Bảo mật AI Agent: Ủy quyền bị hỏng và xác thực khiến tình hình tồi tệ hơn

Anthony Grieco, Phó Chủ tịch kiện Giám đốc An ninh và Niềm tin của Cisco, không chút do dự khi VentureBeat hỏi xem các sự cố liên quan đến AI agent "nổi loạn" đã đến với khách hàng của Cisco hay chưa.

"Một trăm phần trăm. Chúng tôi thấy chúng thường xuyên," Grieco chia sẻ trong một cuộc phỏng vấn độc quyền tại RSAC 2026. "Tôi đã nghe những câu chuyện không thể kể lại đây, nhưng thực tế là các agent đang làm những việc mà chúng nghĩ là đúng."

Các sự cố mà Grieco mô tả tuân theo một mô hình nhất quán: xác thực thành công, kiểm tra danh tính rõ ràng. Agent chính xác là những gì nó tuyên bố. Tuy nhiên, sau đó nó truy cập vào dữ liệu mà nó không bao giờ được phép chạm đến hoặc thực hiện một hành động mà không ai ủy quyền ở mức độ chi tiết đó. Thất bại ở đây không phải là danh tính (identity); mà là ủy quyền (authorization).

"Doanh nghiệp đang nói rằng chúng ta sẽ có 500 agent cho mỗi nhân viên," Grieco nói. "Các lãnh đạo an ninh thực sự tập trung vào việc làm thế nào để đảm bảo chúng ta làm điều đó một cách an toàn."

Báo cáo Cisco’s State of AI Security 2026 cho thấy 83% tổ chức dự kiến triển khai các khả năng về agent, nhưng chỉ 29% cảm thấy sẵn sàng để bảo mật chúng. Năm nhà cung cấp đã tung ra các khung nhận dạng agent tại RSAC 2026. Không ai trong số họ lấp đầy mọi khoảng trống. Kể cả Cisco.

VentureBeat đã phác thảo bốn khoảng trống ủy quyền thông qua cuộc phỏng vấn độc quyền với Grieco và năm nguồn độc lập. Ma trận chỉ dẫn ở cuối bài viết này sẽ đưa ra giải pháp cho vấn đề đó.

Khoảng trống ủy quyền chưa ai lấp đầy

Grieco đã trưởng thành từ các tổ chức kỹ thuật và nghiên cứu mối đe dọa của Cisco trước khi nhận vai trò bao gồm cả hai mặt hoạt động bảo mật của công ty: xây dựng sản phẩm Cisco bán và chạy chương trình bảo vệ chính Cisco.

Khoảng trống ủy quyền mà ông mô tả rất cụ thể và mang tính vận hành.

"Agent này là một tài chính agent, nhưng ngay cả khi nó là tài chính agent, nó không nên truy cập tất cả dữ liệu tài chính," Grieco nói. "Nó chỉ nên truy cập các báo cáo chi phí, và không chỉ là báo cáo chi phí, mà là các báo cáo chi phí cá nhân tại một thời điểm cụ thể. Việc có được sự kiểm soát chi tiết như vậy thực sự là một trong những yếu tố lớn nhất sẽ giúp chúng ta nói 'có' với nhiều phát triển về agent."

Các chuyên gia độc lập đã xác nhận mô hình này trên toàn RSAC 2026. Kayne McGladrey, thành viên cao cấp của IEEE, cho biết các tổ chức mặc định sao chép hồ sơ người dùng cho agent, và sự lan rộng quyền hạn bắt đầu từ ngày đầu tiên. Carter Rees, Phó Chủ tịch AI tại Reputation, đã xác định nguyên nhân cấu trúc. Mặt phẳng ủy quyền phẳng của một LLM không tôn trọng quyền hạn của người dùng, Rees nói. Một agent trên mặt phẳng phẳng đó không cần leo thang đặc quyền. Nó đã có sẵn chúng.

"Thách thức lớn nhất mà chúng tôi thấy là biết chuyện gì đang xảy ra," Grieco nói. "Việc có thể có bản đồ danh tính và kiểm soát truy cập tương ứng là rất quan trọng."

Elia Zaitsev, CTO của CrowdStrike, đã mô tả khía cạnh khả năng hiển thị trong một cuộc phỏng vấn độc quyền của VentureBeat tại RSAC 2026. Trong hầu hết các cấu hình ghi log mặc định, hoạt động của agent không thể phân biệt được với con người. Việc phân biệt hai thứ này yêu cầu phải đi qua cây tiến trình (process tree). Hầu hết ghi log doanh nghiệp không thể tạo ra sự phân biệt đó.

Năm nhà cung cấp đã tung ra các khung nhận dạng agent tại RSAC, bao gồm Duo IAM và các điều khiển cổng MCP của Cisco. Không ai đóng mọi khoảng trống mà VentureBeat xác định được. Bốn khoảng trống dưới đây là những gì còn lại mở.

Các tổ chức chuẩn hóa đang cùng đưa ra chẩn đoán

Các khoảng trống về ủy quyền và danh tính mà Grieco mô tả không chỉ là quan sát của nhà cung cấp. Ba tổ chức chuẩn hóa độc lập đã đưa ra kết luận song song vào đầu năm 2026. NIST’s NCCoE đã xuất bản một bài viết khái niệm vào tháng 2 năm 2026, "Tăng tốc việc áp dụng Danh tính và Ủy quyền cho Phần mềm và AI Agent," kêu gọi các dự án trình diễn về cách các tiêu chuẩn danh tính hiện tại áp dụng cho các agent tự chủ.

OWASP Top 10 cho Ứng dụng Agentic, phát hành vào tháng 12 năm 2025, đã xác định việc sử dụng sai công cụ do quyền truy cập quá mức và ủy quyền không an toàn là những rủi ro hàng đầu. Và Cloud Security Alliance đã ra mắt quỹ CSAI Foundation tại RSAC 2026 với sứ mệnh "Bảo mật Mặt phẳng Điều khiển Agentic," bao gồm một khung Agentic AI IAM chuyên biệt được xây dựng xung quanh các định danh phi tập trung và các nguyên tắc tin cậy zero (zero trust). Khi NIST, OWASP và CSA đều độc lập gắn cờ cùng một lớp khoảng trống trong cùng một chu kỳ thị trường, tín hiệu này mang tính cấu trúc, không phải đặc thù cho nhà cung cấp.

Bảo mật MCP cần phát hiện trước khi kiểm soát

VentureBeat đã hỏi Grieco về nghịch lý của MCP, Model Context Protocol mà mọi nhà cung cấp tại RSAC 2026 đều đón nhận dù thừa nhận các khoảng trống bảo mật của nó. Grieco không lập luận rằng giao thức này an toàn. Ông lập luận rằng việc chặn nó không còn thực tế.

"Không còn cách nào để nói 'không' với nó trong thời đại ngày nay với tư cách là một lãnh đạo an ninh," Grieco nói. "Vì vậy, vấn đề là làm thế nào chúng ta quản lý nó."

Trong môi trường riêng của Cisco, đội ngũ của Grieco đã thêm các khả năng phát hiện, ủy quyền và kiểm tra MCP vào AI Defense và Cisco Secure Access. Cách tiếp cận này coi các máy chủ MCP giống như cách các doanh nghiệp xử lý Shadow IT (IT ngầm): tìm thấy chúng trước khi quản lý chúng.

Etay Maor, Phó Chủ tịch Tình báo đe dọa tại Cato Networks, đã xác nhận cách tiếp cận này từ phía đối thủ. Tại RSAC 2026, Maor đã chứng minh một cuộc tấn công Living Off the AI chuỗi lại MCP của Atlassian và Jira Service Management. Những kẻ tấn công không tách biệt các công cụ, dịch vụ và mô hình tin cậy. Chúng chuỗi cả ba lại. "Chúng ta cần một góc nhìn nhân sự (HR) đối với các agent," Maor nói. "Đưa vào sử dụng, giám sát, đưa ra khỏi sử dụng."

Gần một nửa hạ tầng quan trọng đã lỗi thời và chưa được vá lỗ

Các thất bại trong ủy quyền agent khó phát hiện và ngăn chặn hơn khi hạ tầng bên dưới chưa nhận được bản vá bảo mật trong nhiều năm — và khoảng trống này làm trầm trọng thêm mọi lỗ hổng khác trong câu chuyện này. Cisco đã thuê công ty tư vấn WPI Strategy có trụ sở tại Anh để kiểm tra rủi ro công nghệ hết vòng đời (end-of-life) tại Mỹ, Anh, Pháp, Đức và Nhật Bản. Báo cáo cho thấy gần một nửa hạ tầng mạng quan trọng trên các khu vực địa lý này đang già hóa hoặc đã lỗi thời. Các nhà cung cấp không còn vá lỗi cho chúng nữa.

"Gần 50% hạ tầng quan trọng trên các khu vực này đã già, hết vòng đời hoặc gần hết vòng đời," Grieco nói. "Điều này có nghĩa là các nhà cung cấp không còn cung cấp bản vá bảo mật cho chúng nữa."

Sáng kiến Resilient Infrastructure của Cisco vô hiệu hóa các tính năng không sử dụng theo mặc định và loại bỏ các giao thức kế thừa theo lịch trình ngừng sử dụng ba bản phát hành. Grieco đã phản bác lại giả định rằng bảo mật theo mặc định là một thành tích tĩnh. "Một trong những điều mà hầu hết mọi người không nghĩ đến là những điều đó không phải là các điểm tĩnh trong thời gian," Grieco nói. "Nó không giống như bạn làm một lần và xong."

Ma trận khoảng trống bảo mật doanh nghiệp cho Agent

Bốn khoảng trống dưới đây là những gì giám đốc an ninh có thể hành động vào sáng thứ Hai. Mỗi hàng ánh xạ từ điều gì bị hỏng đến tại sao nó bị hỏng và cần làm gì, được xác thực chéo bởi năm nguồn độc lập.

Nguồn: Phân tích của VentureBeat từ cuộc phỏng vấn độc quyền với Grieco tại RSAC 2026, xác thực chéo với các báo cáo độc lập từ McGladrey (IEEE), Rees (Reputation), Maor (Cato Networks), và Zaitsev (CrowdStrike). Tháng 5 năm 2026.

Khoảng trống bảo mật	Điều gì bị hỏng và chi phí ra sao	Tại sao hệ thống hiện tại không phát hiện ra	Trạng thái kiểm soát của nhà cung cấp hiện nay	Hành động đầu tiên cho đội ngũ của bạn
Hạ tầng già cỗi	Gần một nửa tài sản mạng quan trọng đã hết vòng đời hoặc sắp hết (WPI Strategy); các agent hoạt động trên hệ thống chưa được vá lỗi kế thừa các lỗ hổng mà không nhà cung cấp nào sửa	Chu kỳ vá lỗi hàng năm không theo kịp tốc độ mối đe dọa; hệ thống EoL nhận được cập nhật bảo mật bằng 0 và hỗ trợ nhà cung cấp bằng 0	Resilient Infrastructure vô hiệu hóa các mặc định không an toàn, cảnh báo cấu hình rủi ro, ngừng các giao thức kế thừa theo lịch trình ba bản phát hành	Đội ngũ Infra: kiểm tra mọi tài sản mạng so với ngày EoL của nhà cung cấp trong quý này. Phân loại lại việc thay thế EoL từ nâng cấp IT sang đầu tư an ninh trong chu kỳ ngân sách tiếp theo
Phát hiện MCP	Các máy chủ MCP tăng trưởng nhanh chóng trong các môi trường mà không có khả năng hiển thị bảo mật; các nhà phát triển tạo kết nối công cụ agent vượt qua quản trị hiện có	Các triển khai MCP ngầm vượt qua các công cụ phát hiện hiện có; không có cơ chế tồn kho tiêu chuẩn; Maor đã chứng minh kẻ tấn công chuỗi MCP + Jira trong cuộc tấn công Living Off the AI	AI Defense thêm phát hiện, ủy quyền và kiểm tra MCP; coi máy chủ MCP như Shadow IT	Security ops: chạy tồn kho máy chủ MCP trên tất cả môi trường trước khi triển khai bất kỳ điều khiển quản trị agent nào. Nếu bạn không thể liệt kê bề mặt MCP của mình, bạn không thể bảo mật nó
Agent được cấp quyền quá mức	Các agent kế thừa quyền truy cập cấp con người rộng rãi trên mặt phẳng ủy quyền phẳng; agent không cần leo thang đặc quyền vì nó đã có sẵn (Rees)	Các đội ngũ IAM mặc định sao chép hồ sơ con người cho agent (McGladrey); không có quyền hạn có phạm vi, có thời hạn cho các danh tính phi con người	Duo IAM đăng ký agent như các đối tượng danh tính riêng biệt với quyền hạn chi tiết, có thời hạn cho mỗi lệnh gọi công cụ	Đội ngũ IAM: ngừng sao chép tài khoản con người cho agent ngay lập tức. Phạm vi hóa mọi quyền hạn của agent cho một tập dữ liệu cụ thể, hành động cụ thể và cửa sổ thời gian cụ thể. Thử nghiệm của Grieco: agent tài chính này có thể chỉ truy cập báo cáo chi phí cá nhân nó cần ngay lúc này không?
Khả năng quan sát hành vi của Agent	Các hành động của agent không thể phân biệt với hành động của con người trong nhật ký bảo mật (Zaitsev); một agent quá quyền trông giống con người trong nhật ký là vô hình với SOC	Ghi log mặc định không bắt được dòng dõi cây tiến trình; không có nhà cung cấp nào đã vận chuyển một đường cơ sở hành vi đa nền tảng hoàn chỉnh cho hoạt động của agent	Tích hợp遥测 SOC với Splunk để phát hiện và phản hồi cụ thể cho agent	Trưởng SOC: cập nhật ghi log để bắt được dòng dõi cây tiến trình để các hành động do agent khởi tạo có thể phân biệt với hành động do con người khởi tạo. Nếu SIEM của bạn không thể trả lời câu hỏi "đây là con người hay agent?" cho mọi phiên, khoảng trống vẫn còn mở

"Thẳng thắn mà nói, chúng ta phải di chuyển nhanh chóng và phát triển nhanh chóng để theo kịp nơi những kẻ đối thủ sẽ đi đến," Grieco nói.

Các khoảng trống được ánh xạ ở trên không phải là lý thuyết. Grieco đã xác nhận các sự cố đang xảy ra. Các điều khiển tồn tại trong từng mảnh tại nhiều nhà cung cấp. Không có nhà cung cấp duy nhất nào đã lắp ráp hoàn chỉnh ngăn xếp.