Tác nhân AI tự ý viết lại chính sách bảo mật: Cách kiểm soát AI trước khi gây thảm họa

Một tác nhân AI đã tự ý viết lại chính sách bảo mật của một tập đoàn Fortune 50. Không phải vì nó bị tấn công, mà vì nó muốn khắc phục một vấn đề, nhận thấy thiếu quyền hạn và tự gỡ bỏ giới hạn đó. Mọi kiểm tra danh tính đều vượt qua. CEO của CrowdStrike, George Kurtz, đã công bố sự việc này cùng một vụ việc khác trong bài phát biểu quan trọng tại RSAC 2026, cả hai đều xảy ra tại các công ty thuộc top 50 doanh nghiệp lớn nhất.

Chứng chỉ là hợp lệ. Quyền truy cập được ủy quyền. Nhưng hành động lại dẫn đến thảm họa.

Trình tự này phá vỡ giả định cốt lõi nằm dưới hệ thống IAM (Quản lý danh tính và quyền truy cập) mà hầu hết các doanh nghiệp đang vận hành: rằng một chứng chỉ hợp lệ cộng với quyền truy cập được ủy quyền sẽ bằng một kết quả an toàn. Các hệ thống danh tính được xây dựng cho một người dùng, một phiên làm việc, một cặp tay trên bàn phím. Các tác nhân AI phá vỡ cả ba giả định này cùng một lúc.

Trong một cuộc phỏng vấn độc quyền với VentureBeat tại RSAC 2026, Matt Caulfield, Phó chủ tịch Mảng Danh tính và Duo tại Cisco, đã đi qua kiến trúc mà đội ngũ của ông đang xây dựng để lấp đầy khoảng trống đó và phác thảo một mô hình trưởng thành danh tính 6 giai đoạn để quản trị AI tự hành. Tính cấp thiết có thể đo lường được: Chủ tịch Cisco Jeetu Patel cho biết tại cùng một hội nghị rằng 85% doanh nghiệp đang chạy các dự án thí điểm tác nhân, trong khi chỉ có 5% đưa vào sản xuất — một khoảng cách 80 điểm mà công việc danh tính này nhằm mục đích thu hẹp.

Ngăn xếp danh tính được xây dựng cho lực lượng lao động có vân tay

"Hầu hết các công cụ IAM hiện có trong tay chúng ta được xây dựng hoàn toàn cho một kỷ nguyên khác," Caulfield nói với VentureBeat. "Chúng được xây dựng cho quy mô con người, không thực sự dành cho các tác nhân."

Bản năng mặc định của doanh nghiệp là nhét các tác nhân vào các danh mục danh tính hiện có: người dùng; danh tính máy; chọn một. "Tác nhân là một loại danh tính mới thứ ba," Caulfield nói. "Chúng không phải con người. Chúng không phải máy móc. Chúng nằm ở somewhere ở giữa, nơi chúng có quyền truy cập rộng rãi vào tài nguyên như con người, nhưng hoạt động ở quy mô và tốc độ của máy móc, và hoàn toàn thiếu bất kỳ hình thức phán đoán nào."

Etay Maor, Phó chủ tịch Tình báo đe dọa tại Cato Networks, đã đưa ra một con số về mức độ rủi ro. Ông đã chạy một quét Censys trực tiếp và đếm được gần 500.000 phiên bản OpenClaw tiếp xúc với Internet. Tuần trước, ông tìm thấy 230.000, phát hiện sự gia tăng gấp đôi trong bảy ngày.

Kayne McGladrey, thành viên cao cấp của IEEE, người tư vấn cho các doanh nghiệp về rủi ro danh tính, đã đưa ra chẩn đoán tương tự một cách độc lập. Các tổ chức đang sao chép tài khoản người dùng con người sang các hệ thống tác nhân, McGladrey nói với VentureBeat, ngoại trừ việc các tác nhân tiêu thụ nhiều quyền hạn hơn nhiều so với con người vì tốc độ, quy mô và ý định của chúng.

Một nhân viên con người phải trải qua kiểm tra lý lịch, phỏng vấn và quy trình nhập việc. Các tác nhân bỏ qua cả ba bước. Các giả định về nhập việc được tích hợp trong IAM hiện đại không áp dụng được. Quy mô làm trầm trọng thêm sự thất bại. Caulfield chỉ ra các dự báo nơi một nghìn tỷ tác nhân có thể hoạt động trên toàn cầu. "Chúng ta hầu như không biết có bao nhiêu người trong một tổ chức trung bình," ông nói, "chưa nói đến số lượng tác nhân."

Kiểm soát quyền truy cập xác thực huy hiệu. Nó không theo dõi những gì xảy ra tiếp theo

Zero Trust (Không tin tưởng) vẫn áp dụng cho AI tự hành, Caulfield lập luận. Nhưng chỉ khi các đội ngũ an ninh đẩy nó vượt qua việc truy cập và thực thi ở mức độ hành động. "Chúng ta thực sự cần chuyển tư duy sang kiểm soát cấp độ hành động nhiều hơn," ông nói. "Hành động đó mà tác nhân đang thực hiện là gì?"

Một nhân viên con người có quyền truy cập được ủy quyền vào hệ thống sẽ không thực hiện 500 lệnh gọi API trong ba giây. Một tác nhân thì sẽ. Zero Trust truyền thống xác minh rằng một danh tính có thể tiếp cận một ứng dụng. Nó không xem xét kỹ lưỡng danh tính đó làm gì khi đã ở bên trong.

Carter Rees, Phó chủ tịch Trí tuệ nhân tạo tại Reputation, đã xác định nguyên nhân cấu trúc. Mặt phận ủy quyền phẳng của một LLM không tôn trọng quyền hạn của người dùng, Rees nói. Một tác nhân hoạt động trên mặt phẳng phẳng đó không cần leo thang đặc quyền. Nó đã có sẵn chúng. Đó là lý do tại sao kiểm soát quyền truy cập một mình không thể chứa được những gì tác nhân làm sau khi xác thực.

CTO của CrowdStrike, Elia Zaitsev, đã mô tả khoảng trống phát hiện với VentureBeat. Trong hầu hết các cấu hình ghi nhật ký mặc định, hoạt động của tác nhân không thể phân biệt được với con người. Việc phân biệt cả hai yêu cầu đi qua cây tiến trình, truy xem liệu phiên trình duyệt được khởi chạy bởi con người hay được sinh ra bởi một tác nhân trong nền. Hầu hết ghi nhật ký doanh nghiệp không thể thực hiện sự phân biệt này.

Lớp danh tính của Caulfield và lớp đo từ xa của Zaitsev đang giải quyết hai nửa của cùng một vấn đề. Không có nhà cung cấp nào đóng cả hai khoảng trống.

"Tại bất kỳ thời điểm nào, tác nhân đó có thể nổi loạn và mất trí," Caulfield nói. "Các tác nhân đọc sai trang web hoặc email, và ý định của chúng có thể thay đổi chỉ sau một đêm."

Chu kỳ yêu cầu hoạt động như thế nào khi tác nhân có danh tính riêng

Năm nhà cung cấp đã tung ra các khung danh tính tác nhân tại RSAC 2026, bao gồm Cisco, CrowdStrike, Palo Alto Networks, Microsoft và Cato Networks. Caulfield đã đi qua cách tiếp cận lớp danh tính của Cisco hoạt động trong thực tế.

Nền tảng danh tính tác nhân Duo đăng ký các tác nhân như các đối tượng danh tính hạng nhất, với các chính sách, yêu cầu xác thực và quản lý vòng đời của riêng chúng. Việc thực thi định tuyến tất cả lưu lượng truy cập của tác nhân qua một cổng AI hỗ trợ cả giao thức MCP và REST hoặc GraphQL truyền thống. Khi một tác nhân đưa ra yêu cầu, cổng xác thực người dùng, xác minh rằng tác nhân được phép, mã hóa ủy quyền vào mã thông báo OAuth, sau đó kiểm tra hành động cụ thể và xác định theo thời gian thực xem nó có nên tiếp tục hay không.

"Không có giải pháp nào cho tác nhân AI thực sự hoàn chỉnh trừ khi bạn có cả hai mảnh," Caulfield nói. "Mảnh danh tính, mảnh cổng truy cập. Và sau đó mảnh thứ ba sẽ là khả năng quan sát."

Cisco đã công bố ý định mua lại Astrix Security vào ngày 4 tháng 5, báo hiệu rằng việc khám phá danh tính tác nhân hiện nay là luận điểm đầu tư cấp độ hội đồng quản trị. Thương vụ này cũng gợi ý rằng ngay cả các nhà cung cấp đang xây dựng nền tảng danh tính cũng nhận ra rằng vấn đề khám phá khó khăn hơn mong đợi.

Mô hình trưởng thành danh tính 6 giai đoạn cho AI tự hành

Khi một công ty tuyên bố có 500 tác nhân trong sản xuất, Caulfield không chấp nhận con số đó. "Làm sao bạn biết là 500 chứ không phải 5.000?"

Hầu hết các tổ chức không có nguồn sự thật cho các tác nhân. Caulfield đã phác thảo một mô hình tham gia 6 giai đoạn.

Khám phá trước: xác định mọi tác nhân, nơi nó chạy và ai đã triển khai nó. Nhập việc: đăng ký các tác nhân trong thư mục danh tính, gắn từng tác nhân với một con người chịu trách nhiệm và xác định các hành động được phép. Kiểm soát và thực thi: đặt một cổng giữa các tác nhân và tài nguyên, kiểm tra mọi yêu cầu và phản hồi. Giám sát hành vi: ghi lại tất cả hoạt động của tác nhân, gắn cờ các bất thường và xây dựng đường dẫn kiểm toán. Cách ly thời gian chạy chứa các tác nhân trên các điểm cuối khi chúng nổi loạn. Ánh xạ tuân thủ gắn các điều khiển tác nhân với các khung kiểm toán trước khi kiểm toán viên đến. Sáu giai đoạn này không độc quyền của bất kỳ nhà cung cấp nào. Chúng mô tả trình tự mà mọi doanh nghiệp sẽ theo theo bất kể nền tảng nào cung cấp từng giai đoạn.

Dữ liệu Censys của Maor làm phức tạp bước đầu tiên trước khi nó bắt đầu. Các tổ chức bắt đầu khám phá nên giả định rằng mức độ tiếp xúc của tác nhân của họ đã hiển thị với kẻ thù. Bốn bước có vấn đề riêng. Công việc cây tiến trình của Zaitsev cho thấy rằng ngay cả các tổ chức ghi nhật ký hoạt động của tác nhân có thể không đang nắm bắt đúng dữ liệu. Và bước ba phụ thuộc vào điều mà Rees thấy hầu hết các doanh nghiệp thiếu: một cổng kiểm tra hành động, không chỉ truy cập, vì LLM không tôn trọng các ranh giới quyền hạn mà lớp danh tính đặt ra.

Ma trận quy định danh tính cho tác nhân

Cần kiểm toán gì ở mỗi giai đoạn trưởng thành, sự sẵn sàng vận hành trông như thế nào, và cờ đỏ báo hiệu giai đoạn đó thất bại. Sử dụng cái này để đánh giá bất kỳ nền tảng hoặc kết hợp nền tảng nào.

Giai đoạn	Cần kiểm toán gì	Sự sẵn sàng vận hành trông như thế nào	Cờ đỏ nếu thiếu
1. Khám phá	Danh mục đầy đủ mọi tác nhân, mọi máy chủ MCP nó kết nối, và mọi con người chịu trách nhiệm.	Một sổ đăng ký có thể truy vấn trả về số lượng tác nhân, chủ sở hữu và bản đồ kết nối trong vòng 60 giây khi kiểm toán viên yêu cầu.	Không có sổ đăng ký. Số lượng tác nhân là ước tính. Không có con người chịu trách nhiệm cho bất kỳ tác nhân cụ thể nào. Kẻ thù có thể thấy cơ sở hạ tầng tác nhân của bạn từ Internet công cộng trước khi bạn có thể.
2. Nhập việc	Các tác nhân được đăng ký như một loại danh tính riêng biệt với các chính sách riêng, tách biệt với danh tính con người và máy.	Mỗi tác nhân có một đối tượng danh tính duy nhất trong thư mục, gắn với một con người chịu trách nhiệm, với các hành động được phép được xác định và mục đích được ghi lại.	Các tác nhân sử dụng tài khoản con người được sao chép hoặc tài khoản dịch vụ chia sẻ. Sự lan rộng quyền hạn bắt đầu từ lúc tạo ra. Không có đường dẫn kiểm toán nào gắn hành động tác nhân với một con người chịu trách nhiệm.
3. Kiểm soát	Một cổng giữa mọi tác nhân và mọi tài nguyên nó truy cập, thực thi chính sách cấp độ hành động trên mọi yêu cầu và mọi phản hồi.	Bốn điểm kiểm tra mỗi yêu cầu: xác thực người dùng, ủy quyền tác nhân, kiểm tra hành động, kiểm tra phản hồi. Không có kết nối trực tiếp tác nhân-tài nguyên nào tồn tại.	Các tác nhân kết nối trực tiếp với các công cụ và API. Cổng (nếu tồn tại) kiểm tra truy cập nhưng không kiểm tra hành động. Mặt phẳng ủy quyền phẳng của LLM không tôn trọng các ranh giới quyền hạn mà lớp danh tính đặt ra.
4. Giám sát	Ghi nhật ký có thể phân biệt hành động do tác nhân khởi tạo với hành động do con người khởi tạo ở cấp độ cây tiến trình.	SIEM có thể trả lời: Phiên trình duyệt này được bắt đầu bởi con người hay được sinh ra bởi một tác nhân? Đường cơ sở hành vi tồn tại cho mỗi tác nhân. Bất thường kích hoạt cảnh báo.	Ghi nhật ký mặc định coi hoạt động tác nhân và con người là giống hệt nhau. Dòng dõi cây tiến trình không được nắm bắt. Hành động tác nhân vô hình trong đường dẫn kiểm toán. Giám sát hành vi không hoàn chỉnh trước khi nó bắt đầu.
5. Cách ly	Chứa thời gian chạy giới hạn phạm vi ảnh hưởng nếu một tác nhân nổi loạn, tách biệt khỏi bảo vệ điểm cuối con người.	Một tác nhân nổi loạn có thể được chứa trong hộp cát của nó mà không làm sập điểm cuối, phiên người dùng hoặc các tác nhân khác trên cùng một máy.	Không có ranh giới chứa nào tồn tại giữa các tác nhân và máy chủ. Một tác nhân bị xâm phạm có thể truy cập mọi thứ người dùng có thể. Phạm vi ảnh hưởng là toàn bộ điểm cuối.
6. Tuân thủ	Tài liệu ánh xạ danh tính tác nhân, điều khiển và đường dẫn kiểm toán với khung tuân thủ mà kiểm toán viên sẽ sử dụng.	Khi kiểm toán viên hỏi về các tác nhân, đội ngũ an ninh tạo ra danh mục điều khiển, đường dẫn kiểm toán và chính sách quản trị được viết riêng cho danh tính tác nhân.	Các khung rủi ro AI mới nổi (CSA Agentic Profile) tồn tại, nhưng các danh mục kiểm toán chính thống (SOC 2, ISO 27001, PCI DSS) chưa vận hành hóa danh tính tác nhân. Không có danh mục điều khiển nào ánh xạ tới các tác nhân. Kiểm toán viên tùy ý áp dụng các điều khiển danh tính con người nào. Đội ngũ an ninh trả lời bằng sự tùy ý, không phải tài liệu.

Nguồn: Phân tích của VentureBeat từ các cuộc phỏng vấn RSAC 2026 (Caulfield, Zaitsev, Maor) và xác thực của các chuyên gia độc lập (McGladrey, Rees). Tháng 5 năm 2026.

Các khung tuân thủ chưa bắt kịp

"Nếu bạn trải qua một cuộc kiểm toán hôm nay với tư cách là một giám đốc an ninh, kiểm toán viên có lẽ sẽ phải tự tìm ra, này, có các tác nhân ở đây," Caulfield nói. "Điều khiển nào của bạn thực sự nên được áp dụng cho nó? Tôi không thấy từ tác nhân ở bất kỳ đâu trong chính sách của bạn."

Kinh nghiệm thực tế của McGladrey xác nhận khoảng trống này. Liên minh An ninh Đám mây đã xuất bản Hồ sơ NIST AI RMF Agentic vào tháng 4 năm 2026, đề xuất phân loại cấp độ tự chủ và số liệu hành vi thời gian chạy. Nhưng SOC 2, ISO 27001 và PCI DSS chưa vận hành hóa danh tính tác nhân. Các khung tuân thủ mà McGladrey làm việc trong các doanh nghiệp được viết cho con người. Danh tính tác nhân không xuất hiện trong bất kỳ danh mục điều khiển nào ông gặp. Khoảng trống là một chỉ số chậm; rủi ro thì không.

Kế hoạch hành động cho giám đốc an ninh

VentureBeat đã xác định năm hành động từ các phát hiện kết hợp của Caulfield, Zaitsev, Maor, McGladrey và Rees.

1. Thực hiện điều tra dân số tác nhân và giả định kẻ thù đã làm rồi. Mọi tác nhân, mọi máy chủ MCP mà các tác nhân đó chạm vào, mọi con người chịu trách nhiệm. Dữ liệu Censys của Maor xác nhận cơ sở hạ tầng tác nhân đã hiển thị từ Internet công cộng. NCCoE của NIST đã đưa ra kết luận tương tự trong bài viết khái niệm tháng 2 năm 2026 về danh tính và ủy quyền tác nhân AI.

2. Ngừng sao chép tài khoản con người cho các tác nhân. McGladrey phát hiện ra rằng các doanh nghiệp mặc định sao chép hồ sơ người dùng, và sự lan rộng quyền hạn bắt đầu từ ngày đầu tiên. Các tác nhân cần là một loại danh tính riêng biệt với giới hạn phạm vi phản ánh những gì chúng thực sự làm.

3. Kiểm tra mọi đường dẫn truy cập MCP và API. Năm nhà cung cấp đã tung ra các cổng MCP tại RSAC 2026. Khả năng tồn tại. Điều quan trọng là liệu các tác nhân định tuyến qua một cái hay kết nối trực tiếp với các công cụ mà không có kiểm tra cấp độ hành động.

4. Sửa chữa ghi nhật ký để nó phân biệt tác nhân với con người. Phương pháp cây tiến trình của Zaitsev tiết lộ rằng các hành động do tác nhân khởi tạo vô hình trong hầu hết các cấu hình mặc định. Rees thấy các mặt phận ủy quyền quá phẳng sao cho nhật ký truy cập một mình bỏ lỡ hành vi thực tế. Ghi nhật ký phải nắm bắt các tác nhân đã làm gì, không chỉ những gì chúng được phép tiếp cận.

5. Xây dựng hồ sơ tuân thủ trước khi kiểm toán viên đến. CSA đã xuất bản Hồ sơ NIST AI RMF Agentic đề xuất các mở rộng quản trị tác nhân. Hầu hết các danh mục kiểm toán chưa bắt kịp. Caulfield nói với VentureBeat rằng các kiểm toán viên sẽ thấy các tác nhân trong sản xuất và không tìm thấy điều khiển nào được ánh xạ tới chúng. Tài liệu cần tồn tại trước khi cuộc trò chuyện đó bắt đầu.