Nguy hiểm không phải là các AI agents có những ngày làm việc tồi tệ — mà là chúng không bao giờ có. Chúng thực hiện công việc một cách trung thành, ngay cả khi điều chúng đang thực hiện là một sai lầm. Một sai sót nhỏ trong logic hoặc quyền truy cập có thể biến một hệ thống tự động hóa hoàn hảo thành một thảm họa không thể vãn hồi.
Đây không phải là viễn cảnh giả tưởng kiểu dystopia — mà là thực tế đang diễn ra hàng ngày tại các văn phòng. Chúng ta đã bước vào một giai đoạn mới, nơi các AI agents tự trị hoạt động với các đặc quyền hệ thống nghiêm trọng. Chúng thực thi mã, xử lý các tác vụ phức tạp và truy cập dữ liệu nhạy cảm với quyền tự chủ chưa từng có. Chúng không ngủ, không đặt câu hỏi và không phải lúc nào cũng chờ đợi sự cho phép.
Điều đó thật mạnh mẽ. Nhưng cũng đầy rủi ro. Bởi vì các mối đe dọa enterprise ngày nay đã vượt xa các chiêu trò lừa đảo phishing và malware thông thường. Chu vi bảo mật hiện đại? Tất cả là về quản lý danh tính (identity management). Đây là câu hỏi triệu đô mà mọi CISO nên đặt ra: Ai hoặc cái gì có quyền truy cập vào các hệ thống quan trọng của bạn, bạn có thể bảo mật và quản lý quyền truy cập đó không, và bạn có thực sự chứng minh được điều đó không?
Danh tính đã trở thành chu vi bảo mật mới như thế nào
Bạn có nhớ các mô hình bảo mật kiểu cũ được xây dựng xung quanh firewalls và endpoint protection không? Chúng từng phục vụ tốt mục đích của mình — nhưng chúng không được thiết kế cho các mối đe dọa phân tán, dựa trên danh tính mà chúng ta phải đối mặt ngày nay. Danh tính đã trở thành điểm kiểm soát trung tâm, tạo ra các kết nối phức tạp giữa người dùng, hệ thống và kho dữ liệu. Báo cáo SailPoint Horizons of Identity Security 2025-2026 chỉ ra rằng quản lý danh tính đã phát triển từ một kiểm soát hậu cần thành yếu tố cốt lõi, cực kỳ quan trọng đối với enterprise hiện đại.
Sự bùng nổ của các AI agents, hệ thống tự động hóa và danh tính phi con người đã làm mở rộng đáng kể attack surfaces của chúng ta. Các thực thể này hiện là các attack vectors chính. Đây là một thực tế đáng lo ngại: Ít hơn 4 trên 10 AI agents được quản lý bởi các chính sách bảo mật danh tính, tạo ra một khoảng trống đáng kể trong các khung bảo mật enterprise. Các tổ chức thiếu tầm nhìn toàn diện về danh tính? Họ không chỉ dễ bị tấn công — họ còn là những con mồi dễ dàng (sitting ducks).
Mỏ vàng chiến lược của bảo mật danh tính trưởng thành
Nhưng đây là điểm thú vị. Mặc dù có những thách thức ngày càng tăng này, vẫn có một cơ hội lớn cho các tổ chức thực hiện đúng bảo mật danh tính. Báo cáo Horizons of Identity Security tiết lộ một điều hấp dẫn: Các tổ chức luôn đạt được ROI cao nhất từ các chương trình bảo mật danh tính so với mọi lĩnh vực bảo mật khác. Họ xếp hạng Identity and Access Management (IAM) là khoản đầu tư bảo mật có ROI hàng đầu với tỷ lệ gấp đôi so với các danh mục bảo mật khác.
Tại sao? Bởi vì bảo mật danh tính trưởng thành thực hiện hai nhiệm vụ cùng lúc — nó ngăn chặn các breaches đồng thời thúc đẩy hiệu quả hoạt động và kích hoạt các khả năng kinh doanh mới. Các tổ chức có chương trình danh tính trưởng thành, đặc biệt là những tổ chức sử dụng các khả năng điều khiển bằng AI và đồng bộ hóa dữ liệu danh tính theo thời gian thực, cho thấy mức tiết kiệm chi phí và giảm rủi ro tốt hơn đáng kể. Các tổ chức trưởng thành có khả năng có các khả năng hỗ trợ AI như Identity Threat Detection and Response cao gấp bốn lần.
Khoảng cách lớn về bảo mật danh tính
Đây là điểm đáng lo ngại: Có một khoảng cách ngày càng lớn giữa các tổ chức với chương trình danh tính trưởng thành và những tổ chức vẫn đang tụt hậu. Báo cáo Horizons of Identity Security chỉ ra rằng 63% các tổ chức đang bị mắc kẹt ở giai đoạn đầu của sự trưởng thành bảo mật danh tính (Horizons 1 hoặc 2). Các tổ chức này không chỉ bỏ lỡ cơ hội — họ còn phải đối mặt với nhiều rủi ro hơn trước các mối đe dọa hiện đại.
Khoảng cách này ngày càng nới rộng bởi vì tiêu chuẩn không ngừng tăng lên. Khung 2025 đã bổ sung bảy yêu cầu về khả năng mới để giải quyết các threat vectors đang nổi lên. Các tổ chức không nâng cao khả năng danh tính của mình không chỉ dậm chân tại chỗ — mà thực tế là họ đang lùi lại phía sau. Các tổ chức trải qua tình trạng thoái hóa khả năng cho thấy tỷ lệ áp dụng quản lý danh tính cho AI agents thấp hơn đáng kể.
Thách thức này không chỉ dừng lại ở công nghệ. Chỉ 25% các tổ chức coi IAM là một yếu tố chiến lược thúc đẩy kinh doanh — phần còn lại xem nó như một yêu cầu kiểm tra bảo mật hoặc tuân thủ đơn thuần. Quan điểm hạn hẹp này hạn chế nghiêm trọng tiềm năng chuyển đổi và khiến các tổ chức dễ bị tổn thương trước các cuộc tấn công tinh vi.
Đã đến lúc nhìn vào thực tế
Bối cảnh threat landscape đang phát triển với tốc độ chóng mặt, với mức độ rủi ro chưa từng có trên tất cả các lĩnh vực. Bảo mật danh tính đã phát triển từ một thành phần bảo mật thông thường thành cốt lõi của bảo mật enterprise. Các tổ chức cần đánh giá trung thực sự sẵn sàng của mình trong việc quản lý triển khai AI agent rộng rãi và quyền truy cập hệ thống tự động.
Việc đánh giá chủ động về tình hình bảo mật danh tính hiện tại của bạn cung cấp cái nhìn sâu sắc quan trọng về sự sẵn sàng của tổ chức và vị thế cạnh tranh.
Sẵn sàng tìm hiểu sâu hơn? Hãy xem toàn bộ phân tích và các khuyến nghị chiến lược trong Báo cáo SailPoint Horizons of Identity Security 2025-2026.
