Liệu AI trên máy tính có đi kèm với rủi ro?

Ngày 08/03/2025

Trí tuệ nhận tạo (AI) đang dần hiện hữu trên các máy tính gần bạn – Microsoft 365 Copilot, Google Gemini cùng với Project Jarvis và Apple Intelligence, tất cả đều đã hoặc sắp ra mắt. Nhưng những rủi ro đi kèm là gì?

Trí tuệ nhân tạo đã đến các máy tính

Microsoft 365 Coplilot được giới thiệu vào năm ngoái, giờ đây đã hiện hữu rộng rãi. Apple Intelligence vừa chạm tới bản beta chung cho các người dùng thiết bị Mac mới nhất, iPhone, iPad. Và Google Gemini được cho là sẽ sớm có các hành động thông qua trình duyệt Chrome dưới một tính năng agent đang được phát triển có tên là Project Jarvis.

Việc tích hợp các mô hình ngôn ngữ lớn (Large language Model – LLM) sàng lọc các thông tin kinh doanh và cung cấp các kịch bản hành động một cách tự động – được gọi là các khả năng “agentic“ – mang lại nhiều hữa hẹn cho người lao động tri thức tuy nhiên cũng mang lại một số mối lo ngại cho các nhà lãnh đạo doanh nghiệp và các giám đốc an toàn thông tin (CISO). Các công ty đã phải chịu những vấn đề nghiêm trọng liên quan tới việc chia sẻ thông tin quá mức và không giới hạn truy cập, dẫn tới 40% các công ty trì hoãn việc triển khai Microsoft 365 Copilot trong 3 tháng hoặc hơn vì những lo ngại về bảo mật thông tin, theo một cuộc khảo sát của Gartner.

Theo Jim Alkove, giám đốc điều hành Oleria – nền tảng quản lý danh tính và quyền truy cập cho các dịch vụ đám mây cho rằng: phạm vi rộng lớn mà các hệ thống AI trên máy tính cung cấp, kết hợp với thiếu bảo mật thông tin nghiêm ngặt tại nhiều doanh nghiệp dẫn tới các rủi ro gây mất an toàn thông tin.

“Chính sự kết hợp trên thực sự khiến mọi người quan tâm“ cũng theo Jim Alkove. “Những rủi ro này tồn tại lớn trên các mô hình ngôn ngữ bản địa (native language) và khi bạn kết hợp chúng với các loại rủi ro bảo mật runtime mà chúng tôi đang xử lý – và rủi ro về khả năng truy cập thông tin và khả năng kiểm toán – thì cuối cùng nó sẽ có tác động rủi ro cực lớn“.

Trí tuệ nhân tạo trên máy tính có khả năng ra mắt vào năm 2025. Các công ty hiện đang tìm cách nhanh chóng áp dụng Microsoft 365 Copilot và các công nghệ AI trên máy tính khác, nhưng chỉ có 16% đã vượt qua các dự án thí điểm ban đầu để triển khai công nghệ này cho tất cả nhân viên, theo “Tình hình Microsoft 365 Copilot: Kết quả khảo sát” của Gartner. Phần lớn (60%) vẫn đang đánh giá công nghệ trong một dự án thí điểm, trong khi 1/5 doanh nghiệp thậm chí còn chưa đạt đến mức đó và vẫn đang trong giai đoạn lập kế hoạch.

Hầu hết người lao động đều mong muốn có một hệ thống AI trên máy tính hỗ trợ họ thực hiện các công việc hàng ngày. Khoảng 90% người được hỏi tin rằng người dùng sẽ đấu tranh để giữ quyền truy cập vào trợ lý AI của họ và 89% đồng ý rằng công nghệ này đã cải thiện năng suất, cũng theo Gartner.

Mang sự bảo mật tới trợ lý AI

Thật không may, các công nghệ này là hộp đen về mặt kiến trúc và khả năng bảo vệ, và điều đó có nghĩa là chúng thiếu sự đáng tin. Với một trợ lý cá nhân là con người, các công ty có thể kiểm tra lý lịch, hạn chế quyền truy cập vào một số công nghệ nhất định và kiểm tra công việc của họ — các biện pháp không có khả năng kiểm soát tương tự với các hệ thống AI trên máy tính hiện nay, Alkove cho biết. Ông cũng cho biết trợ lý AI — dù ở trên máy tính, trên thiết bị di động hay trên đám mây — sẽ có quyền truy cập vào thông tin nhiều hơn mức cần thiết.

“Nếu bạn nghĩ về việc công nghệ hiện đại được trang bị kém sẽ như thế nào để giải quyết sự thực là trợ lý của tôi phải có thể thực hiện một số tác vụ điện tử nhất định thay mặt tôi, nhưng không có gì khác”, Alkove nói. “Bạn có thể cấp cho trợ lý của mình quyền truy cập vào email và lịch của bạn, nhưng bạn không thể hạn chế trợ lý của mình xem một số email và sự kiện lịch nhất định. Chúng có thể xem mọi thứ”.

Ông cho biết khả năng phân công nhiệm vụ này cần trở thành một phần trong cơ chế bảo mật của trợ lý AI.

Nếu không có thiết kế và biện pháp kiểm soát bảo mật như vậy, rất có thể sẽ xảy ra các cuộc tấn công.

Đầu năm nay, một kịch bản tấn công injection đã nêu rõ những rủi ro đối với doanh nghiệp. Nhà nghiên cứu bảo mật Johann Rehberger phát hiện ra rằng một cuộc tấn công injection gián tiếp thông qua email, tài liệu Word hoặc trang web có thể lừa Microsoft 365 Copilot đóng vai trò là kẻ lừa đảo, trích xuất thông tin cá nhân và tiết lộ thông tin đó cho kẻ tấn công. Rehberger ban đầu đã thông báo cho Microsoft về sự cố này vào tháng 1 và cung cấp thông tin cho công ty trong suốt cả năm. Không rõ liệu Microsoft có bản sửa lỗi toàn diện cho sự cố này hay không.

Khả năng truy cập vào các chức năng của hệ điều hành hoặc thiết bị sẽ khiến trợ lý AI trên máy tính để bàn trở thành mục tiêu khác của những kẻ lừa đảo đang cố gắng khiến người dùng thực hiện hành động. Thay vào đó, giờ đây chúng sẽ tập trung vào việc khiến một LLM thực hiện hành động, Ben Kliger, CEO của Zenity, một công ty bảo mật AI agent, cho biết.

“Một LLM cho họ khả năng làm mọi thứ thay mặt bạn mà không cần bất kỳ sự đồng ý hoặc kiểm soát cụ thể nào”, ông nói. “Rất nhiều cuộc tấn công injection nhanh chóng này đang cố gắng tấn công social engineering hệ thống — cố gắng vượt qua các biện pháp kiểm soát khác mà bạn có trong mạng của mình mà không cần phải tấn công social engineering một người”.

Tầm nhìn vào hộp đen của AI

Hầu hết các công ty đều thiếu tầm nhìn và kiểm soát tính bảo mật của công nghệ AI nói chung. Để kiểm tra công nghệ một cách đầy đủ, các công ty cần có khả năng kiểm tra hệ thống AI đang làm gì, nhân viên tương tác với công nghệ như thế nào và những hành động nào đang được giao cho AI, Kliger cho biết.

“Đây là tất cả những thứ mà tổ chức cần kiểm soát, không phải nền tảng agentic”, ông nói. “Bạn cần phải chia nhỏ nó ra và thực sự xem xét sâu hơn về cách những nền tảng đó thực sự được sử dụng và cách mọi người xây dựng và tương tác với những nền tảng đó”.

Alkove cho biết bước đầu tiên để đánh giá rủi ro của Microsoft 365 Copilot, Project Jarvis của Google, Apple Intelligence và các công nghệ khác là đạt được khả năng hiển thị và áp dụng các biện pháp kiểm soát để hạn chế quyền truy cập của trợ lý AI ở cấp độ chi tiết.

Ông cho biết, thay vì một kho dữ liệu lớn mà hệ thống AI trên máy tính luôn có thể truy cập, các công ty cần có khả năng kiểm soát quyền truy cập của người nhận dữ liệu cuối cùng, vai trò của họ và mức độ nhạy cảm của thông tin.

“Làm thế nào để bạn cấp quyền truy cập vào một phần thông tin và một phần hành động mà bạn thường thực hiện với tư cách cá nhân, cho một agent nào đó và chỉ trong một khoảng thời gian?” Alkove hỏi. “Bạn có thể chỉ muốn agent đó thực hiện hành động một lần hoặc bạn có thể chỉ muốn họ thực hiện trong 24 giờ, do đó, đảm bảo rằng bạn có những biện pháp kiểm soát đó ngay hôm nay là rất quan trọng”.

Về phần mình, Microsoft thừa nhận những thách thức trong quản lý dữ liệu, nhưng cho rằng chúng không phải là mới, chỉ trở nên rõ ràng hơn do sự ra đời của AI.

Người phát ngôn của công ty cho biết trong một tuyên bố: “AI chỉ đơn giản là lời kêu gọi hành động cuối để các doanh nghiệp chủ động quản lý các biện pháp kiểm soát mà chính sách riêng, quy định tuân thủ của ngành và khả năng chịu rủi ro của họ cần thông báo – chẳng hạn như xác định danh tính nhân viên nào sẽ có quyền truy cập vào các loại tệp, không gian làm việc và tài nguyên khác nhau”.

Công ty cho biết Microsoft Purview portal là cách các tổ chức có thể liên tục quản lý danh tính, quyền và các biện pháp kiểm soát khác. Sử dụng cổng thông tin, quản trị viên CNTT có thể giúp bảo mật dữ liệu cho các ứng dụng AI và chủ động giám sát việc sử dụng AI thông qua một vị trí quản lý duy nhất, công ty cho biết. Google từ chối bình luận về AI agent sắp ra mắt của mình.