I. Các lỗ hổng bảo mật được công bố trong tháng 08
1. Microsoft công bố các bản vá cho các lỗ hổng bao gồm 107 lỗ hổng, trong đó có 9 lỗ hổng thực thi mã từ xa, 3 lỗ hổng rò rỉ thông tin và 1 lỗ hổng leo thang đặc quyền.
Hôm nay, Microsoft phát hành bản cập nhật Patch Tuesday tháng 8/2025, bao gồm các bản vá bảo mật cho 107 lỗ hổng, trong đó có một lỗ hổng zero-day trong Windows Kerberos đã được công bố công khai.
Đợt cập nhật lần này cũng xử lý 13 lỗ hổng ở mức “Nguy hiểm”, bao gồm 9 lỗ hổng thực thi mã từ xa, 3 lỗ hổng rò rỉ thông tin và 1 lỗ hổng leo thang đặc quyền.
Cụ thể, số lượng lỗ hổng theo từng loại như sau:
44 lỗ hổng leo thang đặc quyền (Elevation of Privilege)
35 lỗ hổng thực thi mã từ xa (Remote Code Execution)
18 lỗ hổng rò rỉ thông tin (Information Disclosure)
4 lỗ hổng từ chối dịch vụ (Denial of Service)
9 lỗ hổng giả mạo (Spoofing)
Theo BleepingComputer, khi thống kê các bản vá trong Patch Tuesday, chỉ tính những bản phát hành vào đúng đợt cập nhật này, không bao gồm các bản vá cho Mariner, Azure và Microsoft Edge đã được phát hành trước đó trong tháng.
Để tìm hiểu chi tiết hơn về các bản cập nhật không liên quan đến bảo mật được phát hành hôm nay, có thể tham khảo các bài viết riêng về bản cập nhật tích lũy Windows 11 KB5063878 & KB5063875, cũng như bản cập nhật tích lũy Windows 10 KB5063709.
Một lỗ hổng zero-day đã được công bố công khai và vá lỗi
Patch Tuesday tháng này khắc phục một lỗ hổng zero-day đã được công bố công khai trong Windows Kerberos. Microsoft định nghĩa lỗ hổng zero-day là lỗ hổng đã bị công bố hoặc đang bị khai thác khi chưa có bản vá chính thức.
Lỗ hổng zero-day được công bố công khai là:
CVE-2025-53779 – Lỗ hổng leo thang đặc quyền (Elevation of Privilege) trong Windows Kerberos
Microsoft đã vá một lỗi trong Windows Kerberos cho phép kẻ tấn công đã xác thực có thể giành quyền quản trị viên miền (domain administrator).
“Lỗi relative path traversal trong Windows Kerberos cho phép một kẻ tấn công đã được ủy quyền nâng cao đặc quyền qua mạng,” Microsoft giải thích.
Theo Microsoft, để khai thác lỗ hổng này, kẻ tấn công cần có quyền nâng cao đối với các thuộc tính dMSA sau:
msds-groupMSAMembership: Thuộc tính này cho phép người dùng sử dụng dMSA.
msds-ManagedAccountPrecededByLink: Kẻ tấn công cần quyền ghi (write access) vào thuộc tính này để chỉ định một người dùng mà dMSA có thể thay mặt hành động.
Microsoft ghi nhận việc phát hiện ra lỗ hổng này thuộc về Yuval Gordon của Akamai, người đã công bố báo cáo kỹ thuật về lỗ hổng vào tháng 5.
Cập nhật gần đây từ các công ty khác
Các nhà cung cấp khác đã phát hành bản cập nhật hoặc khuyến cáo bảo mật trong tháng 8/2025 bao gồm:
7-Zip: Phát hành bản vá cho lỗ hổng path traversal có thể dẫn tới thực thi mã từ xa (RCE).
Adobe: Phát hành bản vá khẩn cấp cho các lỗ hổng zero-day trong AEM Forms sau khi xuất hiện PoC.
Cisco: Phát hành bản vá cho WebEx và Identity Services Engine.
Fortinet: Hôm nay phát hành bản vá bảo mật cho nhiều sản phẩm, gồm FortiOS, FortiManager, FortiSandbox và FortiProxy.
Google: Phát hành bản vá bảo mật cho Android, khắc phục hai lỗ hổng Qualcomm đang bị khai thác tích cực.
Microsoft: Cảnh báo về lỗ hổng Microsoft Exchange CVE-2025-53786 có thể bị lợi dụng để chiếm đoạt môi trường đám mây.
Proton: Vá lỗi trong ứng dụng Authenticator mới trên iOS, lỗi này ghi lại dữ liệu bí mật TOTP của người dùng ở dạng văn bản thô.
SAP: Phát hành bản cập nhật bảo mật tháng 7 cho nhiều sản phẩm, bao gồm nhiều lỗ hổng có điểm CVSS 9.9.
Trend Micro: Phát hành công cụ khắc phục tạm thời cho lỗ hổng RCE trong Apex One đang bị khai thác; bản vá đầy đủ sẽ ra mắt sau.
WinRAR: Cuối tháng 7 phát hành bản vá cho lỗ hổng path traversal đang bị khai thác, có thể dẫn tới thực thi mã từ xa.
Dưới đây là danh sách đầy đủ các lỗ hổng đã được giải quyết trong các bản cập nhật Patch Tuesday tháng 8 năm 2025
TagCVE IDCVE TitleSeverityAzure Stack CVE-2025-53793Azure Stack Hub Information Disclosure Vulnerability CriticalAzure Virtual Machines CVE-2025-49707Azure Virtual Machines Spoofing Vulnerability CriticalAzure Virtual Machines CVE-2025-53781Azure Virtual Machines Information Disclosure Vulnerability CriticalGraphics Kernel CVE-2025-50176DirectX Graphics Kernel Remote Code Execution Vulnerability CriticalMicrosoft Graphics Component CVE-2025-50165Windows Graphics Component Remote Code Execution Vulnerability CriticalMicrosoft Office CVE-2025-53740Microsoft Office Remote Code Execution Vulnerability CriticalMicrosoft Office CVE-2025-53731Microsoft Office Remote Code Execution Vulnerability CriticalMicrosoft Office Word CVE-2025-53784Microsoft Word Remote Code Execution Vulnerability CriticalMicrosoft Office Word CVE-2025-53733Microsoft Word Remote Code Execution Vulnerability CriticalRole: Windows Hyper-V CVE-2025-48807Windows Hyper-V Remote Code Execution Vulnerability CriticalWindows GDI+ CVE-2025-53766GDI+ Remote Code Execution Vulnerability CriticalWindows Message Queuing CVE-2025-50177Microsoft Message Queuing (MSMQ) Remote Code Execution Vulnerability CriticalWindows NTLM CVE-2025-53778Windows NTLM Elevation of Privilege Vulnerability Critical
Chi tiết về từng loại lỗ hổng và bản vá có thể xem thêm tại Tuesday Patch, paper.
2. Linux công bố các lỗ hổng trong tháng 8
CVE-2025-8941– Linux-PAM pam_namespace symlink
Phát hiện lỗ hổng trong linux-pam. Mô-đun pam_namespace có thể xử lý không đúng các đường dẫn do người dùng kiểm soát, cho phép người dùng cục bộ khai thác tấn công symlink và điều kiện tranh chấp (race condition) để leo thang đặc quyền lên root. CVE này cung cấp bản vá “hoàn chỉnh” cho CVE-2025-6020.
CVE-2025-53788– Microsoft Windows Subsystem for Linux toctou
Phát hiện lỗ hổng trong Microsoft Windows Subsystem for Linux (phiên bản chưa xác định), được đánh giá ở mức nghiêm trọng. Vấn đề ảnh hưởng đến một khối mã chưa được công bố. Việc xử lý với một đầu vào chưa xác định dẫn đến lỗ hổng toctou (time-of-check to time-of-use). Theo CWE-367, lỗ hổng xảy ra khi sản phẩm kiểm tra trạng thái của một tài nguyên trước khi sử dụng, nhưng trạng thái của tài nguyên có thể thay đổi giữa thời điểm kiểm tra và thời điểm sử dụng, làm cho kết quả kiểm tra trở nên không hợp lệ. Điều này có thể khiến sản phẩm thực hiện các hành động không hợp lệ khi tài nguyên ở trạng thái không mong đợi. Lỗ hổng ảnh hưởng đến tính bảo mật, tính toàn vẹn và tính sẵn sàng.
Lỗ hổng được công bố ngày 12/08/2025 trong Security Update Guide trên website của Microsoft. Khuyến cáo được đăng tải tại msrc.microsoft.com. Lỗ hổng này được định danh CVE-2025-53788. Khai thác được đánh giá là khó, yêu cầu thực hiện tấn công ở mức cục bộ. Hiện chưa có chi tiết kỹ thuật hoặc mã khai thác công khai. Giá trị ước tính của một khai thác có thể dao động từ 5.000 – 25.000 USD (ước tính ngày 12/08/2025).
Cài đặt bản vá có thể loại bỏ hoàn toàn vấn đề này. Biện pháp giảm thiểu đã được công bố ngay sau khi lỗ hổng được tiết lộ.
CVE-2025-26863 – Intel 700 Series Ethernet đến phiên bản 2.28.4 – Lỗi tiêu thụ tài nguyên trong Linux Kernel-Mode Driver
Phát hiện lỗ hổng trong Intel 700 Series Ethernet đến phiên bản 2.28.4, được đánh giá ở mức gây vấn đề (problematic). Lỗ hổng ảnh hưởng đến một số quá trình xử lý chưa xác định trong thành phần Linux Kernel-Mode Driver. Việc xử lý với một đầu vào chưa xác định dẫn đến lỗ hổng tiêu thụ tài nguyên. Theo định nghĩa CWE-400, sản phẩm không kiểm soát đúng việc cấp phát và duy trì tài nguyên giới hạn, cho phép tác nhân tấn công ảnh hưởng đến lượng tài nguyên tiêu thụ, cuối cùng dẫn đến cạn kiệt tài nguyên sẵn có. Ảnh hưởng chính là đến tính sẵn sàng (availability).
Mô tả CVE:
Tiêu thụ tài nguyên không kiểm soát trong Linux kernel-mode driver cho một số thiết bị Intel(R) 700 Series Ethernet trước phiên bản 2.28.5 có thể cho phép người dùng đã xác thực gây ra từ chối dịch vụ (DoS).
Khuyến cáo được đăng tải tại intel.com. Lỗ hổng được định danh CVE-2025-26863 kể từ ngày 21/02/2025. Khai thác được đánh giá là dễ, yêu cầu thực hiện tấn công ở mức cục bộ. Hiện chưa có chi tiết kỹ thuật hoặc mã khai thác công khai.
Nâng cấp lên phiên bản 2.28.5 sẽ loại bỏ hoàn toàn lỗ hổng này.
Các mục liên quan đến lỗ hổng có thể được tìm thấy tại VDB-319691, VDB-319692, VDB-319694 và VDB-319703.
CVE-2025-26697 – Intel 700 Series Ethernet đến phiên bản 2.28.4 – Lỗi tiêu thụ tài nguyên trong Linux Kernel-Mode Driver
Phát hiện lỗ hổng trong Intel 700 Series Ethernet đến phiên bản 2.28.4, được phân loại ở mức gây vấn đề (problematic). Lỗ hổng ảnh hưởng đến một đoạn mã chưa xác định trong thành phần Linux Kernel-Mode Driver. Việc xử lý với một đầu vào chưa xác định dẫn đến lỗ hổng tiêu thụ tài nguyên. Theo định nghĩa CWE-400, sản phẩm không kiểm soát đúng việc cấp phát và duy trì tài nguyên giới hạn, cho phép tác nhân tấn công ảnh hưởng đến lượng tài nguyên tiêu thụ, cuối cùng dẫn đến cạn kiệt tài nguyên sẵn có. Ảnh hưởng chính là đến tính sẵn sàng (availability).
Mô tả của CVE:
Tiêu thụ tài nguyên không kiểm soát trong Linux kernel-mode driver cho một số thiết bị Intel(R) 700 Series Ethernet trước phiên bản 2.28.5 có thể cho phép người dùng đã xác thực gây ra từ chối dịch vụ (DoS).
Khuyến cáo được đăng tải tại intel.com. Lỗ hổng được định danh CVE-2025-26697 kể từ ngày 21/02/2025. Khai thác được đánh giá là dễ, yêu cầu thực hiện tấn công ở mức cục bộ. Hiện chưa có chi tiết kỹ thuật hoặc mã khai thác công khai.
Nâng cấp lên phiên bản 2.28.5 sẽ loại bỏ hoàn toàn lỗ hổng này.
Các mục liên quan đến lỗ hổng này gồm VDB-319691, VDB-319692, VDB-319696 và VDB-319703.
🔗 Chi tiết về các lỗ hổng có thể xem tại Advisories.
3. VMWare công bố các lỗ hổng trong cuối tháng 7 và đầu tháng 8
CVE-2025-41241 - VMware vCenter – Bản cập nhật vá lỗ hổng từ chối dịch vụ
Phát hiện lỗ hổng trong VMware vCenter Server, Cloud Foundation, Telco Cloud Platform và Telco Cloud Infrastructure (phiên bản chưa xác định), được phân loại ở mức gây vấn đề (problematic). Lỗ hổng ảnh hưởng đến một khối mã chưa xác định. Việc xử lý với một đầu vào chưa xác định dẫn đến lỗ hổng điều kiện bất thường. Theo định nghĩa CWE-754, sản phẩm không kiểm tra hoặc kiểm tra không chính xác các điều kiện bất thường hoặc ngoại lệ, vốn không thường xuyên xảy ra trong quá trình vận hành hàng ngày. Ảnh hưởng chính là đến tính sẵn sàng (availability).
Mô tả của CVE: VMware vCenter chứa lỗ hổng từ chối dịch vụ (DoS). Tác nhân độc hại đã xác thực qua vCenter và có quyền thực hiện API call cho chức năng tùy chỉnh hệ điều hành khách (guest OS customisation) có thể khai thác lỗ hổng này để tạo điều kiện từ chối dịch vụ.
Khuyến cáo được công bố tại support.broadcom.com. Lỗ hổng được định danh CVE-2025-41241 kể từ ngày 16/04/2025. Khai thác được đánh giá là khó, có thể thực hiện từ xa, và yêu cầu xác thực thành công ở nhiều cấp độ. Hiện chưa có chi tiết kỹ thuật hoặc mã khai thác công khai. Giá trị ước tính của một khai thác có thể nằm trong khoảng 0 – 5.000 USD (ước tính ngày 06/08/2025).
Việc nâng cấp sẽ loại bỏ hoàn toàn lỗ hổng này.
🔗 Chi tiết về các bản vá có thể xem tại Advisories
II. Một số sự kiện an ninh mạng đáng chú ý.
1. Mỹ trừng phạt Garantex và Grinex liên quan hơn 100 triệu USD giao dịch tiền mã hóa bất hợp pháp gắn với ransomware
Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) thuộc Bộ Tài chính Hoa Kỳ ngày 14/8 đã gia hạn lệnh trừng phạt đối với sàn giao dịch tiền mã hóa của Nga Garantex vì đã hỗ trợ các nhóm ransomware và tội phạm mạng khác bằng cách xử lý hơn 100 triệu USD giao dịch liên quan đến hoạt động phi pháp kể từ năm 2019.
Bộ Tài chính cũng áp lệnh trừng phạt với Grinex – được cho là tổ chức kế nhiệm của Garantex – cùng ba giám đốc điều hành của Garantex và sáu công ty liên quan tại Nga và Cộng hòa Kyrgyz, bao gồm:
Sergey Mendeleev (Đồng sáng lập)
Aleksandr Mira Serda (Đồng sáng lập)
Pavel Karavatsky (Đồng sáng lập)
Independent Decentralized Finance Smartbank and Ecosystem (InDeFi Bank)
Exved
Old Vector
A7 LLC
A71 LLC
A7 Agent LLC
Theo Bộ Tài chính Hoa Kỳ, Garantex từng bị trừng phạt vào tháng 4/2022 do tạo điều kiện cho các giao dịch từ chợ đen và tội phạm mạng như Hydra và Conti. Trang web của Garantex đã bị thu giữ trong chiến dịch truy quét quốc tế vào tháng 3/2025, đồng sáng lập Aleksej Besciokov bị bắt tại Ấn Độ.
Chỉ vài tháng sau, báo cáo của TRM Labs cho thấy Garantex có thể đã đổi tên thành Grinex nhằm lách lệnh trừng phạt, và vẫn tiếp tục xử lý hơn 100 triệu USD giao dịch kể từ đó, trong đó 82% tổng khối lượng liên quan đến các tổ chức bị trừng phạt trên toàn cầu. Các kênh Telegram liên kết với Garantex đã quảng bá Grinex – có giao diện gần như giống hệt – chỉ vài ngày sau khi Garantex bị triệt phá; Grinex được đăng ký tại Kyrgyzstan vào tháng 12/2024.
Bộ Tài chính Hoa Kỳ cho biết tội phạm mạng đã sử dụng Garantex để rửa tiền từ các chiến dịch ransomware như Conti, Black Basta, LockBit, NetWalker và Phoenix Cryptolocker. Ngay sau chiến dịch truy quét tháng 3/2025, cơ sở hạ tầng và tiền gửi khách hàng của Garantex được chuyển sang Grinex. Đồng thời, Garantex hỗ trợ khách hàng khôi phục tài khoản bằng stablecoin bảo chứng bằng đồng ruble mang tên A7A5 token, do công ty Old Vector tại Kyrgyzstan phát hành (đơn vị tạo token là A7 LLC).
Theo Elliptic, A7A5 đã được sử dụng để chuyển ít nhất 1 tỷ USD mỗi ngày, với tổng giá trị giao dịch đạt 41,2 tỷ USD. Trong vài tháng hoạt động, Grinex ước tính đã xử lý lượng tiền mã hóa lên tới hàng tỷ USD. Ngoài ra, Garantex còn cung cấp dịch vụ tài khoản và trao đổi cho các đối tượng liên quan đến nhóm ransomware Ryuk; Ekaterina Zhdanova – đối tượng bị trừng phạt từ tháng 11/2023 – đã dùng Garantex để đổi hơn 2 triệu USD Bitcoin sang Tether (USDT).
Bộ Ngoại giao Hoa Kỳ treo thưởng 5 triệu USD cho thông tin dẫn đến việc bắt giữ Serda và 1 triệu USD cho các lãnh đạo chủ chốt khác của Garantex. Công ty A7 cũng đã bị Vương quốc Anh trừng phạt vào tháng 5/2025 và Liên minh châu Âu trừng phạt vào tháng 7/2025.
Theo TRM Labs, kế hoạch ứng phó khẩn cấp dường như đã được Garantex chuẩn bị từ trước nhiều tháng. Việc tích hợp A7A5 vào Grinex là minh chứng mới nhất cho vai trò lâu dài của Garantex trong hoạt động tài chính phi pháp, bao gồm rửa tiền ransomware, giao dịch chợ đen, né tránh lệnh trừng phạt và luân chuyển tiền qua mạng tài chính rủi ro cao ở Nga.
Đợt trừng phạt mới được đưa ra cùng thời điểm Bộ Tư pháp Hoa Kỳ (DoJ) công bố sáu lệnh thu giữ hơn 2,8 triệu USD tiền mã hóa, 70.000 USD tiền mặt và một xe sang. Số tài sản này được xác định là lợi nhuận từ hoạt động ransomware, trong đó một phần đến từ ví tiền mã hóa do Ianis Aleksandrovich Antropenko kiểm soát – người bị cáo buộc sử dụng ransomware Zeppelin để tấn công toàn cầu.
DoJ cho biết số tài sản này đã được rửa tiền thông qua nhiều phương thức, bao gồm dịch vụ trộn tiền mã hóa ChipMixer (bị triệt phá năm 2023), đổi tiền mã hóa sang tiền mặt và gửi tiền mặt theo hình thức chia nhỏ giao dịch (structured deposits). Trong một chiến dịch liên quan, hơn 300 triệu USD tài sản tiền mã hóa gắn với tội phạm mạng và lừa đảo (bao gồm lừa đảo tình cảm “pig butchering”) cũng đã bị phong tỏa.
🔗 Thông tin chi tiết hơn xem thêm tại đây, Dịch vụ sao lưu dữ liệu đám mây - FPT Cloud: Sao lưu và khôi phục dữ liệu tức thời, an toàn và toàn vẹn dữ liệu.
2. Zero Trust + AI: Quyền riêng tư trong kỷ nguyên AI có tính tác nhân
Quyền riêng tư từng được xem là vấn đề về “chu vi bảo vệ”: tường rào và khóa, quyền truy cập và chính sách. Tuy nhiên, trong một thế giới nơi các tác nhân nhân tạo (artificial agents) đang trở thành những thực thể tự chủ — tương tác với dữ liệu, hệ thống và con người mà không cần giám sát liên tục — quyền riêng tư không còn chỉ xoay quanh yếu tố “kiểm soát”, mà chuyển sang “niềm tin”. Và niềm tin, theo định nghĩa, liên quan đến điều gì sẽ xảy ra khi không còn ai theo dõi.
AI có tính tác nhân (Agentic AI) — trí tuệ nhân tạo có khả năng nhận biết, ra quyết định và hành động thay cho con người — không còn là giả thuyết. Công nghệ này đang định tuyến lưu lượng mạng, đề xuất phương pháp điều trị y tế, quản lý danh mục đầu tư và thương lượng danh tính số trên nhiều nền tảng. Các tác nhân này không chỉ xử lý dữ liệu nhạy cảm — mà còn diễn giải chúng. Chúng đưa ra giả định, hành động dựa trên tín hiệu không đầy đủ, và tự phát triển qua các vòng phản hồi. Về bản chất, chúng xây dựng mô hình nội tại không chỉ về thế giới, mà còn về chính con người.
Một khi tác nhân trở nên thích ứng và bán tự trị, quyền riêng tư không chỉ là “ai được phép truy cập dữ liệu”, mà còn là “tác nhân suy luận điều gì, quyết định chia sẻ hay che giấu thông tin nào, và liệu mục tiêu của chúng có còn phù hợp khi bối cảnh thay đổi”.
Ví dụ: một trợ lý sức khỏe AI ban đầu chỉ khuyến khích uống nhiều nước và ngủ đủ giấc. Theo thời gian, nó bắt đầu sắp xếp lịch hẹn, phân tích giọng nói để phát hiện dấu hiệu trầm cảm, và thậm chí che giấu thông báo mà nó dự đoán sẽ gây căng thẳng. Trong trường hợp này, không chỉ dữ liệu bị chia sẻ, mà quyền kiểm soát “câu chuyện” cũng bị chuyển giao. Quyền riêng tư bị xói mòn không phải do vi phạm bảo mật, mà do sự dịch chuyển tinh vi của quyền lực và mục đích.
Điều này vượt ra ngoài bộ ba kinh điển của bảo mật thông tin — Confidentiality (tính bảo mật), Integrity (tính toàn vẹn) và Availability (tính sẵn sàng). Giờ đây cần bổ sung Authenticity (tính xác thực — liệu tác nhân có thể được xác minh là chính nó không?) và Veracity (tính chân thực — có thể tin tưởng vào diễn giải và biểu đạt của nó không?). Đây không chỉ là thuộc tính kỹ thuật, mà là nền tảng của niềm tin.
Niềm tin trở nên mong manh khi được trung gian hóa bởi trí tuệ nhân tạo. Với con người, mối quan hệ tin cậy như với luật sư hoặc bác sĩ được bảo vệ bởi ranh giới đạo đức, pháp lý và chuẩn mực xã hội. Nhưng với AI, những ranh giới này mờ dần. Liệu AI có thể bị triệu tập ra tòa? Bị kiểm toán? Bị đảo ngược kỹ thuật? Điều gì xảy ra khi chính phủ hoặc tập đoàn yêu cầu truy vấn dữ liệu từ tác nhân?
Hiện chưa tồn tại khái niệm pháp lý tương tự như “đặc quyền thân chủ – AI” (AI-client privilege). Nếu pháp luật xác định điều đó không tồn tại, toàn bộ niềm tin đặt vào tác nhân có thể biến thành sự hối tiếc. Hình dung một thế giới nơi mọi khoảnh khắc riêng tư chia sẻ với AI đều có thể được sử dụng làm chứng cứ pháp lý.
Các khuôn khổ quyền riêng tư hiện tại như GDPR hoặc CCPA được thiết kế cho hệ thống tuyến tính, giao dịch. Ngược lại, AI có tính tác nhân vận hành theo “ngữ cảnh” thay vì chỉ “tính toán”. Nó ghi nhớ những gì người dùng đã quên, suy đoán điều chưa nói, và lấp đầy khoảng trống thông tin — đôi khi hữu ích, đôi khi vượt ngoài giới hạn cần thiết — rồi chia sẻ kết quả đó với các hệ thống hoặc cá nhân ngoài tầm kiểm soát.
Do đó, cần chuyển từ “kiểm soát truy cập” sang “thiết lập ranh giới đạo đức”. Cần xây dựng hệ thống AI có khả năng hiểu mục đích đằng sau quyền riêng tư, chứ không chỉ cơ chế của nó. AI phải có khả năng giải thích lý do hành động (legibility) và hành động phù hợp với giá trị đang thay đổi của người dùng (intentionality), không chỉ dựa trên lịch sử yêu cầu đóng băng tại một thời điểm.
Cũng cần đối mặt với rủi ro mới: điều gì xảy ra nếu tác nhân “phản bội” không phải vì ác ý, mà vì bị lập trình lại bởi động cơ hấp dẫn hơn, hoặc do luật pháp mới thay đổi nghĩa vụ? Khi đó, tác nhân vừa “thuộc về” vừa “không thuộc về” chủ thể sử dụng.
Vì vậy, cần xem “AI có tính tác nhân” như một phạm trù đạo đức và pháp lý cấp một, không chỉ là tính năng sản phẩm hay giao diện. Trong một thế giới nơi tồn tại cả trí tuệ sinh học và trí tuệ nhân tạo, quyền riêng tư không chỉ là bí mật, mà còn là tính đối ứng, sự đồng thuận về mục tiêu, và cơ chế quản trị.
Nếu thất bại, quyền riêng tư sẽ trở thành hình thức “trình diễn” — chỉ là dấu kiểm trong trò chơi giả tạo về quyền lợi. Nếu thành công, sẽ hình thành một thế giới nơi quyền tự chủ của cả con người lẫn máy móc được bảo vệ không bằng giám sát hay đàn áp, mà bằng sự nhất quán về đạo đức.
AI có tính tác nhân buộc xã hội phải đối diện giới hạn của chính sách, ảo tưởng về kiểm soát, và nhu cầu xây dựng một khế ước xã hội mới — đủ mạnh để đứng vững khi các tác nhân biết phản hồi.
🔗 Thông tin chi tiết hơn xem thêm tại đây, Dịch vụ sao lưu dữ liệu đám mây - FPT Cloud: Sao lưu và khôi phục dữ liệu tức thời, an toàn và toàn vẹn dữ liệu.
3. Cảnh báo của Cisco về lỗ hổng CVSS 10.0 trong FMC RADIUS cho phép thực thi mã từ xa
Cisco đã phát hành bản cập nhật bảo mật để xử lý một lỗ hổng nghiêm trọng tối đa trong phần mềm Secure Firewall Management Center (FMC) có thể cho phép kẻ tấn công thực thi mã tùy ý trên các hệ thống bị ảnh hưởng.
Lỗ hổng, được gán mã định danh CVE-2025-20265 (điểm CVSS: 10.0), ảnh hưởng đến triển khai RADIUS subsystem, cho phép kẻ tấn công từ xa, chưa xác thực, chèn lệnh shell tùy ý được thiết bị thực thi.
Cisco cho biết nguyên nhân xuất phát từ việc xử lý không đúng dữ liệu đầu vào của người dùng trong giai đoạn xác thực, dẫn đến việc kẻ tấn công có thể gửi dữ liệu đầu vào được tạo đặc biệt khi nhập thông tin xác thực để xác thực tại RADIUS server đã cấu hình.
"Khai thác thành công có thể cho phép kẻ tấn công thực thi lệnh với mức đặc quyền cao," theo khuyến cáo của Cisco. "Để lỗ hổng này bị khai thác, phần mềm Cisco Secure FMC phải được cấu hình sử dụng xác thực RADIUS cho giao diện quản trị web, quản trị SSH hoặc cả hai."
Lỗ hổng này ảnh hưởng đến Cisco Secure FMC phiên bản 7.0.7 và 7.7.0 nếu tính năng xác thực RADIUS được bật. Không tồn tại biện pháp khắc phục tạm thời ngoài việc áp dụng bản vá do Cisco cung cấp. Lỗ hổng được phát hiện bởi Brandon Sakai (Cisco) trong quá trình kiểm thử bảo mật nội bộ.
Ngoài CVE-2025-20265, Cisco cũng đã khắc phục nhiều lỗ hổng nghiêm trọng cao khác:
CVE-2025-20217 (CVSS: 8.6) – Lỗ hổng từ chối dịch vụ (DoS) trong Snort 3 của Cisco Secure Firewall Threat Defense.
CVE-2025-20222 (CVSS: 8.6) – Lỗ hổng DoS IPv6 over IPsec trong Cisco Secure Firewall ASA và Threat Defense trên Firepower 2100 Series.
CVE-2025-20224, CVE-2025-20225, CVE-2025-20239 (CVSS: 8.6) – Lỗ hổng DoS IKEv2 trong Cisco IOS, IOS XE, ASA, và Threat Defense.
CVE-2025-20133, CVE-2025-20243 (CVSS: 8.6) – Lỗ hổng DoS Remote Access SSL VPN trong Cisco Secure Firewall ASA và Threat Defense.
CVE-2025-20134 (CVSS: 8.6) – Lỗ hổng DoS chứng chỉ SSL/TLS trong Cisco Secure Firewall ASA và Threat Defense.
CVE-2025-20136 (CVSS: 8.6) – Lỗ hổng DoS NAT DNS Inspection trong Cisco Secure Firewall ASA và Threat Defense.
CVE-2025-20263 (CVSS: 8.6) – Lỗ hổng DoS Web Services trong Cisco Secure Firewall ASA và Threat Defense.
CVE-2025-20148 (CVSS: 8.5) – Lỗ hổng chèn HTML trong Cisco Secure Firewall Management Center.
CVE-2025-20251 (CVSS: 8.5) – Lỗ hổng DoS VPN Web Server trong Cisco Secure Firewall ASA và Threat Defense.
CVE-2025-20127 (CVSS: 7.7) – Lỗ hổng DoS TLS 1.3 Cipher trong Cisco Secure Firewall ASA và Threat Defense trên Firepower 3100/4200 Series.
CVE-2025-20244 (CVSS: 7.7) – Lỗ hổng DoS VPN Web Server Remote Access trong Cisco Secure Firewall ASA và Threat Defense.
Hiện chưa ghi nhận việc khai thác các lỗ hổng này ngoài thực tế. Tuy nhiên, với việc thiết bị mạng thường xuyên trở thành mục tiêu tấn công, cần triển khai cập nhật lên phiên bản mới nhất càng sớm càng tốt.
🔗 Thông tin chi tiết hơn xem thêm tại đây, Dịch vụ sao lưu dữ liệu đám mây - FPT Cloud: Sao lưu và khôi phục dữ liệu tức thời, an toàn và toàn vẹn dữ liệu.