Trí tuệ nhân tạo (AI) đang trở thành công nghệ mũi nhọn, mở ra cơ hội lớn cho đổi mới sáng tạo và tăng trưởng năng suất. Để phát triển AI một cách bền vững cần tuân thủ các tiêu chuẩn quốc tế để kiểm soát rủi ro, quản lý dữ liệu và theo dõi liên tục.

AI - nhiều tiềm năng nhưng thiếu sản phẩm đột phá

Sự bùng nổ của ChatGPT không chỉ làm thay đổi cách người dùng tương tác với công nghệ, mà còn tạo ra một làn sóng ứng dụng trí tuệ nhân tạo tạo sinh (Generative AI – Gen AI) mạnh mẽ trên toàn cầu, trong đó có Việt Nam. Theo ông Lê Hồng Việt - Tổng Giám đốc FPT Smart Cloud, Gen AI hiện đã đi vào đời sống với tốc độ nhanh chưa từng có, hỗ trợ đắc lực cho các quy trình tự động hóa và gia tăng giá trị thực tiễn cho doanh nghiệp.

“Gen AI đã góp phần làm mờ ranh giới công nghệ, giúp AI trở nên dễ sử dụng hơn với mọi đối tượng từ lập trình viên, nhà phát triển độc lập cho đến các doanh nghiệp vừa và nhỏ. Điều đó mở ra cơ hội rất lớn cho đổi mới sáng tạo tại Việt Nam”, ông Việt nhận định.

Tập trung phát triển AI bền vững, an toàn, bảo mật theo tiêu chuẩn quốc tế. Ảnh minh họa

Thực tế cho thấy, Việt Nam hiện đang ở nhóm trung bình khá trên bản đồ AI toàn cầu, một vị thế tiềm năng nhưng cần một cú huých mạnh để vươn lên. Dù đã có nhiều nỗ lực từ phía các doanh nghiệp trong việc phát triển công nghệ lõi, nhưng các sản phẩm AI có tính phổ biến cao, có khả năng định hình lại thị trường vẫn còn rất hạn chế.

“Thị trường AI Việt cần những sản phẩm đột phá, đó mới là yếu tố quyết định để thu hút nguồn vốn đầu tư và nhân lực chất lượng cao trong và ngoài nước”, ông Việt nhấn mạnh.

Tuy nhiên, phát triển công nghệ chỉ là một mặt của vấn đề. Khi AI trở thành "trợ lý thông minh" trong hàng loạt lĩnh vực, từ chăm sóc khách hàng đến tài chính - ngân hàng, thì yêu cầu đảm bảo an toàn, bảo mật và tuân thủ pháp lý càng trở nên cấp thiết. Một mô hình AI mạnh mẽ nhưng thiếu kiểm soát có thể trở thành rủi ro vận hành nghiêm trọng cho cả hệ thống doanh nghiệp.

Nguy cơ bảo mật bị bỏ ngỏ và bài toán phát triển AI có trách nhiệm

Theo một nghiên cứu do Diễn đàn Kinh tế Thế giới (WEF) và Accenture công bố, có tới 63% doanh nghiệp không tiến hành đánh giá bảo mật trước khi triển khai các công cụ AI. Trong khi đó, báo cáo Quality Transformation 2025 của Công ty Tricentis cho thấy phần lớn các nhóm kỹ thuật ưu tiên tốc độ ra mắt sản phẩm 45% hơn là chất lượng phần mềm 13%, làm tăng nguy cơ xuất hiện lỗ hổng bảo mật nghiêm trọng.

Đáng chú ý, Chỉ số Sẵn sàng An ninh mạng 2025 của Tập đoàn Cisco cho biết, 86% tổ chức được khảo sát đã từng gặp ít nhất một sự cố bảo mật liên quan đến AI trong vòng một năm qua. Tuy nhiên, chỉ 45% doanh nghiệp cảm thấy đủ năng lực và nguồn lực để thực hiện đánh giá bảo mật chuyên sâu.

Theo đó, các chuyên gia từ Tạp chí CSO cảnh báo, có ít nhất 8 rủi ro bảo mật phổ biến nhưng thường bị lãng quên trong quá trình triển khai AI bao gồm:

Một, rò rỉ dữ liệu: AI thường xử lý lượng lớn dữ liệu nhạy cảm. Nếu thiếu kiểm soát, dữ liệu có thể bị rò rỉ qua các kênh như lưu trữ không an toàn, phản hồi API vượt mức hoặc kiểm soát truy cập yếu.

“Nếu không kiểm toán việc xử lý dữ liệu, khả năng rò rỉ thông tin qua đầu ra mô hình, nhật ký hệ thống hoặc dữ liệu huấn luyện là rất cao", ông Peter Garraghan - CEO của công ty bảo mật AI Mindgard cảnh báo.

Hai, lỗ hổng cấp độ mô hình: Các cuộc tấn công như prompt injection (tấn công tiêm mã nhanh), jailbreak (quá trình khai thác các lỗi của một thiết bị điện tử bị khóa để cài đặt phần mềm khác với phần mềm mà nhà sản xuất đã cung cấp cho thiết bị đó) hay chaining (tấn công mạng kết hợp nhiều lỗ hổng hoặc cách khai thác khác nhau để xâm nhập và tấn công mục tiêu từ cấp độ gốc) có thể lợi dụng các điểm yếu trong cơ chế điều chỉnh mô hình để vượt qua giới hạn hoặc chiếm quyền điều khiển đầu ra.

Ba, tấn công thao túng mô hình: Nếu dữ liệu đầu vào bị điều chỉnh hoặc dữ liệu huấn luyện bị nhiễm độc, mô hình AI có thể đưa ra quyết định sai lệch.

“Kẻ tấn công có thể sử dụng dữ liệu độc hại để đánh lừa AI, từ đó thao túng quyết định,” ông Jano Bermudes - Giám đốc vận hành (COO) của Công ty tư vấn an ninh mạng CyXcel, nhận định.

Bốn, rủi ro trong tích hợp hệ thống: Việc tích hợp AI vào hệ sinh thái ứng dụng qua API (Giao diện lập trình ứng dụng) hoặc plugin (một phần mềm hoặc chương trình bổ trợ được thiết kế để mở rộng chức năng của một ứng dụng hoặc trang web hiện có) nếu không được kiểm thử đúng cách có thể mở ra lỗ hổng bảo mật nghiêm trọng, bao gồm cả leo thang đặc quyền và tấn công qua dữ liệu tuần tự.

Năm, lỗi kiểm soát truy cập: Kết nối sai cấu hình có thể khiến AI cấp quyền truy cập ngoài ý muốn, điển hình là rò rỉ API key (khóa giao diện lập trình ứng dụng) hoặc thiếu giám sát truy cập.

Sáu, lỗi thời gian chạy (runtime): Một số lỗ hổng như logic bị phá vỡ hoặc tràn ngữ cảnh chỉ xuất hiện trong quá trình AI vận hành thực tế, khiến chúng khó bị phát hiện trong các giai đoạn kiểm thử truyền thống.

Bảy, vi phạm quy định pháp lý: Các công cụ AI có thể tự động xử lý dữ liệu cá nhân hoặc vượt quá phạm vi cho phép, dẫn đến vi phạm các quy định như GDPR (Quy định bảo vệ dữ liệu chung) hoặc các luật về an toàn thông tin.

Tám, tác động vận hành rộng hơn: “Những lỗ hổng kỹ thuật nếu không được xử lý có thể trở thành rủi ro vận hành, ảnh hưởng đến toàn bộ tổ chức”, ông Garraghan nhận xét.

Trong khi đó, Giám đốc Sản phẩm tại ISMS.online Sam Peters cho biết, các doanh nghiệp thường xuyên bỏ qua ba điểm cốt lõi: toàn vẹn mô hình, quyền riêng tư dữ liệu và lỗ hổng trong quản trị. “Đây không còn là rủi ro tiềm năng - chúng đang xảy ra hàng ngày", ông nói thêm.

Trong bối cảnh các bộ phận an ninh thông tin ngày càng chịu áp lực phải triển khai công nghệ mới trong thời gian ngắn, chuyên gia James Lei từ Sparrow cảnh báo rằng việc kiểm thử AI cần được đối xử nghiêm túc như với một phần mềm có rủi ro cao. Theo ông, các doanh nghiệp cần chủ động tiến hành kiểm thử xâm nhập để mô phỏng các cuộc tấn công có thể xảy ra và phát hiện điểm yếu trong hệ thống. Đồng thời, cần đánh giá thiên vị và công bằng nhằm đảm bảo mô hình đưa ra quyết định chính xác, khách quan và không phân biệt đối xử theo bất kỳ tiêu chí nào. Bên cạnh đó, việc kiểm tra tuân thủ cũng rất quan trọng để chắc chắn rằng công cụ AI đáp ứng đầy đủ các tiêu chuẩn pháp lý và quy tắc đạo đức hiện hành.

Ngoài các biện pháp trên, chuyên gia cũng khuyến nghị tổ chức áp dụng các khung kiểm thử chuyên biệt cho AI, bao gồm: phân tích tĩnh mô hình (static analysis) để đánh giá cấu trúc và logic nội tại của mô hình; fuzz testing - kỹ thuật tự động đưa dữ liệu không hợp lệ, không mong muốn hoặc ngẫu nhiên vào hệ thống để phát hiện các điểm dễ tổn thương; mô phỏng tấn công ở lớp tích hợp nhằm kiểm tra tính bảo mật của toàn hệ thống sau khi triển khai AI; và giám sát hành vi theo thời gian thực để phát hiện sớm các dấu hiệu bất thường trong quá trình vận hành. Đây là những bước đi thiết yếu để xây dựng một hệ sinh thái AI an toàn, đáng tin cậy và bền vững.

Theo ông Peters, tiêu chuẩn quốc tế mới ISO/IEC 42001 sẽ là công cụ hữu ích giúp DN thiết lập một khung quản trị AI bền vững, bao gồm kiểm soát rủi ro, quản lý dữ liệu và theo dõi liên tục.

Nguồn: vietq.vn