Quang Trương
Pearl
Khi doanh nghiệp Việt Nam đua nhau dùng AI để nhanh hơn, liệu chúng ta có đang vô tình mở thêm những cánh cửa mà chính mình không nhìn thấy?
Lý do nằm ở bề mặt tấn công bên ngoài, tức toàn bộ những gì doanh nghiệp vô tình phơi bày ra internet. Không chỉ là website hay hệ thống chính thức, mà còn là các tên miền bị quên, máy chủ thử nghiệm, API, tài nguyên đám mây, tích hợp bên thứ ba mà nội bộ thậm chí không biết là mình đang có.
Quản lý bề mặt tấn công bên ngoài, hay EASM, về bản chất chỉ là một thói quen rất căn bản: internet đang nhìn thấy bạn vận hành những gì, và trong số đó có bao nhiêu thứ đang yếu, đang hở, đang bị bỏ quên. Nghe đơn giản, nhưng thực tế thì đa số tổ chức không có nổi một danh sách đầy đủ về tài sản lộ ra ngoài. Và kẻ tấn công thì gần như luôn tìm ra các điểm đó trước đội phòng thủ.
Vấn đề cốt lõi của an ninh mạng chưa bao giờ thay đổi: kẻ xấu chỉ cần đúng một lần, còn người phòng thủ phải đúng mọi lúc. EASM không giúp xóa sạch rủi ro, mà giúp nhìn rõ rủi ro để biết cái nào cần xử lý trước, cái nào chấp nhận được, cái nào có thể chờ. Nó giống như việc biết rõ nước đang rò ở đâu trên con đê, để bịt đúng chỗ, trước khi vỡ.
Bề mặt tấn công không ngừng mở rộng không phải vì doanh nghiệp bất cẩn, mà vì cách kinh doanh hiện đại buộc họ phải nhanh. Đám mây, làm việc từ xa, SaaS, API, IoT, CI/CD, tích hợp đối tác… mọi thứ đều được triển khai nhanh hơn rất nhiều so với khả năng theo dõi và bảo mật.
Các nhóm phát triển tạo môi trường riêng để thử nghiệm, các phòng ban tự dùng công cụ mới để tăng hiệu suất, các nhà thầu được cấp quyền tạm thời rồi… quên thu hồi. Kết quả là một hệ sinh thái tài nguyên “bóng”, tồn tại thật, kết nối thật, nhưng không ai chịu trách nhiệm.
Trớ trêu nhất là phần rủi ro lớn nhất lại nằm ngoài tầm kiểm soát trực tiếp của doanh nghiệp. Đó là các bên thứ ba và đối tác chuỗi cung ứng. Hãy tưởng tượng một công ty kết nối dữ liệu với vài trăm đối tác. Mỗi đối tác đó đều bị quét, bị dò, bị tấn công mỗi ngày. Chỉ cần một mắt xích yếu, kẻ tấn công có thể lần ngược vào bạn thông qua con đường đáng tin cậy sẵn có.
AI khiến bài toán này nguy hiểm hơn. Các nhóm tấn công giờ đây có thể dùng AI để lập danh sách các mối quan hệ tin cậy của một doanh nghiệp, theo dõi chúng gần như theo thời gian thực, và lựa chọn chính xác con đường tấn công có xác suất thành công cao nhất.
Hai yếu tố khác cũng làm bề mặt tấn công nở nhanh là các thương vụ mua bán sáp nhập và việc áp dụng AI một cách vội vã. Sau M&A, hệ thống chồng chéo, tích hợp chậm, ưu tiên tài chính đi trước an ninh. Còn với AI, rất nhiều công ty đang triển khai công cụ mà không rõ dữ liệu đi đâu, mô hình được huấn luyện thế nào, và bao nhiêu nhân viên đang âm thầm tải dữ liệu nội bộ lên các nền tảng AI phổ thông.
Shadow AI trong marketing có thể chỉ tạo ra nội dung không được duyệt. Nhưng shadow AI trong phát triển thì khác, nó có thể chạm vào mã nguồn, hệ thống sản xuất, hạ tầng cốt lõi. Một tác nhân AI bị xâm nhập ở giai đoạn phát triển không chỉ làm lộ dữ liệu, mà còn có thể cài cửa hậu vào toàn bộ sản phẩm.
MCP, các máy chủ giao thức ngữ cảnh mô hình, trở thành điểm mù nguy hiểm. Chúng cho phép AI truy cập sâu với đặc quyền cao, nhưng lại thường không được giám sát, không ghi log, không kiểm soát vòng đời. Khi sự cố xảy ra, doanh nghiệp thậm chí không biết mình đã trao quyền gì cho ai.
Vấn đề lớn nhất của shadow AI là dữ liệu. Dữ liệu nhạy cảm được đẩy ra các API bên ngoài mà không có kiểm soát. Khi bị lộ, không ai xác định được phạm vi, vì ngay từ đầu không ai biết dữ liệu đó đã từng tồn tại ở đâu.
Đến năm 2026, nhiều chuyên gia dự đoán sẽ xuất hiện các cuộc tấn công AI to AI, nơi các tác nhân độc hại tự động nhắm vào hệ thống AI hợp pháp của doanh nghiệp, khai thác API, MCP, SDK, mà gần như không cần tương tác con người.
Chuỗi cung ứng phần mềm, đặc biệt là mã nguồn mở, tiếp tục là bề mặt tấn công hấp dẫn. Kẻ xấu không cần tấn công hàng nghìn mục tiêu, chỉ cần xâm nhập một thành phần phụ thuộc đáng tin cậy. Lòng tin, thứ từng giúp hệ sinh thái phát triển nhanh, đang trở thành điểm yếu lớn nhất.
IPv6 cũng là một mảnh đất màu mỡ cho tấn công, vì được triển khai nhanh hơn tốc độ mà các công cụ giám sát theo kịp. Những tài sản chỉ tồn tại trong không gian IPv6 có thể nằm ngoài tầm nhìn của đội an ninh, trong khi kẻ tấn công thì nhìn thấy rất rõ.
AI hiệu quả nhất khi giúp con người nhìn rõ hơn, nhanh hơn, chứ chưa thể thay thế hoàn toàn phán đoán về rủi ro. Các hệ thống EASM dựa trên tác nhân AI trong tương lai có thể tự động phát hiện, ưu tiên, thậm chí vá lỗi, nhưng vẫn cần con người giám sát, đặc biệt với những quyết định nhạy cảm.
Một nguyên tắc quan trọng được nhấn mạnh là không chỉ cấm đoán. Khi phát hiện shadow AI, điều cần làm là hiểu người dùng đang thiếu gì, rồi cung cấp giải pháp an toàn hơn. Cấm mà không thay thế chỉ đẩy mọi thứ sâu hơn vào bóng tối.
AI là con dao hai lưỡi. Nó giúp doanh nghiệp nhìn rõ hơn bề mặt tấn công, nhưng cũng giúp kẻ xấu tìm điểm yếu nhanh hơn, chính xác hơn. Cuộc đua giữa tấn công và phòng thủ vào năm 2026 sẽ nhanh hơn, phức tạp hơn, và không có dấu hiệu chậm lại.
Câu hỏi không còn là có nên dùng AI hay không, mà là doanh nghiệp có đang nhìn thấy hết những gì mình đã mở ra hay chưa. Với các doanh nghiệp Việt Nam đang tăng tốc chuyển đổi số, liệu chúng ta đang bật đèn soi bóng tối, hay chỉ đang chạy nhanh hơn trong một căn phòng ngày càng tối? (securityweek)
Bóng tối đang lớn lên cùng AI
Có một hình ảnh rất dễ hiểu về an ninh mạng: bóng tối là nơi nguy hiểm, nơi kẻ xấu ẩn nấp và tấn công bất cứ thứ gì chúng chạm tới. Vấn đề là đến năm 2026, theo nhiều chuyên gia, AI sẽ khiến những vùng bóng tối đó không chỉ nhiều hơn mà còn rộng hơn rất nhiều.Lý do nằm ở bề mặt tấn công bên ngoài, tức toàn bộ những gì doanh nghiệp vô tình phơi bày ra internet. Không chỉ là website hay hệ thống chính thức, mà còn là các tên miền bị quên, máy chủ thử nghiệm, API, tài nguyên đám mây, tích hợp bên thứ ba mà nội bộ thậm chí không biết là mình đang có.
Quản lý bề mặt tấn công bên ngoài, hay EASM, về bản chất chỉ là một thói quen rất căn bản: internet đang nhìn thấy bạn vận hành những gì, và trong số đó có bao nhiêu thứ đang yếu, đang hở, đang bị bỏ quên. Nghe đơn giản, nhưng thực tế thì đa số tổ chức không có nổi một danh sách đầy đủ về tài sản lộ ra ngoài. Và kẻ tấn công thì gần như luôn tìm ra các điểm đó trước đội phòng thủ.
Vấn đề cốt lõi của an ninh mạng chưa bao giờ thay đổi: kẻ xấu chỉ cần đúng một lần, còn người phòng thủ phải đúng mọi lúc. EASM không giúp xóa sạch rủi ro, mà giúp nhìn rõ rủi ro để biết cái nào cần xử lý trước, cái nào chấp nhận được, cái nào có thể chờ. Nó giống như việc biết rõ nước đang rò ở đâu trên con đê, để bịt đúng chỗ, trước khi vỡ.
Bề mặt tấn công không ngừng mở rộng không phải vì doanh nghiệp bất cẩn, mà vì cách kinh doanh hiện đại buộc họ phải nhanh. Đám mây, làm việc từ xa, SaaS, API, IoT, CI/CD, tích hợp đối tác… mọi thứ đều được triển khai nhanh hơn rất nhiều so với khả năng theo dõi và bảo mật.
Các nhóm phát triển tạo môi trường riêng để thử nghiệm, các phòng ban tự dùng công cụ mới để tăng hiệu suất, các nhà thầu được cấp quyền tạm thời rồi… quên thu hồi. Kết quả là một hệ sinh thái tài nguyên “bóng”, tồn tại thật, kết nối thật, nhưng không ai chịu trách nhiệm.
Trớ trêu nhất là phần rủi ro lớn nhất lại nằm ngoài tầm kiểm soát trực tiếp của doanh nghiệp. Đó là các bên thứ ba và đối tác chuỗi cung ứng. Hãy tưởng tượng một công ty kết nối dữ liệu với vài trăm đối tác. Mỗi đối tác đó đều bị quét, bị dò, bị tấn công mỗi ngày. Chỉ cần một mắt xích yếu, kẻ tấn công có thể lần ngược vào bạn thông qua con đường đáng tin cậy sẵn có.
AI khiến bài toán này nguy hiểm hơn. Các nhóm tấn công giờ đây có thể dùng AI để lập danh sách các mối quan hệ tin cậy của một doanh nghiệp, theo dõi chúng gần như theo thời gian thực, và lựa chọn chính xác con đường tấn công có xác suất thành công cao nhất.
Hai yếu tố khác cũng làm bề mặt tấn công nở nhanh là các thương vụ mua bán sáp nhập và việc áp dụng AI một cách vội vã. Sau M&A, hệ thống chồng chéo, tích hợp chậm, ưu tiên tài chính đi trước an ninh. Còn với AI, rất nhiều công ty đang triển khai công cụ mà không rõ dữ liệu đi đâu, mô hình được huấn luyện thế nào, và bao nhiêu nhân viên đang âm thầm tải dữ liệu nội bộ lên các nền tảng AI phổ thông.
Shadow AI, MCP và những điểm mù mới
Nếu trước đây người ta lo về shadow IT, thì giờ shadow AI còn rủi ro hơn nhiều. Nhân viên dùng AI ngầm để làm việc nhanh hơn, nhà phát triển kết nối IDE với mô hình AI bên ngoài, dựng máy chủ MCP tạm thời để gỡ lỗi rồi… để đó.Shadow AI trong marketing có thể chỉ tạo ra nội dung không được duyệt. Nhưng shadow AI trong phát triển thì khác, nó có thể chạm vào mã nguồn, hệ thống sản xuất, hạ tầng cốt lõi. Một tác nhân AI bị xâm nhập ở giai đoạn phát triển không chỉ làm lộ dữ liệu, mà còn có thể cài cửa hậu vào toàn bộ sản phẩm.
MCP, các máy chủ giao thức ngữ cảnh mô hình, trở thành điểm mù nguy hiểm. Chúng cho phép AI truy cập sâu với đặc quyền cao, nhưng lại thường không được giám sát, không ghi log, không kiểm soát vòng đời. Khi sự cố xảy ra, doanh nghiệp thậm chí không biết mình đã trao quyền gì cho ai.
Vấn đề lớn nhất của shadow AI là dữ liệu. Dữ liệu nhạy cảm được đẩy ra các API bên ngoài mà không có kiểm soát. Khi bị lộ, không ai xác định được phạm vi, vì ngay từ đầu không ai biết dữ liệu đó đã từng tồn tại ở đâu.
Đến năm 2026, nhiều chuyên gia dự đoán sẽ xuất hiện các cuộc tấn công AI to AI, nơi các tác nhân độc hại tự động nhắm vào hệ thống AI hợp pháp của doanh nghiệp, khai thác API, MCP, SDK, mà gần như không cần tương tác con người.
Chuỗi cung ứng phần mềm, đặc biệt là mã nguồn mở, tiếp tục là bề mặt tấn công hấp dẫn. Kẻ xấu không cần tấn công hàng nghìn mục tiêu, chỉ cần xâm nhập một thành phần phụ thuộc đáng tin cậy. Lòng tin, thứ từng giúp hệ sinh thái phát triển nhanh, đang trở thành điểm yếu lớn nhất.
IPv6 cũng là một mảnh đất màu mỡ cho tấn công, vì được triển khai nhanh hơn tốc độ mà các công cụ giám sát theo kịp. Những tài sản chỉ tồn tại trong không gian IPv6 có thể nằm ngoài tầm nhìn của đội an ninh, trong khi kẻ tấn công thì nhìn thấy rất rõ.
Chiếu sáng bóng tối bằng AI, nhưng không mù quáng
Điều thú vị là giải pháp cũng lại quay về AI. AI giúp xử lý khối lượng dữ liệu khổng lồ, phát hiện tài sản lộ ra ngoài, giảm nhiễu, ưu tiên rủi ro. Nhưng hầu hết chuyên gia đều đồng ý rằng AI không phải cây đũa thần.AI hiệu quả nhất khi giúp con người nhìn rõ hơn, nhanh hơn, chứ chưa thể thay thế hoàn toàn phán đoán về rủi ro. Các hệ thống EASM dựa trên tác nhân AI trong tương lai có thể tự động phát hiện, ưu tiên, thậm chí vá lỗi, nhưng vẫn cần con người giám sát, đặc biệt với những quyết định nhạy cảm.
Một nguyên tắc quan trọng được nhấn mạnh là không chỉ cấm đoán. Khi phát hiện shadow AI, điều cần làm là hiểu người dùng đang thiếu gì, rồi cung cấp giải pháp an toàn hơn. Cấm mà không thay thế chỉ đẩy mọi thứ sâu hơn vào bóng tối.
AI là con dao hai lưỡi. Nó giúp doanh nghiệp nhìn rõ hơn bề mặt tấn công, nhưng cũng giúp kẻ xấu tìm điểm yếu nhanh hơn, chính xác hơn. Cuộc đua giữa tấn công và phòng thủ vào năm 2026 sẽ nhanh hơn, phức tạp hơn, và không có dấu hiệu chậm lại.
Câu hỏi không còn là có nên dùng AI hay không, mà là doanh nghiệp có đang nhìn thấy hết những gì mình đã mở ra hay chưa. Với các doanh nghiệp Việt Nam đang tăng tốc chuyển đổi số, liệu chúng ta đang bật đèn soi bóng tối, hay chỉ đang chạy nhanh hơn trong một căn phòng ngày càng tối? (securityweek)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
