Key Takeaways
- Trí tuệ nhân tạo (AI) mang lại nhiều lợi ích nhưng cũng làm gia tăng rủi ro an ninh mạng, tạo ra thách thức lớn cho các tổ chức.
- Tốc độ triển khai AI vượt xa khả năng bảo mật, dẫn đến khoảng cách lớn giữa ứng dụng và sự chuẩn bị về an ninh.
- Hạ tầng và chuỗi cung ứng AI trở thành mục tiêu tấn công, với các lỗ hổng như xâm phạm NVIDIA Container Toolkit và kỹ thuật “Sleepy Pickle”.
- Các kỹ thuật tấn công chuyên biệt như prompt injection, jailbreaking và training data extraction nhắm trực tiếp vào “bộ não” AI, gây nguy cơ rò rỉ dữ liệu và hành vi sai lệch.
- AI không chỉ là mục tiêu mà còn là công cụ cho tội phạm mạng, với sự xuất hiện của các công cụ AI độc hại như “DarkGPT”, đòi hỏi các tổ chức phải quản lý rủi ro xuyên suốt vòng đời AI và tăng cường các biện pháp an ninh mạng.
Trí tuệ nhân tạo (AI) đang len lỏi vào mọi ngóc ngách của đời sống và hoạt động kinh doanh, mang theo những hứa hẹn về một cuộc cách mạng công nghệ. Tuy nhiên, đằng sau bức tranh hào nhoáng đó, một “bóng ma” mang tên rủi ro an ninh mạng đang ngày một lớn dần, đặt ra thách thức không nhỏ cho các tổ chức. Báo cáo mới nhất của Cisco mang tên “State of AI Security in 2025” đã gióng lên hồi chuông cảnh báo về thực trạng này.
Hiện trạng đáng báo động: AI bùng nổ, an ninh “thả nổi”?
Năm 2024 chứng kiến một cuộc chạy đua vũ trang công nghệ AI, nơi tốc độ triển khai dường như bỏ xa khả năng bảo mật của nhiều doanh nghiệp. Theo báo cáo của Cisco, khoảng 72% tổ chức đã tích hợp AI vào các hoạt động kinh doanh, một con số ấn tượng. Thế nhưng, chỉ có một tỷ lệ khiêm tốn 13% cảm thấy hoàn toàn sẵn sàng để khai thác tiềm năng của AI một cách an toàn.
Khoảng cách đáng lo ngại giữa tốc độ ứng dụng và sự chuẩn bị về an ninh này chủ yếu xuất phát từ những lo ngại về bảo mật, vốn vẫn là rào cản chính kìm hãm việc triển khai AI rộng rãi hơn trong doanh nghiệp. Điều đáng nói, AI không chỉ kế thừa các mối đe dọa truyền thống mà còn “sản sinh” ra những loại hình tấn công mới, phức tạp hơn, khiến các biện pháp an ninh mạng hiện tại trở nên lỗi thời. Khác với việc bảo vệ các hệ thống tĩnh, AI mang đến những mối đe dọa động và có khả năng thích ứng, khó lường hơn rất nhiều.
“Gót chân Achilles” từ hạ tầng và chuỗi cung ứng AI
Báo cáo của Cisco đặc biệt nhấn mạnh vào các mối đe dọa mới nổi mà tổ chức cần phải cảnh giác cao độ.
Đầu tiên, hạ tầng AI đã trở thành mục tiêu hàng đầu của giới tội phạm mạng. Một ví dụ điển hình là vụ xâm phạm NVIDIA Container Toolkit, cho phép kẻ tấn công truy cập hệ thống tệp, thực thi mã độc và leo thang đặc quyền. Tương tự, Ray, một framework AI mã nguồn mở cho quản lý GPU, cũng đã bị xâm phạm trong một trong những cuộc tấn công framework AI thực tế đầu tiên. Những sự cố này cho thấy điểm yếu trong hạ tầng AI có thể gây ảnh hưởng sâu rộng đến nhiều người dùng và hệ thống.
Bên cạnh đó, lỗ hổng trong chuỗi cung ứng AI cũng là một mối lo ngại nghiêm trọng. Khoảng 60% tổ chức phụ thuộc vào các thành phần hoặc hệ sinh thái AI mã nguồn mở. Điều này tạo ra rủi ro lớn khi kẻ tấn công có thể xâm nhập vào các công cụ được sử dụng rộng rãi này. Báo cáo đề cập đến một kỹ thuật tinh vi mang tên “Sleepy Pickle“, cho phép đối thủ giả mạo các mô hình AI ngay cả sau khi chúng đã được phân phối, khiến việc phát hiện trở nên vô cùng khó khăn.
Những đòn hiểm nhắm thẳng vào “bộ não” AI
Không dừng lại ở đó, các kỹ thuật tấn công chuyên biệt nhắm vào AI đang phát triển với tốc độ chóng mặt. Những phương thức như prompt injection (tiêm lệnh độc hại), jailbreaking (bẻ khóa), và training data extraction (trích xuất dữ liệu huấn luyện) cho phép kẻ tấn công vượt qua các biện pháp kiểm soát an toàn và truy cập thông tin nhạy cảm chứa trong bộ dữ liệu huấn luyện. Đây thực sự là những đòn tấn công trực diện vào “bộ não” của AI.
Giải mã các “chiêu thức” tấn công tinh vi vào hệ thống AI
Báo cáo của Cisco đã làm sáng tỏ sự xuất hiện của các vector tấn công mà tội phạm mạng sử dụng để khai thác điểm yếu trong hệ thống AI. Những cuộc tấn công này có thể xảy ra ở nhiều giai đoạn khác nhau của vòng đời AI, từ thu thập dữ liệu, huấn luyện mô hình cho đến triển khai và suy luận. Mục tiêu thường là khiến AI hoạt động theo những cách không mong muốn, làm rò rỉ dữ liệu riêng tư hoặc thực hiện các hành động có hại.
Trong những năm gần đây, các phương thức tấn công này ngày càng trở nên tinh vi và khó bị phát hiện hơn. Báo cáo của Cisco nêu bật một số loại vector tấn công nguy hiểm:
“Bẻ khóa” (Jailbreaking): Khi AI ngoan ngoãn “nghe lời” kẻ xấu
Kỹ thuật Jailbreaking liên quan đến việc tạo ra các “câu lệnh đối nghịch” (adversarial prompts) nhằm qua mặt các biện pháp an toàn được tích hợp sẵn của mô hình. Bất chấp những cải tiến trong cơ chế phòng thủ của AI, nghiên cứu của Cisco cho thấy ngay cả những kỹ thuật “bẻ khóa” đơn giản vẫn tỏ ra hiệu quả đối với các mô hình tiên tiến như DeepSeek R1. Điều này cho thấy AI, dù thông minh đến đâu, vẫn có thể bị “dẫn dắt” để phục vụ mục đích xấu.
“Tiêm mã độc gián tiếp” (Indirect Prompt Injection): Nguy hiểm từ những nguồn không ngờ
Khác với các cuộc tấn công trực tiếp, vector tấn công Indirect Prompt Injection liên quan đến việc thao túng dữ liệu đầu vào hoặc ngữ cảnh mà mô hình AI sử dụng một cách gián tiếp. Kẻ tấn công có thể cung cấp các tài liệu nguồn đã bị xâm phạm, chẳng hạn như tệp PDF hoặc trang web độc hại, khiến AI tạo ra các kết quả không mong muốn hoặc có hại. Những cuộc tấn công này đặc biệt nguy hiểm vì chúng không yêu cầu quyền truy cập trực tiếp vào hệ thống AI, cho phép kẻ tấn công vượt qua nhiều lớp phòng thủ truyền thống.
“Móc túi” dữ liệu huấn luyện và “đầu độc” mô hình: Nguy cơ tiềm ẩn khôn lường
Các nhà nghiên cứu của Cisco đã chứng minh rằng chatbot có thể bị lừa để tiết lộ một phần dữ liệu huấn luyện của chúng. Phát hiện này đặt ra những lo ngại nghiêm trọng về quyền riêng tư dữ liệu, sở hữu trí tuệ và tuân thủ quy định.
Nguy hiểm hơn, kẻ tấn công còn có thể “đầu độc” dữ liệu huấn luyện (Training Data Poisoning) bằng cách tiêm các đầu vào độc hại. Đáng báo động
