[Webinar] Bảo mật AI Agent: Từ MCPs và Quyền truy cập công cụ đến Sự lây lan của Shadow API Key

Các AI agent không còn chỉ viết mã. Chúng đang thực thi mã. Các công cụ như Copilot, Claude Code và Codex giờ đây có thể xây dựng, kiểm thử và triển khai phần mềm từ đầu đến cuối chỉ trong vài phút. Tốc độ này đang định hình lại ngành kỹ thuật — nhưng nó cũng tạo ra một lỗ hổng bảo mật mà hầu hết các nhóm không nhận ra cho đến khi có sự cố xảy ra. Đằng sau mỗi quy trình làm việc của AI agent là một lớp mà ít tổ chức chủ động bảo mật: Machine Control.
Hình ảnh minh họa AI agent

Các AI agent không còn chỉ viết mã. Chúng đang thực thi mã.

Các công cụ như Copilot, Claude Code và Codex giờ đây có thể xây dựng, kiểm thử và triển khai phần mềm từ đầu đến cuối chỉ trong vài phút. Tốc độ này đang định hình lại ngành kỹ thuật — nhưng nó cũng tạo ra một lỗ hổng bảo mật mà hầu hết các nhóm không nhận ra cho đến khi có sự cố xảy ra.

Đằng sau mỗi quy trình làm việc của AI agent là một lớp mà ít tổ chức chủ động bảo mật: Machine Control Protocols (MCPs). Các hệ thống này âm thầm quyết định AI agent có thể chạy gì, gọi công cụ nào, truy cập API nào và tiếp xúc với hạ tầng nào. Khi lớp kiểm soát đó bị xâm phạm hoặc cấu hình sai, agent không chỉ mắc lỗi — nó hành động với quyền hạn đầy đủ.

Hãy hỏi các nhóm bị ảnh hưởng bởi CVE-2025-6514. Một lỗ hổng đã biến một OAuth proxy đáng tin cậy được hơn 500.000 nhà phát triển sử dụng thành một đường dẫn remote code execution. Không có chuỗi exploit phức tạp. Không có vi phạm ồn ào. Chỉ là tự động hóa thực hiện chính xác những gì nó được phép làm — ở quy mô lớn. Sự cố đó đã làm rõ một điều: nếu một AI agent có thể thực thi lệnh, nó cũng có thể thực hiện các cuộc tấn công.

Webinar này dành cho các nhóm muốn phát triển nhanh mà không mất đi quyền kiểm soát.

Bảo đảm vị trí của bạn cho phiên trực tiếp ➜

Được dẫn dắt bởi tác giả của whitepaper OpenID Identity Management for Agentic AI, phiên này đi thẳng vào các rủi ro cốt lõi mà các nhóm bảo mật đang phải đối mặt từ việc áp dụng AI agent. Bạn sẽ thấy cách các máy chủ MCP thực sự hoạt động trong môi trường thực tế, nơi các shadow API keys xuất hiện, cách quyền hạn âm thầm mở rộng và tại sao các mô hình danh tính và truy cập truyền thống lại không hiệu quả khi các agent hành động thay mặt bạn.

Bạn sẽ học được:

  • MCP servers là gì và tại sao chúng quan trọng hơn chính mô hình
  • Cách các MCPs độc hại hoặc bị xâm phạm biến tự động hóa thành một bề mặt tấn công
  • Nguồn gốc của shadow API keys — và cách phát hiện cũng như loại bỏ chúng
  • Cách kiểm tra hành động của agent và thực thi chính sách trước khi triển khai
  • Các biện pháp kiểm soát thực tế để bảo mật AI agent mà không làm chậm quá trình phát triển
Hình ảnh minh họa bảo mật AI

AI agent đã có mặt trong pipeline của bạn. Câu hỏi duy nhất là liệu bạn có thể thấy nó đang làm gì — và ngăn chặn nó khi nó đi quá xa hay không.

Đăng ký tham gia webinar trực tiếp và lấy lại quyền kiểm soát AI stack của bạn trước khi sự cố tiếp theo xảy ra.

Đăng ký Webinar ➜

Thẻ liên quan
#AI security #Agentic AI #MCPs #API keys #CVE