Báo cáo an ninh mạng của Ernst & Young bị phát hiện chứa đầy ảo giác AI và trích dẫn giả mạo

Ernst & Young (EY), một trong bốn công ty kiểm toán và tư vấn lớn nhất thế giới ("Big Four"), đang đối mặt với chỉ trích nghiêm trọng sau khi một báo cáo an ninh mạng của họ bị phát hiện chứa đầy rẫy các trích dẫn giả mạo và số liệu do AI "ảo giác" tạo ra.

Cuộc điều tra do GPTZero thực hiện đã hé lộ một thực tế đáng báo động: hiện tượng "vibe citing" (trích dẫn theo cảm hứng) – nơi các trích dẫn được tạo ra ngẫu nhiên bởi các mô hình ngôn ngữ lớn (LLM) mà không có sự kiểm chứng thực tế – đang lan rộng ngay cả trong các tài liệu của những tổ chức uy tín nhất.

Bìa báo cáo Points of Attack của EY

Báo cáo đầy rẫy ảo giác

Vào cuối năm 2025, EY Canada đã công bố báo cáo 44 trang mang tên Points of Attack: Uncovering Cyber Threats and Fraud in Loyalty Systems (Các điểm tấn công: Khám phá mối đe dọa mạng và gian lận trong hệ thống khách hàng thân thiết). Mặc dù được ghi nhận là công trình của các đối tác và quản lý cấp cao, tài liệu này thực chất là một tập hợp của các trích dẫn giả, sự quy kết sai và số liệu không có thật.

GPTZero sử dụng công cụ Hallucination Check để phân tích và phát hiện rằng 72% trong số 27 tài liệu tham khảo trong báo cáo là giả mạo. Các liên kết (URL) trỏ đến các bài báo trên Wired, Forbes, Gartner hay McKinsey đều trả về lỗi 404 hoặc không hề tồn tại. Đáng chú ý, nhiều tiêu đề bài báo được trích dẫn cũng không khớp với bất kỳ ấn phẩm thực tế nào của các tạp chí này.

Trích dẫn giả mạo trong báo cáo EY

Những mâu thuẫn nội bộ điển hình của AI

Một trong những dấu hiệu rõ ràng nhất cho thấy nội dung này được tạo bởi AI là sự mâu thuẫn nội bộ về các số liệu thống kê.

Trong phần tóm tắt điều hành (Executive Summary), các tác giả khẳng định thị trường điểm khách hàng thân thiết toàn cầu trị giá 200 tỷ USD và 30–50% trong số đó không được sử dụng. Để chứng minh, họ dẫn chiếu đến một bài báo của Forbes. Tuy nhiên, trang 42 của báo cáo lại đưa ra một con số khác: 200 tỷ USD là ước tính cho số điểm chưa được đổi, chứ không phải tổng giá trị thị trường.

Nếu giả định 50% số điểm chưa được đổi, tổng giá trị thị trường phải lên tới ít nhất 400 tỷ USD, mâu thuẫn hoàn toàn với nhận định ban đầu.

Mâu thuẫn về số liệu trên trang 10 của báo cáo

"Rửa" nguồn tin từ blog kém chất lượng

Điều đáng lo ngại hơn là cách các nguồn tin giả được "rửa" sạch sẽ. GPTZero đã truy xuất nguồn gốc của một trích dẫn giả mạo được cho là của McKinsey & Company trong báo cáo EY. Nó thực sự bắt nguồn từ một bài đăng trên blog tạp chí fintech ít tên tuổi Financial IT sáu tháng trước đó.

Bài blog này cũng trích dẫn báo cáo "McKinsey & Company: Loyalty Economics Report (2022)" – một báo cáo không hề tồn tại. EY dường như đã sao chép y nguyên trích dẫn giả này từ một blog chất lượng thấp và đưa nó vào tài liệu chính thức của mình, tạo ra một vòng luẩn quẩn của thông tin sai lệch.

Nguy cơ làm nhiễm độc dữ liệu (Data Poisoning)

Vấn đề không chỉ dừng lại ở uy tín của EY. Việc công bố một báo cáo chứa thông tin sai lệch trên internet được ví như việc "tiêm độc" vào nguồn kiến thức chung.

Khi các công cụ tìm kiếm AI sâu (deep research) như Claude, ChatGPT hay Perplexity quét web để tổng hợp thông tin, chúng có thể bị đánh lừa bởi các báo cáo từ các tổ chức uy tín như EY. Kết quả là các công cụ AI này cũng sẽ lan truyền các ảo giác và số liệu sai lệch này cho người dùng, tạo ra hiệu ứng domino gây hại cho nghiên cứu và cộng đồng.

Trích dẫn giả từ McKinsey xuất hiện trong bảng tài liệu tham khảo

GPTZero cảnh báo rằng hiện tượng "vibe citing" đã trở thành dịch bệnh trong ngành nghiên cứu và tư vấn. Trong kỷ nguyên AI, việc tin tưởng tuyệt đối vào các trích dẫn, ngay cả khi chúng đến từ các nguồn danh tiếng, là một rủi ro lớn mà mọi người cần phải nhận thức rõ.