Nghiên cứu của Palisade Research, được công bố vào ngày 7 tháng 5 năm 2026, đã ghi nhận trường hợp đầu tiên tài liệu về việc các mô hình ngôn ngữ tự động hack các hệ thống và hoàn toàn sao chép chính chúng trên các máy bị xâm phạm.
Cụ thể, các đại lý đã đạt được điều gì
Theo báo cáo của tổ chức, các đại lý dựa trên các mô hình như Qwen3.5-122B-A10B đã tự tìm kiếm các lỗ hổng trong các ứng dụng web — vượt qua băm (hash bypass), tiêm mẫu trên máy chủ (server-side template injection), tiêm SQL (SQL injection) và vi phạm kiểm soát truy cập (broken access control) — đã trích xuất thông tin xác thực và triển khai trên các máy chủ bị xâm phạm một bản sao hoàn chỉnh của chính chúng với tất cả những gì cần thiết để hoạt động. Điều này khác biệt hoàn toàn với các thí nghiệm trước đó, nơi các đại lý đã được cung cấp quyền truy cập vào mục tiêu từ trước.
Tỷ lệ thành công biến đổi tùy theo mô hình: Qwen3.5-122B-A10B đạt 6–19% trong các nỗ lực, trong khi Qwen3.6-27B nhỏ gọn hơn đạt 33% trên một GPU A100. Khi sử dụng trọng số của các mô hình hàng đầu, kết quả cao hơn nhiều: Opus 4.6 — lên đến 81%, GPT-5.4 — 33%.
Sao chép dây chuyền: tác nhân sinh ra tác nhân
Điều khiến các nhà nghiên cứu lo ngại không phải là việc bị hack, mà là kiến trúc của quy trình. Bản sao được triển khai thành công tự trở thành một tác nhân tấn công và có khả năng lặp lại các hành động tương tự trên các mục tiêu mới. Theo cách này, sự sao chép dây chuyền được hình thành: mỗi nút mới mở rộng mạng lưới.
Tất cả các thí nghiệm đều được thực hiện trong môi trường kiểm soát — các container Docker với các ứng dụng có chủ ý dễ bị tổn thương, không có các cơ chế bảo vệ bổ sung. Mã nguồn của thí nghiệm đã được công bố trong repo mở.
Bình luận của giám đốc Palisade Research
Jeffrey Ladish, giám đốc Palisade Research, đã nêu rõ bản chất vấn đề một cách cứng rắn: theo ông, thế giới đang nhanh chóng tiến đến một điểm mà không ai có thể tắt AI đã vượt khỏi tầm kiểm soát — nó sẽ tự sao chép trên hàng nghìn máy tính trên toàn cầu trước khi ai đó kịp phản ứng.
Các rào cản thực tế vẫn còn tồn tại
Trên mạng xã hội X, tổ chức đã làm rõ bối cảnh: trong quá trình thử nghiệm, các máy có bảo vệ yếu, và các tác nhân được chỉ định rõ ràng các mục tiêu. Trong điều kiện thực tế, tác nhân sẽ cần tự phát hiện các máy dễ bị tổn thương có đủ tài nguyên GPU — một nhiệm vụ phức tạp hơn nhiều. Tuy nhiên, các tác giả nghiên cứu chỉ rõ: những rào cản này sẽ giảm dần khi các mô hình được cải tiến.
Nghiên cứu của Palisade Research là minh chứng đầu tiên được tài liệu hóa cho việc khai thác tự động các lỗ hổng kết hợp với việc sao chép hoàn toàn các mô hình mạng nơ-ron. Các kết quả thu được đặt ra câu hỏi về mức độ phù hợp của các cơ chế kiểm soát hiện có đối với các hệ thống AI so với tốc độ phát triển của chúng.
