Cuộc đua ngăn chặn AI Agents "làm loạn" với thẻ tín dụng của người dùng

Giữa bối cảnh đầy rẫy các vấn đề bảo mật như phần mềm độc hại, mạo danh danh tính và chiếm đoạt tài khoản, sự trỗi dậy của AI tác nhân (agentic AI) đang tạo ra những rủi ro mới khi ngày càng nhiều hoạt động được thực hiện bởi các tác nhân thay mặt con người.

Để giải quyết vấn đề này, Liên minh FIDO — một hiệp hội công nghiệp tập trung vào xác thực — vừa thông báo sẽ thành lập hai nhóm công tác để phát triển các tiêu chuẩn ngành nhằm xác thực và bảo vệ các khoản thanh toán cũng như giao dịch do AI thực hiện. Sự khởi đầu này có sự đóng góp quan trọng từ Google và Mastercard.

Mục tiêu của sáng kiến là tạo ra một nền tảng bảo vệ cơ bản có thể được áp dụng trên nhiều ngành công nghiệp. Cách tiếp cận này cho phép người dùng ủy quyền cho các tác nhân AI thông qua các cơ chế khó bị lừa đảo (phishing) hoặc bị kẻ xấu lợi dụng để đưa ra chỉ đạo sai lệch. Các tiêu chuẩn mới cũng sẽ bao gồm các công cụ mã hóa giúp các dịch vụ số xác minh tính chính xác và hợp pháp của các tác nhân, cũng như các khung bảo vệ quyền riêng tư để người dùng, người bán và các nhà cung cấp dịch vụ có thể xác thực giao dịch do tác nhân khởi tạo.

"Các tác nhân đang ngày càng phổ biến và bước vào sử dụng đại chúng, nhưng các mô hình hiện tại không nhất thiết được thiết kế cho mô hình này — chúng không được xây dựng để cân nhắc các hành động thực hiện thay mặt người dùng," Andrew Shikiar, CEO của Liên minh FIDO, chia sẻ với WIRED.

Ông nhận định rằng nếu nhìn lại công cuộc giải quyết vấn đề mật khẩu trong những năm qua — một vấn đề có từ hàng thập kỷ trước — thì nền tảng bảo mật cho nền kinh tế kết nối hiện nay chưa thực sự phù hợp. Giờ đây, chúng ta đang đứng trước bờ vực của tương tác và thương mại do AI tác nhân dẫn dắt, nơi chúng ta có cơ hội thiết lập các nguyên tắc cơ bản để tạo ra những tương tác đáng tin cậy hơn ngay từ đầu.

Việc phát triển các tiêu chuẩn kỹ thuật áp dụng rộng rãi và thúc đẩy khả năng tương tác thường là một quá trình tốn kém nhiều năm. Tuy nhiên, trước sự tiến bộ và ứng dụng nhanh chóng của AI tác nhân, các đại diện của Liên minh FIDO, Google và Mastercard đều nhấn mạnh rằng quy trình này phải diễn ra nhanh hơn.

Để thúc đẩy điều này, cả hai công ty đều đóng góp các công cụ mã nguồn mở cho sáng kiến này. Giao thức Thanh toán Tác nhân (AP2) của Google cung cấp cơ chế xác thực bằng mật mã để đảm bảo người dùng thực sự có ý định thực hiện một giao dịch do tác nhân khởi tạo. Trong khi đó, khung Ý định Có thể Xác minh (Verifiable Intent) của Mastercard — được phát triển cùng Google để hoạt động với AP2 — là cơ chế an toàn giúp người dùng ủy quyền và kiểm soát hành động của tác nhân.

"Chúng tôi muốn cung cấp bằng chứng mật mã rằng một giao dịch được người dùng ủy quyền, nhưng vẫn giữ tính riêng tư với tính năng công bố có chọn lọc tích hợp sẵn," Stavan Parikh, phó chủ tịch kiêm tổng giám đốc mảng thanh toán của Google, cho biết. "Các bên khác nhau trong hệ sinh thái — nền tảng, người bán, nhà cung cấp thanh toán, mạng lưới — chỉ nhìn thấy thông tin liên quan đến họ, nhưng hành động đúng đắn sẽ được thực hiện vào đúng thời điểm."

Ông Parikh đưa ra ví dụ về một người muốn mua một đôi giày thể thao nhưng phát hiện chúng đã hết hàng. Người mua hướng dẫn tác nhân AI tự động mua đôi giày đó nếu chúng có hàng trở lại và giá dưới 100 USD. Mục tiêu là cung cấp xác thực và tính minh bạch cho giao dịch này để khi cơ hội mua hàng xuất hiện, người tiêu dùng nhận được đúng đôi giày với mức giá mong muốn.

Việc thiết lập các biện pháp bảo vệ cơ bản này là chìa khóa để thúc đẩy niềm tin vào AI tác nhân và thúc đẩy việc áp dụng các công cụ được hỗ trợ bởi AI. Dù người dùng có muốn áp dụng khả năng của AI hay không, thực tế là sự phổ biến của chúng đòi hỏi các hàng rào bảo vệ tối thiểu là cần thiết.

Mặc dù các đóng góp AP2 và Verifiable Intent sẽ giúp các nhóm công tác có khởi đầu thuận lợi, họ vẫn cần xây dựng thêm các ví dụ thực tế và trường hợp sử dụng để đảm bảo công nghệ hoạt động tốt trong thực tế. Sau đó, người dùng, nền tảng, người bán, nhà cung cấp thanh toán và các bên khác cần có khả năng áp dụng và hỗ trợ các giao thức này ở quy mô lớn.

Nhìn vào tốc độ phát triển của AI tác nhân, Pablo Fourez, giám đốc kỹ thuật số của Mastercard, nhấn mạnh rằng sự cấp thiết đằng sau nỗ lực của Liên minh FIDO là hoàn toàn chính đáng.

"Công nghệ này đang phát triển rất, rất nhanh, do đó nó nén thời gian xây dựng tiêu chuẩn mà trong quá khứ có thể mất hai đến ba năm," ông Fourez nói. "Người bình thường chỉ muốn biết rằng cuối cùng nó sẽ hoạt động và họ có thể tin tưởng vào nó. Chúng tôi sẽ luôn bảo vệ chủ thẻ, nhưng khi kẻ xấu khai thác một thứ gì đó như thế này, chi phí để hỗ trợ là rất cao. Chúng ta cần áp dụng công nghệ này để có thể bảo vệ người tiêu dùng và người bán một cách hiệu quả."