đổi chủ này.
Đây chính là con trỏ treo (dangling pointer): một con trỏ vẫn được tin tưởng, nhưng đã trỏ đến vùng nhớ "đã bỏ hoang và bị người khác chiếm dụng". Lỗ hổng use-after-free, gốc rễ đều ở đây.

Sơ đồ chuỗi khai thác GhostLock: ba luồng (waiter, owner, consumer) tạo vòng lặp deadlock, kích hoạt -EDEADLK rollback, để lại con trỏ treo; sau đó kẻ tấn công giả mạo cấu trúc nhân, thực hiện ghi có kiểm soát, cuối cùng chiếm quyền điều khiển luồng để lấy root. (Nguồn ảnh: Nebula Security)
Trớ trêu hơn, cơ chế kiểm tra an ninh lockdep của chính nhân hoàn toàn không phát hiện ra nó.
Lý do rất đơn giản: lockdep chỉ kiểm tra "có ai đang giữ khóa này không", mà không kiểm tra "khóa này có thuộc về luồng mà anh nên dọn dẹp không".
Khóa đúng, người sai, kiểm tra cũng qua.
Chính một lỗi dùng nhầm từ hơn chục năm trước như vậy, bị phóng đại từng bước, cuối cùng biến thành sự kiểm soát hoàn toàn đối với toàn bộ máy.
Sau khi kẻ tấn công lấy được con trỏ treo đó, có thể phun dữ liệu giả mạo vào vùng nhớ đã giải phóng mà nó trỏ tới, lừa nhân đọc nó như một cấu trúc hợp lệ, nhờ đó thực hiện ghi có kiểm soát, từ đó chiếm bảng hàm nhân, cuối cùng lấy được root.
Mặc dù lần này là công cụ hỗ trợ AI giúp nhà nghiên cứu con người tìm ra góc chết ngủ quên 15 năm này, nhưng nó tiết lộ một thực tế đáng kinh ngạc:
Những vấn đề trước đây phải dựa vào chuyên gia đỉnh cao đọc từng dòng code, dựa vào trực giác mới có thể gặp phải, giờ đây công cụ tự động hóa bắt đầu lật ra với quy mô lớn.
Ngay trong năm 2026, một loạt lỗ hổng leo thang đặc quyền Linux lần lượt được phơi bày, trong đó không ít là do công cụ tự động hóa tìm ra.
Chúng hầu như đều ẩn trong những góc nhân cổ xưa nhất, được dùng nhiều nhất, nhưng nhiều năm không ai đọc lại, vẫn an nhiên vô sự.
AI biến một lỗi đánh máy thành cuộc truy lùng toàn quốc
Trở lại với cuộc kinh hãi của Feder tại bãi đậu xe lúc đầu.
Sau sự việc, anh mới ghép được nguyên nhân hậu quả. Biển số xe thực sự bị báo mất là 34 03 DTM, nhưng khi nó được nhập vào cơ sở dữ liệu trộm cắp toàn quốc (NCIC), hai số nhỏ "03" ở giữa bị bỏ sót, chỉ ghi thành 34 DTM.
Chỉ vì thiếu hai con số, mọi thứ bắt đầu đi chệch hướng.
Còn biển số xe thử nghiệm của Feder là 34 10 DTM. Do định dạng biển số nhà sản xuất đặc biệt của New Jersey, cỡ chữ số ở giữa cực nhỏ, camera AI của Flock hoàn toàn không đọc được số nhỏ đó, chỉ nhận ra "34 DTM", và bắt đầu báo động cho tất cả các đồn cảnh sát dọc đường.

Hình ảnh chụp từ camera Flock mà cảnh sát trình ra, biển số đọc là 34 10 DTM, số "10" ở giữa cỡ chữ cực nhỏ. Hệ thống chỉ nhận ra "34 DTM" là kích hoạt báo động. (Nguồn ảnh: Joel Feder / The Drive)
Camera của Flock mỗi tháng quét qua khoảng 20 tỷ lần biển số xe.
Một lỗi đánh máy xảy ra ở Los Angeles, như vậy được một mạng lưới nhận diện tự động phủ khắp toàn quốc khuếch đại tiếp sức, từ California truyền đến Minnesota, cuối cùng biến thành bốn xe cảnh sát, một máy bay không người lái, và một giờ đối đầu căng thẳng. Cảnh sát suốt quá trình tay đặt lên bao súng, nhưng luôn không rút súng.
Khốc liệt hơn, cảnh sát nói với Feder, tuần đó ở Minnesota còn có bốn xe khác treo biển số nhà sản xuất cùng định dạng cũng đang bị theo dõi, anh chỉ là người đầu tiên bị cảnh sát chặn lại.
Khi rời đi, cảnh sát ném lại một câu: "Anh may mắn đấy, đây là ở Plymouth. Nếu ở Minneapolis, họ chắc chắn là rút súng xông lên."
"Con người mắc sai lầm, điều đó rất bình thường," Feder sau này nói, "nhưng nó bị một hệ thống giám sát toàn quốc khuếch đại lên."
Anh còn viết, camera trên đèn giao thông đang theo dõi xe của chúng ta, thiết bị của chúng ta, thú cưng của chúng ta, thậm chí cả bản thân chúng ta, và đây mới chỉ là bắt đầu, bước tiếp theo chúng có thể được lắp lên xe buýt đưa đón trẻ em.
Anh có trộm xe hay không hoàn toàn không quan trọng, một khi những hệ thống này để mắt đến anh, sự việc chỉ đi theo một hướng.
Lời nói của Feder, gần như là một chú thích cho cả thời đại an ninh AI.
Nó có thể tìm lỗi nhanh hơn người, cũng có thể gây họa nhanh hơn người
Đặt hai sự việc cạnh nhau, sự tương phản mạnh mẽ, khiến người ta không khỏi suy ngẫm.
Một mặt, AI phát hiện lỗ hổng con người 15 năm không phát hiện, khiến thế giới an toàn hơn; mặt khác, AI khuếch đại một lỗi nhập liệu, đẩy một người vô tội đối mặt với bốn xe cảnh sát.
Nhưng logic đằng sau chúng là giống nhau, khác biệt chỉ nằm ở đầu vào là gì.
Trong câu chuyện GhostLock, AI đọc là mã nhân thực, nó đào ra vấn đề thực; còn trong câu chuyện Flock này, đầu vào AI nhận được vốn dĩ đã sai, nó đã trung thành thực thi sai lầm đó, và nhanh hơn, rộng hơn bất kỳ cảnh sát con người nào.
Vì vậy trách nhiệm của sự việc Flock, không thể đơn giản quy cho "AI phạm sai lầm".
Đầu vào sai là do người nhập vào, khâu kiểm tra lại thủ công cần có là do người bỏ qua, AI chỉ là đem hai đầu sơ suất này, dùng tốc độ và quy mô của máy móc, thực thi lên gấp bội.
Nó giống như một dấu nhân. Bản thân dấu nhân không sai, nhưng con số phía trước nó một khi là số âm, kết quả sẽ xấu đi gấp bội.
Điều thực sự khiến người ta bất an, là trải nghiệm của Feder, đang âm thầm diễn ra ở ngày càng nhiều lĩnh vực.
Lỗ hổng lớn nhất thời đại AI, có lẽ không nằm trong code
Ngày nay, AI đang len lỏi vào chuỗi quyết định rủi ro cao như an ninh, thực thi pháp luật, tài chính.
Nó thực sự có thể phát hiện lỗ hổng con người bỏ sót, đó là bản lĩnh thực sự; nhưng nó cũng sẽ mở rộng quy mô sai lầm của con người, đó là rủi ro thực sự.
Hai việc này, là hai mặt của một đồng xu.

Một camera nhận diện biển số Flock được lắp trên cột phía trên đèn giao thông ở ngã tư, khối màu đen phía sau là tấm pin mặt trời của nó. Thiết bị loại này đã được triển khai tại hàng nghìn cộng đồng trên khắp nước Mỹ. (Nguồn ảnh: Frank W. Lewis/Signal Cleveland)
Câu chuyện GhostLock, nói với chúng ta AI đã có tiềm năng vượt qua việc con người kiểm tra từng dòng, việc săn lỗ hổng trong tương lai, có lẽ không còn dựa vào con người đọc từng dòng code nữa.
Còn Flock thì ngược lại: nó nhắc nhở chúng ta, khâu kiểm tra lại thủ công trong hệ thống then chốt, một khâu cũng không được bỏ.
Điều thực sự nên hỏi, không phải là AI có phạm sai lầm không - tất nhiên là có - mà là khi nó phạm sai lầm, còn có một người có thể kịp thời hô dừng lại không.
Lỗ hổng lớn nhất thời đại AI, có lẽ đã không còn nằm trong code, mà nằm ở khoảnh khắc chúng ta trao đi quyền phán đoán cuối cùng.
Tài liệu tham khảo:
https://nebusec.ai/research/ionstack-part-2/
https://www.thedrive.com/news/how-flock-cameras-wrongly-tracked-me-for-days-over-stolen-plates-and-sent-police-after-me
https://www.untempled.com/guilhermen/art/ai-found-a-secret-computer-bug-hidden-for-15-years-plus-why-cops-chased-a-reporter-over-a-typo-cmrgwcw7o0001ky04qu4ubln8
Bài viết từ tài khoản công chúng WeChat "Tân Trí Nguyên", tác giả: ASI Khải Thị Lục






