• (+84) 939 586 168
  • info@unitas.vn
  • (+84) 939 586 168
  • info@unitas.vn
May 11, 2026

BẢO MẬT AI TÁC NHÂN

Bảo mật Agentic AI là kiểm soát những gì các hệ thống tự động được phép thực hiện, chứ không chỉ kiểm soát nội dung mà chúng tạo ra.

Khi các AI agent bắt đầu thực hiện hành động trên nhiều hệ thống khác nhau, chúng cần được quản trị như những người dùng có đặc quyền cao — với cơ chế kiểm soát truy cập nghiêm ngặt, phê duyệt từ con người và giám sát theo thời gian thực.

Agentic AI Security là gì?

Nói đơn giản, bảo mật Agentic AI là kiểm soát hành động, không chỉ kiểm soát đầu ra.

Chi tiêu của doanh nghiệp cho Agentic AI đang tăng rất nhanh, và điều đó quan trọng vì một lý do: những hệ thống này không chỉ tạo văn bản, mà còn trực tiếp hành động trong các quy trình thực tế.

Agentic AI là phần mềm nhận một mục tiêu, tự quyết định các bước thực hiện, sử dụng công cụ và tiếp tục làm việc cho đến khi đạt được kết quả hoặc chạm tới giới hạn kiểm soát. Một mô hình AI thông thường chỉ trả lời prompt. Nhưng một AI agent có thể truy vấn hệ thống, gọi API, mở ticket, tóm tắt dữ liệu và tự quyết định bước tiếp theo mà không cần chờ người dùng can thiệp sau mỗi thao tác.

Đối với CISO, tên gọi không quan trọng bằng mô hình vận hành. Nếu hệ thống có khả năng hành động liên tục, sử dụng công cụ doanh nghiệp và ảnh hưởng đến quyết định trong môi trường production, hãy xem nó như một “thực thể vận hành”.

Agentic AI security là tập hợp các cơ chế kiểm soát quy định AI tự động được phép làm gì, chứ không chỉ được phép tạo ra nội dung gì.

Điều gì khiến một hệ thống trở thành “agentic”?

Các đặc điểm chính khá rõ ràng:

  • Hành vi hướng mục tiêu: hệ thống được giao một kết quả cần đạt, không chỉ là một câu hỏi.
  • Sử dụng công cụ: có thể gọi API, truy vấn database, chạy script hoặc tương tác với phần mềm doanh nghiệp và công nghiệp.
  • Lập kế hoạch: có thể chia công việc thành nhiều bước và tự quyết định bước tiếp theo.
  • Bộ nhớ/trạng thái: có thể giữ ngữ cảnh xuyên suốt nhiều tác vụ hoặc phiên làm việc.
  • Thích nghi: có thể thay đổi hướng xử lý khi điều kiện thay đổi hoặc khi một bước thất bại.

Những khả năng này tạo ra giá trị kinh doanh, nhưng cũng tạo ra một bài toán bảo mật hoàn toàn khác. Bạn không còn chỉ xử lý vấn đề “AI trả lời sai”, mà đang kiểm soát hành vi do máy chủ động thực hiện trên nhiều hệ thống kết nối — bao gồm cả những hệ thống chưa từng được thiết kế cho môi trường tự động động.

Điều này đặc biệt dễ bị bỏ sót trong môi trường IT/OT hybrid. Một agent xem dữ liệu bảo trì, tài liệu nhà cung cấp, dữ liệu historian hoặc ticket sự cố có thể không trực tiếp chạm vào bộ điều khiển, nhưng vẫn ảnh hưởng đến quyết định vận hành, lịch bảo trì và quy trình escalation. Ở các site air-gap hoặc kết nối gián đoạn, cùng agent đó có thể chạy với model cục bộ, chính sách cập nhật chậm và telemetry yếu hơn — khiến việc giám sát khó khăn hơn và sai sót khó phát hiện hơn.

Vì sao triển khai đang tăng tốc?

Việc áp dụng tăng nhanh vì các agent hứa hẹn tiết kiệm nhân lực và tăng tốc thực thi. Các nhà cung cấp đang tích hợp chúng vào SOC, ITSM, phân tích dữ liệu, hỗ trợ kỹ thuật và công cụ hỗ trợ từ xa. Theo nghiên cứu của Grand View Research về thị trường Agentic AI trong cybersecurity, thị trường này sẽ tăng trưởng rất mạnh trong vài năm tới.

Đừng xem đó là tín hiệu để mua ngay. Hãy xem đó là deadline cho quản trị.

Một AI agent không cần khả năng phán đoán như con người để tạo ra rủi ro vận hành. Nó chỉ cần quyền truy cập, chỉ dẫn và đủ tự do để hành động.

Một cách đơn giản để giải thích điều này với lãnh đạo:

  • Chatbot tạo nội dung.
  • AI agent tham gia trực tiếp vào vận hành.

Đó là ranh giới mà chính sách, phê duyệt, logging và segmentation của bạn cần phản ánh.

Agentic AI thay đổi mô hình bảo mật như thế nào?

Thay đổi lớn nhất là: AI không còn thụ động nữa — nó hành động.

Theo nghiên cứu năm 2026 của Ivanti, 87% đội ngũ bảo mật doanh nghiệp hiện ưu tiên áp dụng Agentic AI cho cybersecurity. Điều đó nên thay đổi cách mọi CISO nhìn nhận vấn đề.

Agentic AI không phải là một công cụ analytics có thể “gắn thêm vào SOC rồi quản trị sau”. Nó có thể quan sát, quyết định, gọi công cụ, kích hoạt workflow và hành động trên nhiều hệ thống mà gần như không cần người kiểm duyệt.

Trong môi trường IT/OT hybrid, phạm vi ảnh hưởng không còn giới hạn ở dashboard, ticket queue hay cloud workload. Nó có thể chạm tới:

  • phiên truy cập đặc quyền,
  • workflow bảo trì,
  • vận hành công nghiệp,
  • và cả đường truy cập của vendor.

Phần lớn lời khuyên về Agentic AI hiện nay vẫn giả định môi trường IT thuần túy. Điều đó là chưa đủ. Một nhà máy sản xuất, hạ tầng viễn thông hoặc môi trường bảo trì từ xa có những kiểu thất bại hoàn toàn khác.

Nếu một agent có thể ảnh hưởng tới:

  • thông tin mà người dùng đặc quyền nhìn thấy,
  • công cụ nào được gọi,
  • hay hành động nào được phê duyệt,

thì chương trình AI của bạn đã bước vào vùng rủi ro vận hành.

Giải pháp đúng không phải là cấm AI agent.
 Mà là quản trị chúng như những “operator phi nhân sự” có quyền lực cao.

Identity, authorization, runtime boundary, monitoring và immutable auditability quan trọng hơn sự “thông minh” của model.

Vì sao điều này thay đổi agenda của CISO?

AI tự động thay đổi “đơn vị rủi ro”.

Các công cụ tự động hóa truyền thống chủ yếu hỗ trợ analyst trong workflow cố định. Nhưng Agentic AI có thể:

  • quan sát,
  • lựa chọn,
  • gọi công cụ,
  • và tiếp tục hành động hướng tới mục tiêu trên nhiều hệ thống.

Điều đó có nghĩa câu hỏi bảo mật không còn là:
 “Model có chính xác không?”

Mà là:
 “Nếu model sai, bị thao túng hoặc quá tự tin thì nó được phép làm gì?”

Một trợ lý AI chỉ tóm tắt alert vẫn là công cụ hỗ trợ.
 Nhưng một agent:

  • tương quan telemetry,
  • mở ticket,
  • truy vấn hệ thống nội bộ,
  • chạy script,
  • hoặc kích hoạt containment

thì đã giống một operator cấp thấp hoạt động với tốc độ máy và khả năng phán đoán không ổn định.

CISO cần phân loại điều đó cho đúng.

Tự động hóa truyền thống Agentic Operation
Chạy theo logic dựng sẵn Tự chọn bước để đạt mục tiêu
Chỉ hoạt động trong một workflow Đi qua nhiều tool, data source và approval path
Dễ test trước rollout Tạo ra edge case khó dự đoán
Luôn có human review Human review có thể bị bỏ qua

Điều này thuộc cùng nhóm kiểm soát với:

  • Privileged Access
  • Third-party Access
  • Identity Governance
  • Change Management

Những rủi ro trong hệ thống Agentic AI

Sự hào hứng của thị trường là dễ hiểu.
 Nhưng mức độ rủi ro thường bị đánh giá thấp.

Theo Martin Fowler:

  • Chi phí trung bình của một vụ breach liên quan AI agent đã đạt 4,7 triệu USD năm 2026.
  • 1/8 vụ rò rỉ dữ liệu doanh nghiệp hiện liên quan tới AI agent.
  • 34% AI agent triển khai đã từng bị tấn công prompt injection.

Điều đó cho thấy agent không chỉ là “giao diện chatbot”.

Prompt Injection chỉ là khởi đầu

Nhiều tổ chức đã quen với khái niệm “prompt injection”, nhưng vẫn nghĩ đó chỉ là vấn đề chatbot.

Trong hệ thống agentic, nó trở thành vấn đề thực thi hành động.

Kẻ tấn công không cần xâm nhập hạ tầng trực tiếp.
 Chúng chỉ cần chèn hướng dẫn độc hại vào nội dung mà agent được phép đọc.

Ví dụ:

  • comment trong ticket,
  • tài liệu nội bộ,
  • knowledge base,
  • dữ liệu từ external service.

Nếu agent coi nội dung đó là chỉ dẫn hợp lệ, nó có thể thực hiện hành động ngoài ý muốn.

Ba rủi ro lớn nhất:

  • Indirect Prompt Injection: lệnh độc hại đi qua nguồn mà agent tin tưởng.
  • Tool Misuse: agent dùng API hợp lệ cho mục đích sai.
  • Goal Hijacking: agent bị chuyển hướng khỏi mục tiêu ban đầu.

Memory và orchestration tạo ra rủi ro lâu dài

Nhiều agent có khả năng ghi nhớ trạng thái.

Điều đó có nghĩa dữ liệu sai có thể tồn tại rất lâu.

Một memory store bị đầu độc có thể làm sai lệch quyết định trong tương lai, kể cả khi payload gốc đã biến mất. Trong mô hình multi-agent, agent bị compromise còn có thể truyền context độc hại sang agent khác.

Bề mặt tấn công vì thế không chỉ nằm ở model, mà bao gồm:

Layer Rủi ro
Inputs Nội dung độc hại làm thay đổi suy luận
Tools Quyền hợp lệ bị lạm dụng
Memory Dữ liệu sai tồn tại và lan rộng
Orchestration Một quyết định sai lan sang hệ thống khác
Outputs & Actions Hành động nguy hiểm tác động production

Lỗi thiết kế cốt lõi là ở kiến trúc

Sự thật khó chịu nhất của Agentic AI Security là:

LLM không thể phân biệt đáng tin cậy giữa “instruction” và “data không đáng tin” trong môi trường đối kháng.

Nếu agent đọc được nội dung, model có thể coi đó là thứ cần hành động.

Đội bảo mật nên ngừng hỏi:
 “Agent có đủ thông minh để tránh bị thao túng không?”

Hãy hỏi:
 “Kiến trúc có giả định rằng việc bị thao túng chắc chắn sẽ xảy ra không?”

Tư duy đó dẫn tới các biện pháp kiểm soát tốt hơn:

  • giới hạn quyền truy cập công cụ,
  • môi trường thực thi cô lập,
  • approval gate,
  • runtime enforcement,

thay vì mù quáng tin vào hành vi model.

Làm thế nào để bảo mật Agentic AI?

Sai lầm phổ biến nhất là chỉ tập trung vào model safety mà quên system control.

Với CISO, Agentic AI Security thực chất là bài toán:

  • identity,
  • authorization,
  • và runtime governance.

Nguyên tắc đầu tiên:
 Hãy coi mỗi AI agent là một non-human identity.

Mỗi agent cần có:

  • owner rõ ràng,
  • mục đích cụ thể,
  • phạm vi giới hạn,
  • quyền được cấp rõ ràng.

Nếu IAM, PAM và change-control của bạn chưa nhận diện AI agent như identity, mô hình governance của bạn đã có vấn đề.

Bắt đầu với least privilege và hard boundary

AI agent không bao giờ nên có quyền truy cập rộng chỉ vì nằm trong workflow “đáng tin”.

Cần:

  • tách read và write,
  • chỉ cho phép tool/function cụ thể,
  • giới hạn phạm vi dữ liệu,
  • cấp quyền tạm thời theo task.

Rất nhiều hệ thống thất bại vì đội triển khai cấp quyền quá rộng để “demo chạy được”, rồi mới nghĩ đến kiểm soát sau.

Static RBAC là chưa đủ

RBAC truyền thống không đủ cho hệ thống tự động.

Authorization giờ đây phải trả lời thêm:

  • Hành động này có bình thường với agent này không?
  • Thời điểm thực hiện có hợp lý không?
  • Hệ thống đích có nằm trong scope không?
  • Chuỗi hành động có bất thường không?
  • Có cần human approval không?

Nếu biện pháp duy nhất của bạn là “role assignment”, agent đã có quá nhiều tự do.

Áp dụng Zero Trust cho vòng lặp AI agent

Zero Trust nghĩa là mọi bước đều phải được xác minh, không chỉ lúc đăng nhập.

Cần kiểm tra:

  • lấy input,
  • gọi tool,
  • truy cập memory,
  • giao tiếp external,
  • thực thi hành động.

Điều này đặc biệt quan trọng trong môi trường IT/OT hybrid.

Một hệ thống kiểm soát mạnh cần có:

  • xác thực identity của agent,
  • approval gate theo policy,
  • allowlist tool,
  • giám sát liên tục,
  • immutable log,
  • kill switch và fallback mode.

Vì sao Privileged Access lại quan trọng?

Nếu AI agent có thể hành động trên nhiều hệ thống, nó phải được quản trị như một privileged user.

AI agent thực chất là non-human identity hoạt động trong môi trường của bạn.

Mỗi agent:

  • có quyền truy cập,
  • đưa ra quyết định,
  • kích hoạt hành động,
  • tương tác workflow.

Về mặt bảo mật, nó tương đương một identity.

Và khi đã là identity có quyền lực cao, nó trở thành privileged identity.

Điều đó dẫn tới yêu cầu tất yếu:

Mọi hành động đặc quyền đều cần được kiểm soát.

Trong môi trường IT/OT hybrid, agent có thể ảnh hưởng trực tiếp tới:

  • workflow sản xuất,
  • remote session,
  • maintenance,
  • vendor access.

Sai lầm phổ biến là chỉ tập trung vào hành vi model mà quên execution control.

Đây không chỉ là bài toán AI.
 Đây là bài toán kiểm soát truy cập.

Nếu agent có thể hành động, nó phải được quản trị với mức độ nghiêm ngặt tương đương privileged human user.

Trong các môi trường quan trọng, không phải hành động nào cũng nên hoàn toàn tự động.

Các thao tác như:

  • truy cập hệ thống nhạy cảm,
  • thay đổi vận hành,
  • tương tác với môi trường vendor

đều là các điểm quyết định có ảnh hưởng thực tế.

Dù AI có thể thực hiện, không có nghĩa là nên cho phép làm mà không giám sát.

Các hành động tác động lớn vẫn cần:

  • human approval,
  • và real-time visibility.

Điều đó đòi hỏi:

  • boundary rõ ràng cho từng tool và system,
  • approval workflow,
  • monitoring liên tục,
  • immutable audit log.

Nếu không có các kiểm soát này, agent sẽ hoạt động với implicit trust và excessive privilege — điều mà mô hình bảo mật truyền thống chưa từng được thiết kế để xử lý.

Điều này đặc biệt quan trọng trong môi trường công nghiệp và OT.

Safous giải quyết bài toán này như thế nào?

Safous mở rộng mô hình Zero Trust privileged access cho cả human và non-human identity.

Với Safous, doanh nghiệp có thể:

  • áp dụng granular just-in-time access,
  • thêm approval workflow cho hành động quan trọng,
  • giám sát và ghi lại session IT/OT,
  • duy trì immutable audit trail cho compliance và điều tra.

Khi Agentic AI ngày càng phổ biến, câu hỏi không còn là:
 “Liệu AI agent có xuất hiện trong môi trường của bạn hay không?”

Mà là:
 “Bạn có đang kiểm soát những gì chúng được phép làm hay không?”

Unitas cam kết đồng hành cùng doanh nghiệp, cung cấp các giải pháp và phân tích an ninh mạng tiên tiến nhất. Để nhận được tư vấn chuyên sâu hoặc hỗ trợ nhanh chóng, vui lòng liên hệ với chúng tôi qua:

Email: info@unitas.vn

Hotline: (+84) 939 586 168

Fanpage Unitas Vietnam

Linkedin Unitas Vietnam

 

TIN TỨC TRƯỚC Khi HCI Gặp Bài Toán Tăng Trưởng Dữ Liệu Thực Tế: Vì Sao Scale Computing™ và Nexsan Là Sự Kết Hợp Hợp Lý TIN TIẾP THEO Quản lý Rủi ro An ninh mạng trong Chuỗi cung ứng: Hướng dẫn dành cho CISO về Khả năng vận hành bền vững

Tin tức mới nhất

Tags

Danh mục

Lưu trữ

Post: BẢO MẬT AI TÁC NHÂN

Post: BẢO MẬT AI TÁC NHÂN

Post: BẢO MẬT AI TÁC NHÂN

Unitas Việt Nam

Trụ sở Hồ Chí Minh

  • 97-99-101 Nguyễn Công Trứ, P. Sài Gòn, TP. Hồ Chí Minh.
  • (+84) 939 586 168
  • info@unitas.vn

Chi nhánh Hà Nội

  • Tầng 5, số 17, Ngõ 167 Tây Sơn, P. Kim Liên, TP. Hà Nội
  • (+84) 939 586 168
  • info@unitas.vn

Các liên kiết

Bản quyền © 2025 bởi Unitas Việt Nam.