Khi các AI copilot và trợ lý ngày càng được tích hợp vào công việc hàng ngày, các đội ngũ bảo mật vẫn tập trung vào việc bảo vệ chính các mô hình. Tuy nhiên, các sự cố gần đây cho thấy rủi ro lớn hơn nằm ở một nơi khác: trong các quy trình làm việc (workflows) xung quanh các mô hình đó.
Hai tiện ích mở rộng của Chrome mạo danh là công cụ hỗ trợ AI gần đây đã bị phát hiện đánh cắp dữ liệu trò chuyện của ChatGPT và DeepSeek từ hơn 900.000 người dùng. Riêng biệt, các nhà nghiên cứu đã chứng minh cách các prompt injections ẩn trong các kho mã có thể lừa trợ lý mã hóa AI của IBM thực thi malware trên máy tính của nhà phát triển.
Cả hai cuộc tấn công đều không phá vỡ các thuật toán AI.
Chúng đã khai thác ngữ cảnh mà AI hoạt động. Đó là mô hình đáng chú ý. Khi các hệ thống AI được nhúng vào các quy trình kinh doanh thực tế, tóm tắt tài liệu, soạn thảo email và lấy dữ liệu từ các công cụ nội bộ, chỉ bảo mật mô hình thôi là chưa đủ. Chính quy trình làm việc trở thành mục tiêu.
Mô Hình AI Đang Trở Thành Công Cụ Quản Lý Quy Trình
Để hiểu tại sao điều này lại quan trọng, hãy xem xét cách AI đang thực sự được sử dụng ngày nay:
Các doanh nghiệp hiện đang dựa vào AI để kết nối các ứng dụng và tự động hóa các tác vụ trước đây được thực hiện thủ công. Một trợ lý viết AI có thể lấy một tài liệu bảo mật từ SharePoint và tóm tắt nó trong một bản nháp email. Một chatbot bán hàng có thể đối chiếu các bản ghi CRM nội bộ để trả lời câu hỏi của khách hàng. Mỗi kịch bản này làm mờ ranh giới giữa các ứng dụng, tạo ra các con đường tích hợp mới một cách linh hoạt.
Điều làm cho điều này trở nên rủi ro là cách các tác nhân AI hoạt động. Chúng dựa vào việc ra quyết định mang tính xác suất thay vì các quy tắc được mã hóa cứng, tạo ra đầu ra dựa trên các mẫu và ngữ cảnh. Một đầu vào được viết cẩn thận có thể thúc đẩy AI làm điều gì đó mà các nhà thiết kế của nó không bao giờ mong muốn, và AI sẽ tuân thủ vì nó không có khái niệm gốc về ranh giới tin cậy.
Điều này có nghĩa là bề mặt tấn công bao gồm mọi đầu vào, đầu ra và điểm tích hợp mà mô hình chạm tới.
Việc hack mã của mô hình trở nên không cần thiết khi kẻ tấn công có thể chỉ đơn giản là thao túng ngữ cảnh mà mô hình nhìn thấy hoặc các kênh mà nó sử dụng. Các sự cố được mô tả trước đó minh họa điều này: prompt injections ẩn trong các kho lưu trữ chiếm quyền điều khiển hành vi AI trong các tác vụ thường xuyên, trong khi các tiện ích mở rộng độc hại hút dữ liệu từ các cuộc trò chuyện AI mà không bao giờ chạm vào mô hình.
Vì Sao Các Biện Pháp Bảo Mật Truyền Thống Thất Bại?
Những mối đe dọa từ quy trình làm việc này đã phơi bày một điểm mù trong bảo mật truyền thống. Hầu hết các biện pháp phòng thủ cũ được xây dựng cho phần mềm xác định, vai trò người dùng ổn định và các ranh giới rõ ràng. Các quy trình làm việc được điều khiển bởi AI đã phá vỡ cả ba giả định này.
- Hầu hết các ứng dụng thông thường phân biệt giữa mã đáng tin cậy và đầu vào không đáng tin cậy. Các mô hình AI thì không. Đối với chúng, mọi thứ chỉ là văn bản, vì vậy một lệnh độc hại được ẩn trong tệp PDF trông không khác gì một lệnh hợp lệ. Input validation truyền thống không giúp ích vì payload không phải là mã độc hại. Nó chỉ là ngôn ngữ tự nhiên.
- Giám sát truyền thống phát hiện các bất thường rõ ràng như tải xuống hàng loạt hoặc đăng nhập đáng ngờ. Nhưng một AI đọc hàng nghìn bản ghi như một phần của truy vấn thông thường trông giống như lưu lượng truy cập dịch vụ-sang-dịch vụ bình thường. Nếu dữ liệu đó được tóm tắt và gửi cho kẻ tấn công, về mặt kỹ thuật, không có quy tắc nào bị vi phạm.
- Hầu hết các chính sách bảo mật chung quy định những gì được phép hoặc bị chặn: không cho phép người dùng này truy cập tệp đó, chặn lưu lượng truy cập đến máy chủ này. Nhưng hành vi của AI phụ thuộc vào ngữ cảnh. Làm thế nào bạn có thể viết một quy tắc nói "không bao giờ tiết lộ dữ liệu khách hàng trong đầu ra"?
- Các chương trình bảo mật dựa vào các đánh giá định kỳ và cấu hình cố định, như kiểm toán hàng quý hoặc quy tắc tường lửa. Các quy trình làm việc của AI không tĩnh. Một tích hợp có thể có được các khả năng mới sau khi cập nhật hoặc kết nối với một nguồn dữ liệu mới. Đến thời điểm đánh giá hàng quý diễn ra, một token có thể đã bị rò rỉ.
Bảo Mật Các Quy Trình Làm Việc Được Hỗ Trợ Bởi AI
Vì vậy, một cách tiếp cận tốt hơn cho tất cả những điều này là coi toàn bộ quy trình làm việc là thứ bạn đang bảo vệ, chứ không chỉ riêng mô hình.
- Bắt đầu bằng cách hiểu rõ AI đang thực sự được sử dụng ở đâu, từ các công cụ chính thức như Microsoft 365 Copilot đến các browser extensions mà nhân viên có thể tự cài đặt. Nắm rõ dữ liệu mà mỗi hệ thống có thể truy cập và các hành động mà nó có thể thực hiện. Nhiều tổ chức ngạc nhiên khi tìm thấy hàng chục dịch vụ shadow AI đang hoạt động trong toàn doanh nghiệp.
- Nếu một trợ lý AI chỉ nhằm mục đích tóm tắt nội bộ, hãy hạn chế nó gửi email ra bên ngoài. Quét các đầu ra để tìm dữ liệu nhạy cảm trước khi chúng rời khỏi môi trường của bạn. Các guardrails này nên nằm ngoài chính mô hình, trong middleware kiểm tra các hành động trước khi chúng được thực hiện.
- Đối xử với các tác nhân AI như bất kỳ người dùng hoặc dịch vụ nào khác. Nếu một AI chỉ cần quyền đọc đối với một hệ thống, đừng cấp cho nó quyền truy cập tổng quát vào mọi thứ. Giới hạn các OAuth tokens ở các quyền tối thiểu cần thiết và giám sát các bất thường như một AI đột nhiên truy cập dữ liệu mà nó chưa bao giờ chạm tới trước đây.
- Cuối cùng, việc giáo dục người dùng về rủi ro của các browser extensions không được kiểm duyệt hoặc sao chép prompts từ các nguồn không xác định cũng rất hữu ích. Kiểm tra các plugins của bên thứ ba trước khi triển khai và coi bất kỳ công cụ nào chạm vào đầu vào hoặc đầu ra của AI là một phần của chu vi bảo mật.
Các Nền Tảng Như Reco Có Thể Giúp Ích Như Thế Nào?
Trong thực tế, việc thực hiện tất cả những điều này một cách thủ công sẽ không hiệu quả. Đó là lý do tại sao một danh mục công cụ mới đang nổi lên: các nền tảng bảo mật SaaS năng động. Các nền tảng này hoạt động như một lớp bảo vệ (guardrail) theo thời gian thực trên các quy trình làm việc được hỗ trợ bởi AI, tìm hiểu hành vi bình thường trông như thế nào và gắn cờ các bất thường khi chúng xảy ra.
Reco là một ví dụ điển hình.
Như đã trình bày ở trên, nền tảng này cung cấp cho các đội ngũ bảo mật khả năng hiển thị về việc sử dụng AI trong toàn tổ chức, làm nổi bật các ứng dụng AI tạo sinh nào đang được sử dụng và cách chúng được kết nối. Từ đó, bạn có thể thực thi các guardrails ở cấp độ quy trình làm việc, phát hiện hành vi rủi ro theo thời gian thực và duy trì kiểm soát mà không làm chậm hoạt động kinh doanh.
