“Cơn sốt” AI agent hay tác nhân đe doạ an ninh mạng
Lê Đoàn
Thứ năm, 23/04/2026 - 16:18
(PLPT) - AI agent đang được tung hô như bước nhảy mới của trí tuệ nhân tạo, nhưng phía sau là một cảnh báo ngày càng rõ khi hệ thống có thể tự hành động, tự kết nối và tự thực thi tác vụ, rủi ro an ninh mạng cũng chuyển từ mức hỗ trợ sang mức khuếch đại.
Làn sóng AI agent bùng lên khi các tập đoàn công nghệ lớn đồng loạt đẩy mô hình “AI biết làm việc” ra thị trường. Microsoft công khai tầm nhìn về các agent có thể phối hợp với nhau; OpenAI tung ChatGPT agent có thể dùng “máy tính ảo”, duyệt web và kết nối với Gmail, GitHub để hoàn thành chuỗi tác vụ nhiều bước; còn Alibaba giới thiệu các nền tảng agentic AI cho doanh nghiệp nhằm tự động hóa vận hành. Chính khả năng truy cập công cụ, dữ liệu và hệ thống này khiến AI agent khác căn bản chatbot thông thường: nó không chỉ trả lời, mà có thể hành động thay người dùng.
Ngân hàng Trung ương Anh đang thử nghiệm các rủi ro đối với hệ thống tài chính do AI gây ra bằng cách tiến hành phân tích kịch bản và mô phỏng. Ảnh: Reuters
Song càng tiến gần vào lõi vận hành của doanh nghiệp, AI agent càng mở rộng “bề mặt tấn công”. Trung tâm An ninh mạng quốc gia Anh (NCSC) cảnh báo AI đang “mở rộng bề mặt tấn công”, làm tăng khối lượng đe dọa và tăng tốc năng lực của tác nhân độc hại; đồng thời nhận định AI gần như chắc chắn sẽ tiếp tục làm cho các hoạt động xâm nhập mạng hiệu quả hơn, rút ngắn thêm khoảng thời gian từ lúc lỗ hổng bị công bố đến lúc bị khai thác. Trong đánh giá thường niên năm 2025, NCSC còn nêu rõ các tác nhân gắn với Trung Quốc, Nga, Iran và CHDCND Triều Tiên đã sử dụng mô hình ngôn ngữ lớn cho trinh sát, lừa đảo xã hội, xử lý dữ liệu đánh cắp và nghiên cứu khai thác lỗ hổng.
Reuters ghi nhận giới chức và ngân hàng tại Mỹ, Anh, Canada, Đức đã phải thảo luận khẩn về rủi ro từ các mô hình AI có năng lực lập trình và tác vụ tự trị rất cao. Chuyên gia TJ Marlin của Guardrail Technologies cảnh báo kiểu năng lực này có thể khiến sự cố an ninh trở nên “thảm họa trên quy mô lớn”, nhất là ở các lĩnh vực còn phụ thuộc vào hạ tầng công nghệ cũ như ngân hàng. Tại Italia, giới chức an ninh mạng cũng dự báo kẻ tấn công sẽ dùng AI agent để hỗ trợ các chiến dịch mạng trong thời gian tới.
Ở châu Âu, khuôn khổ đang đi theo hướng ràng buộc sớm hơn và sâu hơn. Ủy ban châu Âu cho biết từ ngày 2/8/2025, các nghĩa vụ đối với mô hình AI đa dụng bắt đầu có hiệu lực; riêng các mô hình có rủi ro hệ thống phải thực hiện đánh giá và giảm thiểu rủi ro, báo cáo sự cố và áp dụng các biện pháp an ninh mạng. Cùng mạch đó, Anh ban hành AI Cyber Security Code of Practice từ tháng 1/2025 và sau đó thúc đẩy tiêu chuẩn ETSI đặt ra các yêu cầu an ninh tối thiểu cho toàn vòng đời AI, từ thiết kế, phát triển, triển khai đến bảo trì và kết thúc vòng đời hệ thống.
Trung Quốc lại chọn cách quản lý trực diện hơn. Quy định tạm thời về quản lý dịch vụ AI tạo sinh có hiệu lực từ 15/8/2023 nêu rõ mục tiêu bảo vệ an ninh quốc gia, lợi ích công cộng và áp dụng giám sát phân loại, phân cấp; đồng thời yêu cầu nhà cung cấp phải bảo đảm dịch vụ an toàn, ổn định, gắn nhãn đối với một số nội dung tạo sinh, xử lý và báo cáo nội dung trái pháp luật. Đến tháng 3/2025, Bắc Kinh tiếp tục ban hành quy định về nhận diện nội dung do AI tạo/sinh tổng hợp, yêu cầu cả nhãn hiển thị và nhãn ẩn đối với văn bản, hình ảnh, âm thanh, video, cảnh ảo.
Mythos của Anthropic, một mô hình AI mới mà công ty và các chuyên gia an ninh mạng cảnh báo có thể tăng cường các cuộc tấn công mạng phức tạp. Ảnh: Reuters
Tại Mỹ, cách tiếp cận hiện thời vẫn nghiêng về quản trị rủi ro và giám sát theo lĩnh vực hơn là một đạo luật AI thống nhất đã hoàn chỉnh. NIST khẳng định AI Risk Management Framework là công cụ tự nguyện; hồ sơ riêng cho AI tạo sinh được công bố từ tháng 7/2024, và ngày 7/4/2026 cơ quan này tiếp tục mở hướng dẫn cho AI trong hạ tầng trọng yếu. Trong khi đó, Washington cũng đã công khai thừa nhận nhu cầu có các “biện pháp bảo vệ” trước rủi ro AI đối với hệ thống ngân hàng.
Vấn đề vì thế không còn là có nên dùng AI agent hay không, mà là dùng đến đâu, mở quyền cho nó tới mức nào, và pháp luật có theo kịp hay không. Khi agent được trao quyền truy cập thư điện tử, kho mã nguồn, dữ liệu khách hàng và quy trình nội bộ, một sai lệch mô hình hay một khai thác lỗ hổng không còn là lỗi kỹ thuật đơn lẻ, mà có thể trở thành mắt xích gây bất ổn cho cả hạ tầng số. “Cơn sốt” AI agent, nếu không đi cùng kỷ luật pháp lý và chuẩn an ninh nghiêm ngặt, rất dễ biến thành khoản nợ an ninh mạng mà quốc gia và doanh nghiệp sẽ phải trả giá đắt.
(PLPT) - Sau gần hai năm điều tra, Liên minh châu Âu (EU) đã quyết định phạt nền tảng thương mại điện tử Temu 200 triệu euro vì không thực hiện đầy đủ các biện pháp ngăn chặn việc bán hàng hóa bất hợp pháp. Vụ việc được xem là động thái mới nhất trong quá trình EU siết chặt trách nhiệm của các nền tảng số theo Đạo luật Dịch vụ Kỹ thuật số (Digital Services Act - DSA)
(PLPT) - Từ việc tự soạn đơn khởi kiện, soạn hồ sơ tranh chấp bảo hiểm cho đến thủ tục ly hôn, chi phí pháp lý ngày càng đắt đỏ đang khiến nhiều người Mỹ tìm đến ChatGPT, Grok và các công cụ trí tuệ nhân tạo khác để giải quyết các vấn đề pháp lý của mình. Tuy nhiên, xu hướng này cũng làm dấy lên những tranh cãi mới về ranh giới giữa công nghệ và hoạt động hành nghề luật, trong bối cảnh chính OpenAI khẳng định ChatGPT không phải luật sư, còn nhiều hãng luật lớn lại đang phát triển các công cụ AI dành riêng cho giới hành nghề pháp lý.
(PLPT) - Sau khi Tòa án Tối cao Mỹ tuyên vô hiệu nhiều mức thuế quan do Tổng thống Donald Trump áp đặt, chính quyền Mỹ đã khởi động chương trình hoàn thuế quy mô hàng trăm tỷ USD cho doanh nghiệp nhập khẩu. Tuy nhiên, với nhiều doanh nghiệp nhỏ tại Mỹ, việc đòi lại số tiền này đang trở thành một cơn ác mộng thủ tục.
(PLPT) - Cơ quan Quản lý Xuất nhập cảnh và Lưu trú Nhật Bản có kế hoạch sử dụng mạng xã hội để tăng cường các nỗ lực trấn áp người nước ngoài cư trú quá hạn hoặc làm việc bất hợp pháp.
(PLPT) - Australia lần đầu tiên thực hiện dẫn độ một người bị truy nã về Việt Nam để phục vụ điều tra và xét xử, vụ việc được đánh giá là dấu mốc đáng chú ý trong hợp tác pháp luật và thực thi pháp luật xuyên biên giới giữa hai nước.
(PLPT) - Phán quyết vô hiệu hóa nhiều mức thuế quan do Tổng thống Donald Trump áp đặt đang kéo theo một dạng tranh chấp mới tại Mỹ: người tiêu dùng kiện doanh nghiệp vì không hoàn trả phần chi phí được cho là phát sinh từ các mức thuế này.
(PLPT) - Hội nghị Ngoại trưởng BRICS tại Ấn Độ đã không thể đưa ra tuyên bố chung do bất đồng liên quan xung đột Iran và tình hình Trung Đông, cho thấy những khác biệt ngày càng rõ trong nội bộ khối sau quá trình mở rộng thành viên.
(PLPT) - Liên minh châu Âu (EU) đã chính thức áp dụng các quy định mới nhằm tăng cường bảo vệ nguồn nước, bổ sung nhiều chất ô nhiễm vào diện giám sát và kiểm soát chặt chẽ hơn, trong đó có PFAS — nhóm hóa chất tổng hợp khó phân hủy, còn được gọi là “hóa chất vĩnh cửu” — cùng vi nhựa và dược phẩm.