Tin tức WormGPT mới nhất: WormGPT 4, AI tội phạm mạng và làn sóng ransomware 2026

Nguồn ảnh: Elise Racine & The Bigger Picture / Better Images of AI, đăng trong báo cáo “Impact of AI on cyber threat from now to 2027” của UK National Cyber Security Centre (NCSC). Ảnh định dạng JPG, không phải SVG. Nguồn: NCSC.

Tóm tắt bản tin

WormGPT tiếp tục xuất hiện trong các báo cáo an ninh mạng như một biểu tượng của xu hướng “malicious LLM” — các mô hình ngôn ngữ lớn được quảng bá cho mục đích tấn công, lừa đảo và tự động hóa tội phạm mạng. Tính đến ngày 05/06/2026, điểm đáng chú ý nhất không phải là một công cụ đơn lẻ, mà là sự mở rộng của cả hệ sinh thái công cụ AI tội phạm: WormGPT, FraudGPT, BruteForceAI, HexStrike AI và các biến thể hoặc bản sao được rao bán như dịch vụ.

Nguồn mới đáng chú ý nhất là báo cáo 2026 Global Threat Landscape Report của Fortinet. FortiGuard Labs cho biết số nạn nhân ransomware được xác nhận trong năm 2025 đạt 7.831 trường hợp, tăng mạnh so với khoảng 1.600 trường hợp trong báo cáo trước đó. Fortinet liên hệ mức tăng 389% này với sự phổ biến của các bộ công cụ tội phạm mạng như WormGPT, FraudGPT và BruteForceAI. Nguồn: Fortinet Press Release, 30/04/2026.

1. Fortinet: WormGPT nằm trong nhóm công cụ góp phần làm ransomware tăng tốc

Theo Fortinet, rủi ro hiện nay không còn được định nghĩa chủ yếu bởi mức độ tinh vi, mà bởi tốc độ. Báo cáo 2026 của Fortinet cho biết time-to-exploit đối với các đợt bùng phát nghiêm trọng đã rút xuống khoảng 24–48 giờ, trong khi các chiến dịch tấn công được hỗ trợ bởi AI giúp kẻ tấn công tăng tốc trinh sát, vũ khí hóa và khai thác lỗ hổng.

Trong cùng báo cáo, Fortinet nêu WormGPT, FraudGPT và BruteForceAI như các “crime service kits” góp phần vào mức tăng 389% của nạn nhân ransomware. Ba lĩnh vực bị nhắm đến nhiều nhất là sản xuất với 1.284 nạn nhân, dịch vụ doanh nghiệp với 824 nạn nhân và bán lẻ với 682 nạn nhân. Về địa lý, Mỹ đứng đầu với 3.381 nạn nhân, tiếp theo là Canada và Đức. Nguồn: Fortinet.

Điểm mới trong bức tranh này là WormGPT không còn chỉ được nhìn như một “chatbot độc hại” riêng lẻ. Nó được nhắc đến trong bối cảnh thị trường tội phạm mạng đang vận hành như một chuỗi cung ứng: nhóm môi giới truy cập, nhóm vận hành botnet, nhóm bán dữ liệu đánh cắp và các công cụ AI hỗ trợ tự động hóa. Điều này làm giảm rào cản kỹ năng cho người mới tham gia tấn công, đồng thời giúp nhóm có kinh nghiệm triển khai chiến dịch nhanh hơn.

2. Unit 42: WormGPT 4 cho thấy thương hiệu WormGPT đã chuyển sang mô hình dịch vụ

Nguồn ảnh: Unit 42, Palo Alto Networks — ảnh chụp quảng cáo WormGPT trên diễn đàn trong bài phân tích về malicious LLM. Ảnh định dạng PNG, không phải SVG. Nguồn: Unit 42.

Trong phân tích công bố ngày 25/11/2025, Unit 42 của Palo Alto Networks mô tả WormGPT 4 như một ví dụ về “malicious LLM” được xây dựng hoặc điều chỉnh cho mục đích tấn công. Bài phân tích cho biết các công cụ dạng này thường loại bỏ rào chắn đạo đức, được quảng bá trên diễn đàn ngầm hoặc Telegram, và nhấn mạnh khả năng tạo email phishing, hỗ trợ tạo mã độc hoặc tự động hóa trinh sát.

Unit 42 cho rằng WormGPT ban đầu xuất hiện vào tháng 7/2023 và trở thành một trong những malicious LLM thương mại hóa được biết đến rộng rãi đầu tiên. Sau khi dự án gốc bị đóng lại vì chú ý tiêu cực từ truyền thông, tên gọi WormGPT vẫn tiếp tục tồn tại dưới dạng thương hiệu, bản sao và biến thể kế nhiệm. Nguồn: Unit 42.

Nguồn ảnh: Unit 42, Palo Alto Networks — ảnh chụp giao diện giá của WormGPT 4 trong báo cáo malicious LLM. Ảnh định dạng PNG, không phải SVG. Nguồn: Unit 42.

Điểm đáng chú ý là mô hình thương mại hóa. Unit 42 ghi nhận WormGPT 4 được quảng bá với giá theo tháng, theo năm và “lifetime”, đồng thời có kênh Telegram làm nơi tiếp thị và cộng đồng. Đây là dấu hiệu cho thấy malicious LLM đang đi theo mô hình cybercrime-as-a-service: có thương hiệu, giá bán, cộng đồng người dùng và quảng cáo tính năng giống một sản phẩm phần mềm.

3. Bối cảnh từ 2023: WormGPT nổi lên cùng làn sóng AI cho phishing và BEC

Các báo cáo từ năm 2023 cho thấy WormGPT được chú ý vì khả năng hỗ trợ tạo nội dung lừa đảo bằng ngôn ngữ tự nhiên. The Hacker News đưa tin vào tháng 7/2023 rằng, theo phát hiện của SlashNext, WormGPT được quảng cáo trên diễn đàn ngầm như một công cụ giúp triển khai phishing và Business Email Compromise (BEC). Nguồn: The Hacker News.

BleepingComputer sau đó ghi nhận sự xuất hiện của FraudGPT trong bối cảnh “sau WormGPT”, cho thấy tội phạm mạng không chỉ thử nghiệm một công cụ duy nhất mà đang nhân rộng ý tưởng tạo chatbot chuyên dùng cho lừa đảo, social engineering, khai thác lỗ hổng và tạo mã độc. Nguồn: BleepingComputer.

Ý nghĩa chính của giai đoạn 2023 là WormGPT đã tạo ra “mẫu hình” cho công cụ AI tội phạm: dùng giao diện chatbot quen thuộc, loại bỏ rào chắn an toàn, quảng bá trên diễn đàn ngầm và biến khả năng viết nội dung thuyết phục thành công cụ tấn công BEC/phishing.

4. NCSC: AI sẽ làm tấn công mạng hiệu quả hơn đến năm 2027

Báo cáo của UK National Cyber Security Centre công bố năm 2025 không chỉ nhắc đến một công cụ cụ thể, mà đánh giá toàn bộ tác động của AI đối với đe dọa mạng đến năm 2027. NCSC nhận định AI gần như chắc chắn sẽ tiếp tục làm một số hoạt động xâm nhập mạng trở nên hiệu quả và hiệu suất hơn, dẫn đến tăng tần suất và cường độ của đe dọa mạng. Nguồn: NCSC.

NCSC cũng cho rằng việc phổ biến các công cụ mạng có hỗ trợ AI rất có khả năng mở rộng năng lực xâm nhập cho nhiều nhóm tác nhân hơn, bao gồm cả nhóm nhà nước và phi nhà nước. Nhận định này phù hợp với xu hướng WormGPT: công cụ AI không nhất thiết tạo ra loại tấn công hoàn toàn mới, nhưng có thể tăng tốc và mở rộng các chiến thuật cũ như phishing, trinh sát, khai thác lỗ hổng và tạo nội dung lừa đảo.

5. Tác động chính đối với doanh nghiệp và người dùng

WormGPT và các công cụ cùng loại làm giảm giá trị của những dấu hiệu cảnh báo truyền thống. Trước đây, email lừa đảo thường dễ bị nghi ngờ vì lỗi chính tả, văn phong vụng hoặc cấu trúc thiếu tự nhiên. Khi LLM tạo ra văn bản trôi chảy, cá nhân hóa và đúng ngữ cảnh hơn, người nhận khó dựa vào lỗi ngôn ngữ để phát hiện gian lận.

Tác động lớn nhất nằm ở ba hướng. Thứ nhất, phishing và BEC có thể được cá nhân hóa ở quy mô lớn. Thứ hai, quy trình tấn công có thể được rút ngắn vì AI hỗ trợ soạn nội dung, trinh sát và tạo khung kỹ thuật. Thứ ba, các công cụ dạng dịch vụ làm tăng số người có thể tham gia tội phạm mạng, dù không có kỹ năng chuyên sâu.

6. Dòng thời gian WormGPT

7. Câu hỏi thường gặp

WormGPT là gì?

WormGPT là tên gọi được dùng cho một dòng công cụ AI bị quảng bá trong cộng đồng tội phạm mạng như một chatbot không có rào chắn an toàn, có thể hỗ trợ tạo nội dung phishing, BEC và các tác vụ tấn công khác. Nguồn: Unit 42, The Hacker News.

WormGPT 4 có gì mới?

Theo Unit 42, WormGPT 4 thể hiện sự chuyển dịch từ một công cụ gây chú ý ban đầu sang mô hình thương mại hóa rõ hơn, có kênh quảng bá, cộng đồng và mức giá theo gói. Nguồn: Unit 42.

Vì sao WormGPT được nhắc đến trong báo cáo ransomware 2026?

Fortinet liệt kê WormGPT cùng FraudGPT và BruteForceAI như các bộ công cụ tội phạm mạng góp phần vào mức tăng 389% của nạn nhân ransomware được xác nhận trong năm 2025. Nguồn: Fortinet.

Rủi ro chính của WormGPT là gì?

Rủi ro chính là nó làm tấn công social engineering trở nên dễ mở rộng hơn: nội dung lừa đảo có thể được viết trôi chảy, cá nhân hóa và ít dấu hiệu sai sót hơn. Ngoài ra, các malicious LLM còn làm giảm rào cản kỹ năng cho người mới tham gia tội phạm mạng. Nguồn: NCSC, Unit 42.

Nguồn tham khảo chính

1. Fortinet — 2026 Global Threat Landscape Report press release
2. Fortinet — 2026 Global Threat Landscape Report page
3. Unit 42, Palo Alto Networks — The Dual-Use Dilemma of AI: Malicious LLMs
4. UK National Cyber Security Centre — Impact of AI on cyber threat from now to 2027
5. The Hacker News — WormGPT: New AI Tool Allows Cybercriminals to Launch Sophisticated Cyber Attacks
6. BleepingComputer — Cybercriminals train AI chatbots for phishing, malware attacks