Shadow AI: Khi rủi ro không còn nằm ở rò rỉ dữ liệu mà là kiểm soát truy cập

Trong làn sóng đầu tiên của AI doanh nghiệp, mối lo ngại chính rất đơn giản: nhân viên dán dữ liệu nhạy cảm vào các công cụ AI công cộng. Các đội ngũ an ninh đã phản ứng bằng cách thiết lập chính sách sử dụng, chặn tên miền và áp dụng các quy tắc ngăn chặn mất mát dữ liệu (DLP). Tuy nhiên, cách tiếp cận này đã không còn phù hợp với thực tế hiện nay.

Shadow AI: Từ rò rỉ dữ liệu đến vấn đề kiểm soát truy cập

Shadow AI đã chuyển dịch từ mối lo ngại về rò rỉ dữ liệu sang bài toán kiểm soát truy cập (access control). Mối đe dọa không còn nằm ở những gì nhân viên nhập vào, mà là các AI agent đang hoạt động trong tổ chức, chúng kết nối với những hệ thống nào và được cấp quyền thực hiện các hành động gì.

Nhân viên và các bộ phận đang tạo ra các AI agent với tốc độ chóng mặt. Từ các trợ lý tùy chỉnh, agent lập trình, tự động hóa quy trình cho đến các ứng dụng agentic, chúng xuất hiện khắp nơi thông qua tiện ích mở rộng trình duyệt, tính năng SaaS, công cụ phát triển, MCP server và các tập lệnh tùy chỉnh. Nhiều agent bắt đầu như những thử nghiệm nhanh nhưng nhanh chóng trở thành một phần của quy trình kinh doanh quan trọng.

Khác với Shadow IT truyền thống vốn chỉ là nơi chứa dữ liệu, một AI agent là một “tác nhân” (actor) thực thụ. Chúng có thể gọi API, sử dụng thông tin xác thực (credentials), truy xuất bản ghi, sửa đổi cấu hình và kích hoạt các quy trình hạ nguồn trong hệ thống sản xuất mà không cần sự phê duyệt thủ công cho từng bước.

Tại sao các biện pháp bảo mật truyền thống không còn hiệu quả?

Hầu hết các biện pháp kiểm soát an ninh doanh nghiệp được thiết kế cho danh tính con người và khối lượng công việc xác định. Các chính sách IAM, quy tắc DLP và giám sát mạng đều giả định hành vi có thể dự đoán được. Các AI agent đã phá vỡ những giả định này.

Để tránh làm gián đoạn quy trình, các nhà phát triển thường cấp quyền rộng rãi ngay từ đầu. Những quyền này tích lũy dần theo thời gian, khiến các agent kế thừa đặc quyền của người tạo ra chúng, biến quyền truy cập tạm thời thành vĩnh viễn. Việc chặn các tên miền AI công cộng không giải quyết được vấn đề này, vì khi một agent đã có thông tin xác thực để kết nối với hệ thống doanh nghiệp, ranh giới an ninh đã bị vượt qua.

Xây dựng danh mục Shadow AI: 6 câu hỏi then chốt

Để kiểm soát Shadow AI, các đội ngũ an ninh cần trả lời được 6 câu hỏi sau:

• Nơi tạo/cài đặt: Agent được tạo ra ở đâu? (SaaS, công cụ lập trình, ứng dụng nội bộ…)
• Quyền sở hữu: Ai là chủ sở hữu và ai có quyền sử dụng agent đó?
• Kết nối: Agent đang kết nối với những tài nguyên hoặc dịch vụ nào?
• Danh tính và bí mật: Agent sử dụng loại thông tin xác thực nào (API key, OAuth token, IAM role…)?
• Mục đích và hành vi: Agent thực sự đang làm gì (đọc, ghi, xóa dữ liệu)?
• Trạng thái hoạt động: Agent còn hoạt động không? Nhiều agent được tạo ra nhưng không bao giờ sử dụng, để lại các thông tin xác thực “chết” nhưng vẫn có quyền truy cập hệ thống.

Hướng tới sự trưởng thành trong bảo mật AI

Mục tiêu không phải là chặn đứng việc áp dụng AI, mà là quản trị việc sử dụng chúng. Các tổ chức cần coi AI agent như bất kỳ danh tính nào khác trong doanh nghiệp: cần được khám phá liên tục, xác định quyền sở hữu, giới hạn phạm vi truy cập và quản lý vòng đời từ khi tạo ra cho đến khi gỡ bỏ.

Câu hỏi về Shadow AI đã thay đổi. Thay vì hỏi “nhân viên đang nhập dữ liệu gì vào AI?”, hãy hỏi “những agent nào đang vận hành trong môi trường của chúng ta và chúng ta đã cấp cho chúng quyền truy cập vào đâu?”. Đây chính là câu hỏi định nghĩa rủi ro thực sự của một tổ chức hiện nay.

Nguồn tham khảo: The Hacker News