Sự phát triển nhanh chóng và không kiểm soát của các tác nhân AI trong doanh nghiệp đang tạo ra một vấn đề đa diện mới, đặt lợi ích năng suất đối đầu với rủi ro an ninh và chi phí ngày càng tăng.
Quay lại
Sự lan rộng của tác nhân AI tạo ra rủi ro mới cho hơn 150.000 bot doanh nghiệp
Sự gia tăng nhanh chóng của các tác nhân AI tự trị, với dự đoán trung bình 150.000 bot chạy trong mỗi doanh nghiệp Fortune 500 trong vòng hai năm tới, đang tạo ra một thách thức lớn về quản lý và an ninh mạng có nguy cơ làm lu mờ các lợi ích về năng suất.
"Vì ai cũng có thể làm được, chúng ta có thể sẽ kết thúc với việc rất nhiều người có cùng một loại tác nhân," Michael Friedlander, Giám đốc Thông tin khu vực Châu Mỹ tại Magnum Ice Cream, nói với The Wall Street Journal, nhấn mạnh bản chất phi tập trung của vấn đề.
Các công ty bao gồm Lyft, DaVita và Fair Isaac (FICO) đã và đang điều hướng tình trạng "lan rộng tác nhân AI" này, được thúc đẩy bởi sự dễ dàng trong việc tạo bot với các nền tảng như Claude Cowork của Anthropic. Nhân viên tại công ty chăm sóc thận DaVita đã tạo ra hơn 10.000 tác nhân AI. Theo công ty nghiên cứu thị trường Gartner, chỉ có 13% tổ chức tin rằng họ có hệ thống quản trị tác nhân AI đầy đủ vào ngày nay.
Việc thiếu quản trị này tạo ra rủi ro tài chính và bảo mật đáng kể, với các tác nhân dư thừa làm tăng chi phí tính toán và các bot cấu hình sai làm lộ các hệ thống nội bộ nhạy cảm—một mối đe dọa mà Microsoft báo cáo là đã và đang bị những kẻ tấn công khai thác tích cực.
Con dao hai lưỡi của quá trình dân chủ hóa AI
Cốt lõi của vấn đề bắt nguồn từ chính khả năng tiếp cận khiến các công cụ AI trở nên hấp dẫn. Các nền tảng từ những công ty như Anthropic và các khung mã nguồn mở như OpenClaw và AutoGen Studio của Microsoft giúp các nhân viên không chuyên về kỹ thuật dễ dàng xây dựng và triển khai các tác nhân cho các tác vụ như tóm tắt email, viết mã hoặc phân tích dữ liệu. Tại FICO, hàng chục tác nhân mới được tạo ra hàng ngày trong toàn bộ hệ thống phân cấp của công ty, CIO Mike Trkay cho biết.
Mặc dù điều này có thể thúc đẩy sự đổi mới, nhưng nó cũng dẫn đến sự hỗn loạn. Nhiều tác nhân có thể thực hiện cùng một tác vụ, làm tăng chi phí token và tính toán một cách không cần thiết. Tệ hơn nữa, chúng có thể tạo ra các kết quả mâu thuẫn từ cùng một dữ liệu, làm suy yếu việc ra quyết định. Để quản lý việc này, DaVita đã phát triển một nền tảng nội bộ để quản lý chi phí token và hạn chế các tác nhân kém hiệu quả, trong khi Lyft đang tạo ra một nền tảng tập trung với các kiểm soát CNTT.
Từ sự lan rộng đến các cấu hình sai có thể khai thác
Rủi ro nghiêm trọng nhất của sự phát triển tác nhân không kiểm soát nằm ở an ninh mạng. Theo nghiên cứu của Microsoft Defender for Cloud, nhiều đợt triển khai AI đang được đưa vào sản xuất vội vã trên các nền tảng đám mây như Kubernetes với tính năng xác thực yếu hoặc bị thiếu. Những "cấu hình sai có thể khai thác" này tạo ra các đường dẫn tấn công ít nỗ lực nhưng tác động cao.
Các nhà nghiên cứu đã tìm thấy các công cụ AI mã nguồn mở phổ biến được triển khai với các thiết lập mặc định không an toàn. Mage AI, một nền tảng đường ống dữ liệu và AI, đã bị phát hiện để lộ giao diện người dùng web không cần xác thực, cho phép thực thi mã tùy ý với đặc quyền quản trị cụm. Mặc dù vấn đề đã được vá, nó đã được quan sát thấy đang bị khai thác tích cực trong thực tế. Tương tự, khung kagent để chạy các tác nhân AI trên Kubernetes đã bị phát hiện thiếu xác thực theo mặc định, cho phép người dùng ẩn danh triển khai các khối lượng công việc độc hại nếu ứng dụng được công khai.
Các lỗ hổng này có thể cho phép kẻ tấn công thực thi mã từ xa, đánh cắp thông tin xác thực và truy cập các công cụ cũng như dữ liệu nội bộ nhạy cảm mà không cần sử dụng các lỗi zero-day tinh vi. Microsoft nhận thấy 15% máy chủ Model Context Protocol (MCP) được triển khai từ xa, cho phép các tác nhân tương tác với các công cụ bên ngoài, không an toàn và cho phép truy cập không cần xác thực vào các hệ thống nhân sự nội bộ và kho mã nguồn riêng tư.
Chiến lược 'Phòng thủ theo chiều sâu' cho bảo mật tác nhân
Để chống lại sự lan rộng, các chuyên gia bảo mật khuyến nghị chiến lược "phòng thủ theo chiều sâu" tập trung vào lớp ứng dụng, nơi những người xây dựng có quyền kiểm soát nhiều nhất. Cách tiếp cận này vượt ra ngoài việc dựa vào các tính năng an toàn xác suất của chính mô hình AI và triển khai các kiểm soát cấu trúc trong cách các tác nhân được xây dựng và quản trị.
Các kiến trúc sư bảo mật của Microsoft ủng hộ bốn mô hình thiết kế chính. Đầu tiên, thiết kế các tác nhân giống như các microservices, với các trách nhiệm hẹp và quyền hạn bị cô lập, nhằm giới hạn phạm vi ảnh hưởng của bất kỳ sự cố xâm nhập nào. Điều này chống lại chế độ thất bại của các "tác nhân đa năng", nơi một bot có quyền truy cập quá rộng.
Thứ hai là thực thi chính sách đặc quyền tối thiểu, nơi các tác nhân bắt đầu với không quyền hạn và chỉ được cấp quyền truy cập rõ ràng vào các công cụ và dữ liệu cụ thể cần thiết cho một nhiệm vụ. Thứ ba, thực hiện các đánh giá có sự tham gia của con người (human-in-the-loop - HITL) mang tính xác định cho các quyết định có rủi ro cao. Quan trọng là, các trình kích hoạt để con người xem xét nên được xác định trong mã và được ứng dụng thực thi, không để tác nhân tự suy luận.
Cuối cùng, việc thiết lập danh tính tác nhân như một nguyên hàm bảo mật cốt lõi là rất quan trọng. Mỗi tác nhân phải có một danh tính duy nhất, có thể xác minh được, tách biệt với người dùng đã tạo ra nó. Điều này cho phép phân quyền chi tiết, quản trị vòng đời và các dấu vết kiểm tra rõ ràng, đảm bảo rằng khi hàng ngàn tác nhân được triển khai, các hành động của chúng có thể được theo dõi, quản lý và thu hồi nếu cần thiết.
Bài viết này chỉ dành cho mục đích thông tin và không cấu thành lời khuyên đầu tư.
[1] Các công ty có vấn đề AI mới: Quá nhiều tác nhân[2] Doanh nghiệp có vấn đề AI mới: Quá nhiều tác nhân[3] Khi cấu hình trở thành lỗ hổng: Các cấu hình sai có thể khai thác trong ứng dụng AI[4] Các công ty có vấn đề AI mới: Quá nhiều tác nhân - WSJ[5] Phòng thủ theo chiều sâu cho các tác nhân AI tự trị - Microsoft
