An ninh mạng

Shadow AI thế hệ mới: Khi nhân viên tự xây dựng ứng dụng mà không cần đến đội ngũ IT

Các nền tảng 'vibe-coding' đang cho phép nhân viên tự tạo ứng dụng và kết nối trực tiếp vào hệ thống doanh nghiệp mà không qua kiểm soát. Điều này tạo ra một bề mặt tấn công mới mà các giải pháp bảo...

Nguyen Hung
1 Tháng 6, 2026 3 Min Read
4 0

Khái niệm Shadow AI trước đây thường chỉ dừng lại ở việc nhân viên vô tình dán dữ liệu nhạy cảm vào ChatGPT. Tuy nhiên, hiện nay rủi ro đã leo thang lên một tầm cao mới: nhân viên đang tự xây dựng các ứng dụng hoàn chỉnh bằng AI, tích hợp chúng vào hệ thống sản xuất (production systems) và công khai trên internet mà không hề có sự tham gia của bộ phận IT hay Security.

Table Of Content

Khi prompt trở thành sản phẩm

Thuật ngữ “vibe-coding” chỉ các nền tảng phát triển dựa trên AI, cho phép bất kỳ ai cũng có thể tạo ra ứng dụng chỉ bằng cách mô tả yêu cầu. Những gì từng mất hàng tháng để kỹ sư thực hiện, nay có thể hoàn thành chỉ trong một buổi sáng. Một nhân viên marketing có thể tự tạo công cụ theo dõi chiến dịch và kết nối trực tiếp vào hệ thống BI của công ty, hoặc bộ phận tài chính tự xây dựng dashboard lấy dữ liệu từ hệ thống ERP.

Vấn đề nằm ở chỗ, các ứng dụng này thường được kết nối trực tiếp với hệ thống dữ liệu cốt lõi của doanh nghiệp và được xuất bản công khai với các thiết lập bảo mật lỏng lẻo, thậm chí là không có kiểm soát truy cập.

Tại sao các giải pháp bảo mật hiện tại bị ‘bỏ lỡ’?

Các CISO thường dựa vào hệ sinh thái bảo mật gồm EDR, DLP, CASB và Firewall. Tuy nhiên, các công cụ này đang gặp khó khăn trong việc nhận diện rủi ro từ “Shadow Builders”:

  • EDR: Chỉ nhìn thấy hoạt động của trình duyệt như một hành vi thông thường, không phân biệt được việc nhân viên đang đọc tin tức hay đang lập trình ứng dụng.
  • DLP: Thường giám sát các kênh dữ liệu cố định, không thể thấy được việc dữ liệu di chuyển cloud-to-cloud thông qua các API của ứng dụng tự chế.
  • CASB: Thường coi toàn bộ nền tảng vibe-coding là một nhà cung cấp SaaS hợp lệ, không thể phân tách được các ứng dụng tùy chỉnh bên trong.

Rủi ro này nằm ở “khoảng trống” giữa các lớp bảo mật, nơi các tín hiệu rời rạc không thể kết nối thành một bức tranh toàn cảnh về quản trị.

Giải pháp cho doanh nghiệp

Thay vì vội vã mua thêm công cụ, các tổ chức nên thực hiện quy trình kiểm soát dựa trên lớp phiên (session layer):

  1. Khám phá (Discovery): Hãy hỏi trực tiếp nhân viên về những công cụ họ đã tạo ra. Việc tiếp cận theo hướng kiểm kê thay vì kiểm toán sẽ giúp thu thập thông tin chính xác hơn.
  2. Lập bản đồ (Mapping): Xác định xem mỗi ứng dụng đang kết nối với hệ thống nào, qua cơ chế nào (OAuth, API key) và liệu chúng có đang công khai trên internet hay không.
  3. Thiết lập lộ trình hợp lệ: Xây dựng các tiêu chuẩn về nền tảng được phép sử dụng, loại dữ liệu chấp nhận được và tiêu chuẩn xác thực tối thiểu.
  4. Duy trì giám sát liên tục: Nhận thức rằng đây không phải là công việc một lần. Việc phát hiện rủi ro cần được thực hiện liên tục tại lớp phiên, nơi mọi hành vi xây dựng và triển khai ứng dụng diễn ra.

Sự phát triển của AI là không thể ngăn cản, nhưng việc kiểm soát các “Shadow Builders” cần một tư duy bảo mật mới, tập trung vào khả năng hiển thị (visibility) ngay tại thời điểm ứng dụng được tạo ra và kết nối vào hệ thống doanh nghiệp.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept