Bỏ qua đến nội dung chính
Về trang chủ
AI Tech 4 phút đọc

Bảo mật Zero Trust đối với AI agent: Yêu cầu cấp bách thay vì mục tiêu dài hạn 🛡️

Tốc độ xử lý vượt trội của các AI agent đang rút ngắn thời gian phản ứng trước rủi ro bảo mật, buộc doanh nghiệp phải áp dụng mô hình Zero Trust ngay lập tức.

Tier 2 · nguồn 56% độ tin cậy Đã được duyệt
Nguồn gốc venturebeat.com

Sự bùng nổ của các tác nhân trí tuệ nhân tạo (AI agent) đang đặt ra những thách thức bảo mật chưa từng có đối với các doanh nghiệp toàn cầu. Theo ông Andre Durand, CEO kiêm sáng lập hãng bảo mật Ping Identity, các doanh nghiệp cần phải đối xử với kiến trúc bảo mật Zero Trust như một yêu cầu bắt buộc tức thì đối với các AI agent, thay vì coi đó là một mục tiêu dài hạn. Mô hình bảo mật không tin cậy này đòi hỏi phải xác thực liên tục trước mọi hành động, thay vì chỉ kiểm tra một lần duy nhất lúc đăng nhập.

Diễn biến chi tiết

Sự xuất hiện của công nghệ Agentic AI đã làm nén chặt dòng thời gian quản lý rủi ro mà các doanh nghiệp phải đối mặt. Mỗi khi nhân viên chấp thuận yêu cầu truy cập của AI agent vào ổ đĩa chung, cơ sở dữ liệu hoặc kho mã nguồn, doanh nghiệp đang vô tình chuyển giao từng phần quyền kiểm soát hệ thống. Trên quy mô hàng ngàn tác nhân AI thực hiện hàng ngàn yêu cầu liên tiếp, các phê duyệt nhỏ lẻ này tích tụ lại thành một lỗ hổng bảo mật khổng lồ mà các kiến trúc truyền thống không thể đo lường nổi. Ông Durand nhấn mạnh rằng một vụ xâm nhập do con người thực hiện có thể mất vài phút hoặc vài giờ, nhưng ở tốc độ của AI agent, một nghìn hành động phá hoại có thể diễn ra chỉ trong vòng năm phút.

Phân tích kỹ thuật & Công nghệ

Để giải quyết vấn đề tốc độ này, quản trị viên cần thay đổi cách tiếp cận về mặt kỹ thuật bằng việc kiểm soát chặt chẽ phạm vi quyền hạn và thời gian hiệu lực của quyền truy cập. Thay vì cho phép các AI agent hoạt động dưới danh nghĩa tài khoản của con người hoặc tài khoản dịch vụ dùng chung (service account), mỗi agent phải được cấp một định danh (identity) riêng biệt để tránh làm mờ ranh giới trách nhiệm. Ngoài ra, việc loại bỏ các khóa API dài hạn được nhúng trực tiếp trong mã nguồn là vô cùng cấp bách. Các doanh nghiệp có thể thiết lập các điểm kiểm soát chính sách bảo mật tại các cổng API (API gateways) hoặc cổng agent (agent gateways) nằm trước các máy chủ Model Context Protocol (MCP) để phân tích rủi ro theo thời gian thực trước khi cấp quyền.

Ý kiến chuyên gia & Nhận định

Theo nhận định của ông Andre Durand, việc dịch chuyển từ kiểm soát phiên đăng nhập sang kiểm soát quyết định đằng sau mỗi hành động là cốt lõi của Zero Trust hiện đại. Ông cho rằng chúng ta không thể tin tưởng tuyệt đối vào kết quả đầu ra của AI tạo sinh nếu chỉ dựa vào tỷ lệ chính xác thông thường. "Nếu hệ thống AI tạo sinh tuân theo hướng dẫn của bạn 97% thời gian khi đưa ra lời khuyên thì không sao, nhưng nếu nó chịu trách nhiệm quyết định ai được phép truy cập hệ thống, thì 97% là không đủ an toàn", Durand nhấn mạnh.

Tác động & Tương lai

Đối với độc giả và các doanh nghiệp công nghệ tại Việt Nam, xu hướng chuyển dịch sang Agentic AI là tất yếu nhưng đi kèm với rủi ro bảo mật lớn nếu tiếp tục duy trì các phương pháp quản lý định danh cũ. Do con người không thể rà soát thủ công toàn bộ khối lượng công việc khổng lồ do AI tạo ra mà không làm mất đi lợi thế về tốc độ, các doanh nghiệp sẽ phải xây dựng các bộ khung kiểm chéo tự động giữa các AI agent độc lập. Chi phí cho việc chậm trễ chuyển đổi sang mô hình Zero Trust lúc này sẽ đắt đỏ hơn rất nhiều so với việc chủ động thiết lập kiến trúc bảo mật đồng bộ ngay từ đầu.