Từ Shadow IT đến Shadow AI: Tại sao doanh nghiệp cần AI-BOM ngay lập tức

Từ Shadow IT đến Shadow AI: Tại sao doanh nghiệp cần AI-BOM ngay lập tức

Khi việc bảo mật chuỗi cung ứng doanh nghiệp ngày càng trở nên phức tạp do sự xâm nhập sâu rộng của các ứng dụng và tác nhân AI, bản hóa đơn vật liệu phần mềm truyền thống (SBOM) không còn cung cấp một danh sách kiểm kê hoàn chỉnh về tất cả các thành phần trong môi trường công nghệ. Đó là lúc chúng ta cần đến AI-BOM (AI Bill of Materials - Hóa đơn vật liệu AI).

Trong khi SBOM truyền thống bao gồm tất cả các gói phần mềm và phần phụ thuộc trong tổ chức, AI-BOM nhằm mục đích lấp đầy các khoảng trống do tài sản AI tạo ra. Nó cung cấp khả năng hiển thị trên tất cả các mô hình, tập dữ liệu, thư viện SDK, máy chủ MCP, khung ML, tác nhân, kỹ năng tác nhân, câu lệnh (prompts) và các công cụ AI khác — cộng với cách các thành phần AI này tương tác với nhau và kết nối với quy trình làm việc.

Mối đe dọa từ "Shadow AI"

"Hãy tưởng tượng AI giống như một chiếc bánh sinh nhật đặt ở giữa căn phòng này, nhưng bạn không biết nó đến đó bằng cách nào," Ian Swanson, Phó chủ tịch bảo mật AI tại Palo Alto Networks, chia sẻ trong một cuộc phỏng vấn. "Bạn không biết công thức, không biết nguyên liệu, cũng không biết người thợ làm bánh. Bạn có muốn ăn một miếng bánh đó không?"

Rất nhiều tổ chức vẫn đang "ăn" chiếc bánh đó dù không biết rõ nguồn gốc. Ngoài các mô hình và công cụ AI được công ty chấp thuận sử dụng trong ngăn xếp công nghệ, còn tồn tại vấn đề "Shadow AI" (AI bóng tối) — trước đây chúng ta gọi là "Shadow IT". Những công cụ không được cấp phép này cần được đưa ra khỏi bóng tối để có thể kiểm soát chúng. Điều này bao gồm các nền tảng "vibe coding" (lập trình theo cảm hứng) và các tác nhân mà nhân viên cá nhân tự tạo ra, cùng với bất kỳ chatbot bên ngoài nào họ tương tác trên máy tính làm việc và có thể nhập dữ liệu nhạy cảm của công ty vào đó.

Để bảo vệ tất cả các "nguyên liệu AI" được nướng vào chiếc bánh đó, các công ty trước hết cần biết chúng là gì, chúng kết nối với cái gì và cách chúng đang được sử dụng.

"Ai cũng muốn một cách để xác định những tài sản AI nào tồn tại trong môi trường của họ," Amy Chang, người đứng đầu bộ phận tình báo mối đe dọa AI và nghiên cứu bảo mật tại Cisco, cho biết. "Một công cụ như bản hóa đơn vật liệu AI là một trong những điểm khởi đầu đầu tiên giúp bạn có được sự hiểu biết tốt hơn về những gì đang tồn tại."

Theo dõi nguồn gốc mô hình (Model Provenance)

Cisco trước đây đã mã nguồn mở AI-BOM của mình, cho phép bất kỳ ai quét cơ sở mã, hình ảnh vùng chứa và môi trường đám mây để tạo ra bản hóa đơn vật liệu này.

Gần đây, công ty cũng cung cấp Bộ công cụ Nguồn gốc Mô hình (Model Provenance Kit) dưới dạng công cụ mã nguồn mở để theo dõi nguồn gốc của mô hình. Trong một bài đăng blog công bố kho lưu trữ mới, Chang và các nhà nghiên cứu AI khác mô tả nó như một bài kiểm tra DNA cho các mô hình AI, xác định nguồn gốc bằng một trong hai chế độ: so sánh hoặc quét.

Chế độ so sánh lấy bất kỳ hai mô hình nào và hiển thị sự tương đồng của chúng trên siêu dữ liệu, cấu trúc tokenizer, tín hiệu cấp trọng số cùng với điểm số tổng hợp cuối cùng. Chế độ quét bắt đầu với một mô hình duy nhất và khớp nó với cơ sở dữ liệu để xác định các ứng cửen dòng dõi gần nhất nhất — và để hỗ trợ chế độ này, Cisco cũng đã phát hành cơ sở dữ liệu dấu vân tay mô hình bao gồm khoảng 150 mô hình cơ bản trên hơn 45 họ và hơn 20 nhà xuất bản.

Chang cho biết công cụ AI mới này thực hiện hai kiểm soát cổng. "Đầu tiên, ở cấp độ siêu dữ liệu, nó so sánh thông tin từ mô hình cơ bản với phiên bản tinh chỉnh của mô hình để phác họa một số loại mối quan hệ liên kết nguồn gốc — ví dụ như mô hình này bắt nguồn từ Meta Llama 4 hay Alibaba Qwen3," bà nói.

"Sau đó, chúng tôi xem xét các dấu hiệu dựa trên trọng số. Vì vậy, bây giờ chúng tôi đang cung cấp một cách có thể xác minh, lặp lại và có thể chứng minh để chứng thực rằng các mô hình bạn sử dụng và triển khai, các mô hình hướng tới khách hàng, đang tiêu thụ tất cả dữ liệu này, thực sự là những mô hình bạn nên sử dụng, hoặc nằm trong giới hạn dung chịu rủi ro của bạn."

Trong cuộc phỏng vấn, Chang đã chỉ ra Cursor's Composer 2, một phần được xây dựng trên Kimi 2.5, một mô hình mã nguồn mở của Trung Quốc. "Họ đã rất nhanh chóng thừa nhận rằng, có, chúng tôi đã sử dụng mô hình Trung Quốc để xây dựng cái này," bà nói. "Nhưng điều đó có thể mang lại rủi ro về quy định hoặc tuân thủ."

Ví dụ điển hình là Đạo luật AI của Liên minh Châu Âu (EU AI Act) bắt buộc các tổ chức phải ghi lại dữ liệu đào tạo, đặc điểm của phương pháp đào tạo và đánh giá rủi ro cho "hệ thống rủi ro cao".

Mở rộng phạm vi bảo mật

Google's Wiz, trong các AI-BOM của mình, cũng tính đến tất cả các công cụ trên máy trạm của nhà phát triển, chẳng hạn như máy tính xách tay hoặc môi trường phát triển tích hợp (IDE), đã được sử dụng để xây dựng ứng dụng AI.

"Nhiều người định nghĩa khả năng hiển thị hoặc BOM dựa trên những gì thực sự nằm trong tạo phẩm cuối cùng, nhưng chúng tôi cũng mở rộng định nghĩa của BOM nói chung và AI-BOM cụ thể để bao gồm cả các công cụ AI đã được sử dụng để xây dựng ứng dụng đó," Ziad Ghalleb, quản lý tiếp thị sản phẩm kỹ thuật của Wiz, cho biết.

"Và sau đó một khía cạnh quan trọng khác là các danh tính được gắn liền với các khối lượng công việc AI này, bởi vì tất cả các tác nhân hoặc mô hình, công cụ, v.v., đều được gắn với một danh tính cụ thể trong môi trường của bạn," Ghalleb thêm vào. "Vì vậy, bạn cần xem xét các danh tính phi con người này liên quan đến các hệ thống. Không chỉ là tài nguyên, mà còn là các danh tính và tập quyền hạn được gắn với chúng."

Tất cả những điều này đều dẫn đến khả năng hiển thị và bảo mật. "Nếu bạn không có khả năng hiển thị các khối lượng công việc này, thì bạn thực sự không thể hiểu được cần bảo vệ cái gì," Swanson nói.

Phòng chống tấn công độc hóa

Không chỉ có các doanh nghiệp đang vội vàng tích hợp các công cụ AI vào quy trình làm việc của họ, mà tội phạm cũng đang sử dụng các công cụ tương tự để di chuyển nhanh hơn và làm cho các cuộc tấn công của họ hiệu quả hơn.

Theo Swanson, đây cũng là một trường hợp mà việc có AI-BOM có thể giúp những người bảo vệ phản ứng nhanh hơn. Ông không thể nêu tên công ty, nhưng trong một sự cố mà Palo Alto Networks đã xử lý, một nhóm tội phạm đã sử dụng AI để do thám tổ chức nạn nhân và định vị các điểm cuối bị lộ.

"Một trong những việc họ làm là lấy quyền truy cập vào các câu lệnh hệ thống (system prompts) — hướng dẫn cho khối lượng công việc AI cho nó biết nó có thể làm gì và không thể làm gì," Swanson nói. Và khi kẻ tấn công có được quyền truy cập vào các câu lệnh hệ thống AI nội bộ của công ty, chúng đã sửa đổi chúng để buộc AI phải làm những việc nó không nên làm — như đánh cắp dữ liệu và gửi nó đến một tài khoản email bên ngoài.

Một AI-BOM sẽ cung cấp sự hiểu biết về cấu hình và các phần phụ thuộc của hệ thống AI tại một trạng thái cụ thể theo thời gian — và cũng chỉ ra bất kỳ thay đổi nào.

"Nếu bạn có sự hiểu biết về trạng thái và sự hiểu biết về các thay đổi trạng thái, thì bạn sẽ có thể quay lại bản hóa đơn vật liệu AI và nói: 'Câu lệnh hệ thống nào đã được sử dụng trong các nguyên liệu để tạo ra ứng dụng AI?' Và sau đó thấy rằng nó đã thay đổi từ trạng thái trước sang trạng thái mới. Vì vậy, chúng ta có lẽ nên kiểm tra điều này và xem có anything xấu đang xảy ra ở đây không," Swanson nói. "Và trong trường hợp đó, bạn sẽ có thể bắt được nó."

Các cuộc tấn công chuỗi cung ứng khác như độc hóa mô hình và kỹ năng (skills poisoning) làm nổi bật rủi ro của việc không biết những công cụ AI nào đang nằm trong môi trường CNTT.

"Các kỹ năng mà mọi người sử dụng phối hợp với nhiều trợ lý lập trình này khá dễ dàng can thiệp, vì vậy điều quan trọng là phải có thể quét chúng để đảm bảo rằng không ai đang thao túng các khả năng này," Swanson nói. Nếu một kỹ năng được cho là cung cấp dự báo thời tiết, nó không nên cũng đánh cắp thông tin xác thực hoặc làm lộ bí mật, ông giải thích.

AI-BOM (và các đối tác phần mềm của chúng) cũng có thể giúp các tổ chức nhanh chóng xác định mã nguồn mở bị xâm nhập đang chạy trên hệ thống doanh nghiệp. Ví dụ: đợt tấn công gần đây vào các gói npm và PyPI bị độc hóa cũng như các cuộc tấn công trộm thông tin xác thực sâu bọ Shai-Hulud trước đó. Cả hai chiến dịch này đều nhắm vào mã thường được tích hợp vào các ứng dụng AI.

Ngay cả khi không có định danh CVE, AI-BOM cho phép người dùng truy vấn "các thư viện hoặc gói liên quan", và sau đó xác định bất kỳ phiên bản độc hại nào trong môi trường của họ, Ghalleb nói. "Không có CVE nào đính kèm với chúng, nhưng ít nhất bạn biết cách loại bỏ những thứ này để chứa đựng một mối đe dọa đang phát triển."