Các sai lầm bảo mật khi triển khai AI agents trong doanh nghiệp

[Nguyễn Tiến Đạt]

Các tác nhân AI đang trở thành con đường leo thang đặc quyền​

Các tác nhân AI đang chuyển mình từ công cụ thử nghiệm thành bộ phận cốt lõi trong quy trình vận hành, bảo mật, kỹ thuật và IT mỗi ngày. Từ vai trò ban đầu là trợ lý cá nhân như chatbot, trợ lý lập trình hay công cụ hỗ trợ phi công, chúng đã phát triển thành những tác nhân dùng chung cấp tổ chức và tham gia vào các quy trình trọng yếu.
Trong môi trường doanh nghiệp, các tác nhân AI có thể điều phối xử lý công việc trên nhiều hệ thống, chẳng hạn:

• Tác nhân quản lý nhân sự cấp phát hoặc thu hồi tài khoản trên IAM, SaaS, VPN và nền tảng đám mây dựa trên thay đổi thông tin nhân sự.
• Tác nhân quản lý thay đổi xác nhận yêu cầu, cập nhật cấu hình hệ thống sản xuất, ghi lại phê duyệt trong ServiceNow và chỉnh sửa tài liệu trên Confluence.
• Tác nhân hỗ trợ khách hàng truy xuất dữ liệu từ CRM, kiểm tra trạng thái thanh toán, kích hoạt bản vá trong dịch vụ phụ trợ và cập nhật phiếu hỗ trợ.

Để tạo giá trị trên quy mô lớn, tác nhân AI cần phục vụ đa người dùng và đa vai trò. Điều đó đồng nghĩa chúng được cấp quyền truy cập rộng để tiếp cận các công cụ và dữ liệu cần thiết, từ đó mở ra ưu điểm: phân loại nhanh hơn, giảm công việc thủ công và tăng tốc vận hành. Tuy nhiên, quyền hạn này cũng khiến tác nhân trở thành trung gian truy cập tiềm ẩn rủi ro, che mờ câu hỏi ai là người thực sự truy cập vào dữ liệu và thực thi hành động.

Các tác nhân AI phá vỡ mô hình kiểm soát truy cập truyền thống​

Các tác nhân tổ chức được thiết kế như tài nguyên dùng chung, vận hành bằng tài khoản dịch vụ, khóa API hoặc quyền OAuth có thời hạn dài. Chúng xác thực một lần và thực thi yêu cầu thay mặt cho nhiều người dùng. Để tránh nghẽn nhiệm vụ, quyền của tác nhân thường vượt xa mức một cá nhân cần, đồng thời trải rộng trên nhiều hệ thống, dữ liệu và hành động.

Cách vận hành này phá vỡ nguyên tắc gán quyền theo từng người dùng. Khi nhân viên yêu cầu tác nhân thực thi nhiệm vụ, họ không còn truy cập trực tiếp hệ thống mà thông qua tác nhân – mọi tác vụ đều mang danh nghĩa của tác nhân chứ không phải của người yêu cầu. Nhờ đó, một người dùng quyền hạn thấp có thể vô tình được “nâng quyền” mà không hề vi phạm chính sách IAM trên giấy tờ.
Ví dụ:

• Một nhân viên chỉ được xem dữ liệu hạn chế yêu cầu tác nhân “tóm tắt hiệu suất khách hàng”. Tác nhân có quyền rộng truy xuất dữ liệu từ CRM, hệ thống thanh toán và nền tảng tài chính, rồi trả về thông tin mà người dùng không được phép xem trực tiếp.
• Một kỹ sư không có quyền truy cập hệ thống sản xuất yêu cầu tác nhân “khắc phục lỗi triển khai”. Khi tác nhân sửa cấu hình, xem log và kích hoạt khởi động lại quy trình, các hành động đều mang quyền quản trị của tác nhân.

Nhật ký kiểm toán cũng ghi nhận tác vụ là của tác nhân, khiến việc truy vết ai đưa ra yêu cầu trở nên khó khăn. Đây chính là con đường leo thang đặc quyền tinh vi – hợp lệ về nghiệp vụ nhưng sai lệch về bảo mật thực tế.

Nhận diện lỗ hổng và đảm bảo an toàn khi triển khai tác nhân​

Các công cụ IAM truyền thống không được xây dựng cho mô hình truy cập thông qua tác nhân mà dựa trên danh tính trực tiếp của người dùng. Khi hành động do tác nhân thực hiện, kiểm soát theo người dùng không còn hiệu lực, còn nhật ký truy vết thì thiếu minh bạch. Điều này khiến các nhóm bảo mật mất khả năng thực thi quyền tối thiểu, khó phát hiện lạm dụng và kéo dài điều tra sự cố.
Để ngăn rủi ro leo thang đặc quyền, tổ chức cần nắm rõ:

• Tác nhân nào đang hoạt động,
• Chúng truy cập tài sản hay dữ liệu nào,
• Ai đang sử dụng từng tác nhân,
• Khoảng cách giữa quyền người dùng và quyền tác nhân.

Wing Security cung cấp khả năng giám sát và ánh xạ rủi ro này: theo dõi tác nhân AI trong môi trường, phân tích quyền truy cập, liên kết hoạt động với ngữ cảnh người dùng và phát hiện điểm vượt quyền. Nhờ vậy, tổ chức có thể tận dụng tự động hóa mà vẫn duy trì kiểm soát, minh bạch và an toàn.

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview