Vào đầu tháng 5 vừa qua, một vụ tấn công hiếm gặp nhằm vào hệ thống AI của xAI đã khiến giới công nghệ và tiền số chú ý khi kẻ tấn công chỉ dùng mã Morse cùng một NFT miễn phí để đánh cắp khoảng 174.000 USD, tương đương hơn 4 tỷ đồng.

Điều khiến vụ việc gây tranh cãi nằm ở chỗ mục tiêu bị đánh lừa không phải con người, mà là Grok, chatbot AI do công ty của tỷ phú Elon Musk phát triển và được ca ngợi như một trong các chatbot AI thông minh nhất thế giới.

Câu chuyện bắt đầu từ việc Grok có một ví điện tử công khai trên mạng blockchain Base. Bất kỳ ai cũng có thể theo dõi các giao dịch của ví này thông qua công cụ Basescan. Ban đầu ví này chỉ có quyền hạn giới hạn và chưa thể tự do thực hiện giao dịch chuyển token.

Vào đầu tháng 5 năm 2025, kẻ tấn công bắt đầu hành động. Một tài khoản liên kết với địa chỉ ilhamrafli.base.eth gửi tặng Grok một NFT mang tên Bankr Club Membership.

Món quà tưởng như vô hại này thực chất mở khóa toàn bộ công cụ giao dịch của Bankrbot bên trong hệ thống tác nhân AI của Grok, bao gồm khả năng ký và thực hiện giao dịch tự động.

Tiếp đó, kẻ tấn công gửi cho Grok một thông điệp chứa mã Morse trên X. Nội dung chính xác của tin nhắn đã bị xóa ngay sau vụ việc, nhưng nhiều bài phân tích cho rằng hacker sử dụng kỹ thuật che giấu lệnh bằng mã Morse để vượt qua các lớp kiểm duyệt nội dung.

Mã Morse là hệ thống liên lạc xuất hiện từ thế kỷ 19, sử dụng dấu chấm và dấu gạch để mã hóa chữ cái. Công nghệ này từng được dùng phổ biến trong điện báo đường dài trước khi Internet xuất hiện.

Trong vụ việc lần này, Grok thực hiện đúng chức năng vốn có của mình: giải mã đoạn Morse thành tiếng Anh. Tuy nhiên hệ thống Bankrbot phía sau lại xem nội dung đã giải mã như một lệnh giao dịch hợp lệ.

Sau khi xử lý yêu cầu, Bankrbot ký giao dịch và chuyển 3 tỷ token DRB tới ví của kẻ tấn công trên mạng Base. Giá trị số token này vào thời điểm đó vào khoảng 174.000-200.000 USD tùy theo biến động thị trường.

Chỉ vài phút sau vụ chuyển tiền, tài khoản X của kẻ tấn công biến mất. Trong khi đó, lượng token vừa nhận được nhanh chóng bị chuyển sang ví khác rồi bán ra thị trường.

Theo các bài phân tích kỹ thuật xuất hiện sau sự cố, điểm nguy hiểm nhất không nằm ở mã Morse, mà nằm ở chuỗi phân quyền giữa các hệ thống AI.

Grok chỉ thực hiện tác vụ dịch thuật thông thường. Tuy nhiên hệ thống Bankrbot lại trao quá nhiều quyền cho đầu ra của AI mà không kiểm tra xem giao dịch tài chính đó có hợp lý hay không.

Sau vụ việc, đội ngũ Bankr tiết lộ một chi tiết đáng chú ý. Ở phiên bản cũ, hệ thống từng có lớp chặn cứng nhằm ngăn bot thực hiện lệnh xuất phát từ phản hồi của Grok. Tuy nhiên lớp bảo vệ này không được đưa sang phiên bản agent mới sau quá trình viết lại hệ thống. Khoảng trống không nằm ở mô hình mà nằm ở quy trình triển khai.

Các chuyên gia gọi đây là “permission boundary problem”, tức vấn đề phân tách quyền hạn giữa AI và hệ thống tài chính phía sau. Trong mô hình này, AI thực hiện các hành động tưởng như vô hại như dịch văn bản hoặc phản hồi người dùng, nhưng hệ thống xung quanh lại biến đầu ra đó thành lệnh tài chính có hiệu lực thật.

Theo bài viết, có ít nhất bốn lớp kiểm soát có thể ngăn vụ việc xảy ra, bao gồm kiểm tra lại quyền ví mới, phân loại nội dung sau khi giải mã, lọc các chuỗi có dấu hiệu lệnh giao dịch và giới hạn danh sách địa chỉ nhận tiền. Tuy nhiên các lớp bảo vệ này đều nằm ở tầng chính sách triển khai chứ không nằm trong bản thân mô hình AI.

Sau khi vụ việc gây chú ý, đội ngũ Bankr cho biết khoảng 80% số tiền đã được hoàn trả thông qua thương lượng sau giao dịch. Phần còn lại đang được thảo luận như một khoản “bug bounty” không chính thức với cộng đồng DRB.

Dù vậy, vụ việc vẫn làm dấy lên nhiều câu hỏi lớn hơn về xu hướng kết hợp AI với ví tiền số, API giao dịch và hệ thống tài chính tự động.

Trong những năm gần đây, ngày càng nhiều công ty thử nghiệm “AI agent”, tức các hệ thống AI có thể tự hành động thay con người như giao dịch tiền số, đặt lệnh hoặc quản lý tài sản. Tuy nhiên vụ Grok cho thấy chỉ một lỗ hổng nhỏ trong cơ chế cấp quyền cũng có thể biến một chatbot thành công cụ chuyển tiền tự động cho hacker.