Khủng hoảng bảo mật chuỗi cung ứng: Tốc độ lỗ hổng tăng nhanh, tầm nhìn lại quá mờ nhạt

Khủng hoảng bảo mật chuỗi cung ứng: Tốc độ lỗ hổng tăng nhanh, tầm nhìn lại quá mờ nhạt

Báo cáo về lỗ hổng chuỗi cung ứng năm 2026 từ Black Kite đã mở đầu bằng một tuyên bố đáng báo động: "Tốc độ mà không có tầm nhìn là cuộc khủng hoảng mới của chuỗi cung ứng". Sự kết nối toàn cầu của doanh nghiệp và các hệ thống phần mềm đã nâng tầm các mối đe dọa chuỗi cung ứng trở thành mối lo ngại hàng đầu về an ninh mạng. Vấn đề cốt lõi nằm ở việc nhiều tổ chức không nhận thức rõ vị trí của mình trong chuỗi cung ứng và có thể trở thành nạn nhân dù không hề có lỗi gì trực tiếp.

Tấn công chuỗi cung ứng phần mềm

Ba điểm chính từ phân tích của Black Kite vẽ nên một bức tranh ảm đạm về thực trạng an ninh hiện nay:

• Năm 2025 có hơn 48.000 CVE (lỗ hổng và lỗ hổng bảo mật phổ biến) được công bố.
• Thời gian khai thác hiện nay là một con số âm.
• Chỉ có 58 trong số các CVE này thực sự được xác định là gây ra mối đe dọa có thể khám phá và khai thác được đối với chuỗi cung ứng doanh nghiệp.

Điểm đầu tiên là một thực tế không thể chối cãi. Điểm thứ hai là kết luận được cả Black Kite và Mandiant đưa ra (M-Trends 2026: "Thời gian trung bình để khai thác lỗ hổng đã giảm xuống ước tính -7 ngày, nghĩa là việc khai thác thường xuyên diễn ra trước khi bản vá lỗi thậm chí được phát hành").

Hai thực tế này cho thấy các công ty không thể duy trì an ninh chỉ bằng cách vá lỗi CVE. Điều này giải thích mối lo ngại của Black Kite về "tốc độ". Điểm thứ ba cho thấy nhu cầu cấp thiết về "khả năng quan sát" (visibility) đối với các lỗ hổng để giảm số lượng chúng xuống một con số có thể quản lý được.

Tầm nhìn là chìa khóa để lọc nhiễu

Black Kite đã chọn một tập hợp con gồm 1.024 CVE ưu tiên cao dựa trên điểm EPSS, việc đưa vào danh sách KEV (Lỗ hổng đã biết đang được khai thác) và mức độ liên quan của bên thứ ba. Tuy nhiên, từ số này, chỉ có 58 CVE dễ dàng bị kẻ tấn công phát hiện qua OSINT (tình báo mã nguồn mở) và do đó là quan trọng nhất. Việc tìm ra những CVE quan trọng nhất này là một vấn đề tầm nhìn cốt lõi trong bảo mật chuỗi cung ứng – nhưng nếu chúng có thể được tìm thấy, tốc độ có thể được quản lý tốt hơn.

Vai trò của AI trong cuộc khủng hoảng này

Mặc dù vấn đề về tốc độ và tầm nhìn đã tồn tại trong năm 2025, nhưng tình hình có khả năng sẽ tồi tệ hơn trong tương lai – và AI vừa là nguyên nhân trực tiếp vừa là nguyên nhân gián tiếp.

Thứ nhất, chúng ta có thể chắc chắn rằng trong năm 2026, các mô hình AI tiên phong sẽ tìm ra nhiều lỗ hổng hơn so với các năm trước. Thứ hai, sự gia tăng nhanh chóng của các ứng dụng mới được viết mã dựa trên cảm hứng (vibe coded) đang giới thiệu nhiều ứng dụng hơn với nhiều điểm yếu hơn. Thứ ba, tần suất cập nhật phần mềm chịu ảnh hưởng của AI gia tăng có nhiều khả năng bao gồm các điểm yếu phần mềm do npm tạo ra có thể bị khai thác sau này.

Jeffrey Wheatman, Phó Chủ tịch cấp cao và chuyên gia chiến lược rủi ro mạng tại Black Kite, đã thêm một yếu tố thứ tư. "Tôi nghĩ phần lớn sự tăng trưởng của các tác nhân AI (agentic AI) mà chúng ta đang thấy đang dẫn đến nhiều rủi ro lộ liễu hơn, bởi vì các công cụ này được cấp quyền ủy quyền, xác thực và quyền truy cập."

Điều này làm tăng vấn đề tầm nhìn vì các bộ phận CNTT và an ninh không biết về các hệ thống tác nhân đang được sử dụng trong cơ sở hạ tầng của họ: chúng có thể bị ẩn và không được tiết lộ trong các ứng dụng web đã tải xuống, hoặc được đưa ra âm thầm thông qua "Shadow AI" (AI bóng tối).

Phòng thủ tự động và rủi ro của nó

Wheatman cũng lạc quan rằng AI phòng thủ có thể hỗ trợ. Vấn đề lớn nhất ở đây là liệu tốc độ đe dọa gia tăng có gây ra sự phụ thuộc nhiều hơn vào AI phòng thủ hoàn toàn tự động quá sớm hay không. Câu trả lời, như thường lệ trong các câu hỏi an ninh mạng, là "tùy thuộc vào".

"Hãy nhớ sự cố CrowdStrike," ông gợi ý. Một bản cập nhật cấu hình bị lỗi cho Falcon Sensor trên hệ thống Windows đã được triển khai tự động thông qua hệ thống Nội dung Phản hồi Nhanh của CrowdStrike – khiến khoảng 8,5 triệu hệ thống Windows bị sập.

"Câu hỏi lớn mà tôi nghe thấy là 'chúng ta có nên tắt cập nhật tự động không?', vì đó là nguyên nhân gây ra vấn đề đó. Quyết định mà tôi nghe thấy là những bản cập nhật tự động đó, mặc dù dẫn đến một số rủi ro, nhưng việc không cập nhật chữ ký, định nghĩa, khả năng phát hiện và nhận dạng đó là một rủi ro cao hơn nhiều."

Tuy nhiên, điều đó vẫn phụ thuộc vào bối cảnh. "Một ngân hàng sẽ ít có xu hướng cho phép tắt tự động hệ thống giao dịch của họ hơn là hệ thống tiền lương vì việc tắt có thể khiến họ mất hàng triệu đô la cho mỗi giờ ngừng hoạt động." Những tình huống như vậy có thể đòi hỏi sự can thiệp của con người để đưa ra quyết định cuối cùng. Các công ty nhỏ với ít nguồn lực nhân sự và ngân sách an ninh thấp hơn có thể có xu hướng chuyển sang phòng thủ hoàn toàn tự động, chỉ để đối phó với tốc độ của các lỗ hổng và thiếu khả năng quan sát mức độ quan trọng của chúng.

Tầm nhìn thông qua SBOM

Một vấn đề lớn khác là thiếu khả năng quan sát phần mềm đang được sử dụng. Điều này nên được cung cấp thông qua SBOM (Hóa đơn phần mềm) do nhà cung cấp phần mềm giao, nhưng tính đầy đủ, độ chính xác và giá trị của chúng hiện đang gây tranh cãi. SBOM nên cung cấp chi tiết về bất kỳ lỗ hổng nào trong phần mềm – nhưng chúng có làm được như vậy không?

"Chúng ta bắt đầu nghe nhiều hơn về AI SBOM, thứ giống như một chén thánh – nhưng chúng vẫn còn ở tương lai một năm hoặc nhiều nữa," Wheatman bổ sung.

Tất cả quay lại tiền đề ban đầu của Black Kite. Tốc độ mà không có tầm nhìn là cuộc khủng hoảng chuỗi cung ứng mới và việc đạt được tầm nhìn đó sẽ giúp cung cấp giải pháp.