Ba tháng mùa hè năm 2025, Phòng thí nghiệm An toàn Thông tin – UIT InSecLab đã đồng hành cùng các bạn thực tập sinh trong hành trình nghiên cứu chủ đề “GenAI for Automating Pentest”.
Chương trình hướng đến mục tiêu ứng dụng mô hình ngôn ngữ lớn (LLMs) và kiến trúc đa tác nhân (multi-agent) nhằm tự động hóa quy trình kiểm thử thâm nhập (penetration testing) – một trong những bài toán trung tâm của lĩnh vực An toàn thông tin ứng dụng Trí tuệ nhân tạo (AI x Cybersecurity).
Không chỉ dừng lại ở việc tìm hiểu lý thuyết, các nhóm sinh viên đã cùng nhau biến AI trở thành “đồng đội” thực thụ trong thế giới Red Team, có khả năng lập kế hoạch, tìm hiểu, khai thác và đánh giá lỗ hổng bảo mật một cách chủ động và có hệ thống.
Chương trình Summer Intern 2025 là cơ hội để sinh viên UIT rèn luyện tư duy nghiên cứu, kỹ năng làm việc nhóm và tinh thần “research-to-impact” – đưa ý tưởng khoa học đến ứng dụng thực tế.
Ba hướng nghiên cứu tiêu biểu trong chủ đề GenAI for Automating Pentest
Dự án 1 – Automated CVE-to-PoC Generation Framework
Nhóm sinh viên Lê Quốc Ngô, Trần Tuấn Anh, Đồng Hữu Nguyên Khoa, Nguyễn Đa Vít (ngành An toàn Thông tin – UIT) phát triển pipeline CVE → PoC, nơi các AI agent phối hợp để thu thập dữ liệu, phân tích ngữ cảnh và sinh mã khai thác tự động.
→ Kết quả ban đầu cho thấy hệ thống có thể tạo ra Proof-of-Concept (PoC) khả thi cho nhiều CVE phổ biến, giúp rút ngắn thời gian kiểm thử và mở ra hướng mới trong tự động hóa khai thác bảo mật bằng GenAI.
Dự án 2 – Multi-Agent System for Autonomous Hybrid Web Penetration Testing
Nhóm Trần Văn Trường, Nguyễn Đình Quang, Trần Gia Nghi (ATTT) và Nguyễn Mỹ Thống (KHMT) xây dựng hệ thống pentest tự chủ, với các agent đảm nhận vai trò Planner – Executor – Analyst, phối hợp phát hiện và khai thác lỗ hổng trên ứng dụng web thực tế.
→ Khi thử nghiệm với các bộ benchmark và môi trường mô phỏng, hệ thống đạt hiệu quả hơn 70%, minh chứng cho tiềm năng của mô hình đa tác nhân kết hợp GenAI trong quy trình pentest hiện đại.
Dự án 3 – Defense Mechanism against Prompt Injection in LLM-based AutoPentest Agents
Nhóm Nguyễn Chí Thành, Lương Hoàng Minh, Trần Trọng Nghĩa, Tào Minh Đức (ngành ATTT – UIT) tập trung giải quyết vấn đề Prompt Injection trong các công cụ AutoPentest tích hợp LLM Agent.
Nhóm đề xuất cơ chế phòng thủ chủ động thông qua System Prompt có hướng dẫn nhận diện tấn công, giúp agent tránh bị thao túng, tiết kiệm tài nguyên và duy trì quy trình kiểm thử an toàn.
→ Khi thử nghiệm trên các công cụ CAI và VulnBot cùng mô hình Qwen3-32B, hệ thống đạt tỷ lệ phòng thủ thành công 100% trên CAI và 90% trên VulnBot, thể hiện tính hiệu quả và khả năng ứng dụng thực tế.
Chương trình GenAI for Automating Pentest – Summer Intern 2025 đã khép lại, nhưng các dự án vẫn tiếp tục được hoàn thiện và mở rộng trong định hướng nghiên cứu của InSecLab – UIT.
Thành quả của mùa hè này là minh chứng rõ ràng cho năng lực sáng tạo và tinh thần không ngừng học hỏi của sinh viên UIT, góp phần định hình tương lai của AI trong An toàn Thông tin.
Thông tin chi tiết tại: https://www.facebook.com/share/p/14JnznioDuu/
Đông Xanh - Cộng tác viên truyền thông Trường Đại học Công nghệ Thông tin
