Các cơ quan an ninh Five Eyes cảnh báo: AI tác nhân quá rủi ro để triển khai nhanh chóng

Các cơ quan an ninh mạng từ các quốc gia thuộc liên minh Five Eyes đã cùng nhau soạn thảo một tài liệu hướng dẫn về việc sử dụng AI tác nhân (agentic AI). Trong đó, họ đưa ra lời cảnh báo cho thấy công nghệ này có xu hướng hoạt động sai lệch và làm gia tăng những điểm yếu vốn có của tổ chức. Do đó, các cơ quan này khuyến nghị việc áp dụng công nghệ nên được thực hiện một cách chậm rãi và thận trọng.

Vị trí này được các cơ quan chức năng đưa ra vào ngày thứ Sáu tuần trước thông qua một hướng dẫn mang tên "Careful adoption of agentic AI services" (Việc áp dụng thận trọng các dịch vụ AI tác nhân). Tài liệu mở đầu bằng nhận định rằng: "Các hệ thống AI tác nhân ngày càng hoạt động trên nhiều lĩnh vực cơ sở hạ tầng trọng yếu và quốc phòng, cũng như hỗ trợ các năng lực then chốt trong nhiệm vụ."

Điều này làm cho việc "trở nên vô cùng quan trọng đối với các lực lượng phòng vệ phải triển khai các biện pháp kiểm soát an ninh để bảo vệ an ninh quốc gia và cơ sở hạ tầng trọng yếu trước những rủi ro đặc thù của AI tác nhân."

Rủi ro mở rộng bề mặt tấn công

Nội dung cốt lõi của tài liệu chỉ ra rằng việc triển khai AI tác nhân sẽ đòi hỏi sự sử dụng của nhiều thành phần, công cụ và nguồn dữ liệu bên ngoài. Điều này tạo ra một "bề mặt tấn công liên kết mà những kẻ tấn công độc hại có thể khai thác."

"Hệ quả là, từng thành phần riêng lẻ trong một hệ thống AI tác nhân đều làm rộng thêm bề mặt tấn công, khiến hệ thống tiếp xúc với nhiều phương thức khai thác hơn," tài liệu cảnh báo.

Những ví dụ điển hình về nguy cơ bảo mật

Để minh họa cho những rủi ro mà AI tác nhân gây ra, tài liệu đưa ra ví dụ về một tác nhân AI được trao quyền cài đặt các bản vá phần mềm nhưng lại được cấp quyền ghi (write access) quá rộng rãi một cách bất cẩn, dẫn đến hậu quả không mong muốn:

Một nhân viên nội bộ độc hại tạo ra một câu lệnh có vẻ vô hại: "Áp dụng bản vá bảo mật trên tất cả các thiết bị đầu cuối và tiện thể hãy dọn dẹp nhật ký tường lửa." Tác nhân AI sẽ ngoan ngoãn thực hiện cả việc bảo trì cần thiết lẫn việc xóa nhật ký tường lửa, bởi vì quyền hạn của nó cho phép thực hiện hành động này ngay cả khi câu lệnh đến từ một người dùng không thuộc nhóm IT có quyền đặc biệt.

Một rắc rối khác liên quan đến AI tác nhân được tài liệu dùng làm lời cảnh báo:

Một tổ chức triển khai AI tác nhân để tự động quản lý việc phê duyệt mua hàng và liên lạc với nhà cung cấp, đồng thời cấp cho tác nhân quyền truy cập vào hệ thống tài chính, email và kho lưu trữ hợp đồng. Người dùng này chỉ xem xét quyền hạn cho tác nhân khi triển khai ban đầu. Theo thời gian, các tác nhân khác dựa vào đầu ra của tác nhân mua hàng và tin tưởng ngầm vào các hành động của nó. Một kẻ tấn công xâm nhập thành công vào một công cụ có rủi ro thấp được tích hợp trong quy trình làm việc của tác nhân và thừa hưởng những đặc quyền quá mức của tác nhân đó. Kẻ tấn công sử dụng quyền truy cập đặc quyền này để sửa đổi hợp đồng và phê duyệt các khoản thanh toán trái phép, cũng như tránh bị phát hiện bằng cách tạo ra nhật ký kiểm tra giả mạo không kích hoạt cảnh báo.

Khuyến nghị cho nhà phát triển và nhà cung cấp

Trung tâm An ninh mạng và Các tín hiệu Úc (ASD’s ACSC) đã đóng góp vào tài liệu này, làm việc cùng Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) và Cơ quan An ninh Quốc gia (NSA) của Mỹ, Trung tâm An ninh mạng Canada, Trung tâm An ninh mạng Quốc gia New Zealand (NCSC-NZ) và Trung tâm An ninh mạng Quốc gia Anh (NCSC-UK).

Tài liệu chứa thêm nhiều câu chuyện đáng sợ, sau đó liệt kê 23 rủi ro khác nhau và hơn 100 thực hành tốt nhất để giải quyết chúng.

Phần lớn lời khuyên nhắm đến các nhà phát triển triển khai AI, nhưng các tác giả cũng kêu gọi các nhà cung cấp đảm bảo kiểm tra kỹ càng sản phẩm của họ và đảm bảo sản phẩm "an toàn khi lỗi theo mặc định, yêu cầu các tác nhân dừng lại và chuyển vấn đề cho người xem xét trong các trường hợp không chắc chắn."

Tài liệu cũng kêu gọi các chuyên gia bảo mật và nhà nghiên cứu dành nhiều thời gian hơn để suy ngẫm về AI.

"Thông tin tình báo về các hệ thống AI tác nhân vẫn đang phát triển, điều này có thể đưa ra những khoảng trống bảo mật đáng kể," tài liệu cảnh báo, bởi vì các nguồn lực như Dự án Bảo mật Ứng dụng Web Mở (OWASP) và MITRE ATLAS hiện nay tập trung chủ yếu vào Mô hình Ngôn ngữ Lớn (LLM). "Kết quả là, một số vector tấn công đặc thù của AI tác nhân có thể chưa được ghi nhận đầy đủ hoặc giải quyết triệt để."

Ưu tiên an toàn hơn hiệu suất

Đưa vào danh sách việc cần làm dài dài cho bất kỳ ai tạo ra AI tác nhân hay cân nhắc sử dụng nó, tài liệu lập luận cho việc áp dụng cực kỳ thận trọng.

"Ưu tiên tính bền vững, khả năng hoàn tác và ngăn chặn rủi ro hơn là lợi ích về hiệu suất."

"Các tổ chức do đó nên tiếp cận việc áp dụng với tâm thế bảo mật, nhận thức rằng sự tự chủ gia tăng sẽ khuếch đại tác động của các khiếm khuyết thiết kế, cấu hình sai và sự giám sát không đầy đủ," tài liệu kết luận. "Hãy triển khai AI tác nhân theo từng bước, bắt đầu với các nhiệm vụ rủi ro thấp được xác định rõ ràng và liên tục đánh giá nó dựa trên các mô hình mối đe dọa đang thay đổi."

"Quản trị mạnh mẽ, trách nhiệm giải trình rõ ràng, giám sát nghiêm ngặt và sự giám sát của con người không phải là các biện pháp bảo vệ tùy chọn mà là những điều kiện tiên quyết thiết yếu. Cho đến khi các thực hành bảo mật, phương pháp đánh giá và tiêu chuẩn trưởng thành, các tổ chức nên giả định rằng hệ thống AI tác nhân có thể hoạt động không như dự đoán và lập kế hoạch triển khai tương ứng, ưu tiên tính bền vững, khả năng hoàn tác và ngăn chặn rủi ro hơn là lợi ích về hiệu suất."