Ông Reuben Koh - Giám đốc chiến lược an ninh và công nghệ khu vực châu Á - Thái Bình Dương và Nhật Bản của Akamai Technologies - có thể nhận ra ngay khi trí tuệ nhân tạo (AI) đang tấn công một hệ thống mạng, bởi các mô thức hoạt động trông hoàn toàn khác. “Chúng tôi biết các tác nhân AI đang được sử dụng theo cách này vì không một con người nào lại hành động như vậy”, ông chia sẻ với Tech in Asia.
Trong nhiều thập kỷ, các cuộc tấn công mạng có tổ chức thường diễn ra chậm rãi và có phương pháp, kéo dài trong nhiều ngày hoặc nhiều tuần. Tin tặc sẽ tìm cách xâm nhập ban đầu, sau đó di chuyển thận trọng trong hệ thống, cố gắng tránh bị phát hiện.
Nhưng hiện nay, theo ông Koh, các tác nhân AI đảm nhiệm gần như toàn bộ các khâu của một cuộc tấn công mạng, trong khi con người chỉ can thiệp ở những quyết định mang tính chiến lược.
Vào tháng 11/2025, công ty AI có trụ sở tại Mỹ Anthropic công bố một báo cáo mô tả điều mà họ gọi là chiến dịch gián điệp mạng đầu tiên điều phối bởi AI được ghi nhận bằng tài liệu. Báo cáo cho biết một nhóm đã sử dụng Claude Code để thực hiện các cuộc tấn công nhằm vào khoảng 30 tổ chức, trong đó các tác nhân AI thực hiện ước tính 80 - 90% khối lượng công việc. Anthropic mô tả các cuộc tấn công này diễn ra ở tốc độ yêu cầu bất khả thi về mặt vật lý.
Báo cáo đã gây tranh cãi, khi nhiều ý kiến chỉ trích cho rằng nội dung còn mơ hồ và thiếu bằng chứng cụ thể. Tuy nhiên, với các chuyên gia an ninh mạng như ông Reuben Koh, những phát hiện này chỉ đơn giản xác nhận những gì họ đã quan sát được trên thực tế.
BÀI TOÁN VỀ TỐC ĐỘ
Các cuộc tấn công sử dụng tác nhân AI vận hành ở mức mà ông Reuben Koh gọi là “tốc độ máy”. Các bot AI không thận trọng hay tuần tự, chúng di chuyển toàn diện và đồng thời. Chúng có thể dò quét hàng chục hệ thống cùng lúc, thử hàng trăm tên đăng nhập và mật khẩu, đồng thời khai thác nhiều lỗ hổng song song.
Ngay cả các hình thức tấn công kỹ nghệ xã hội - vốn trước đây đòi hỏi nghiên cứu kỹ lưỡng, nhắm mục tiêu cẩn trọng và kỹ năng viết tinh vi để đánh cắp tên người dùng và mật khẩu - cũng đã được tự động hóa.
“Phần lớn thời gian, chúng có thể thành công trước khi bạn kịp uống xong tách cà phê”, ông Reuben Koh nói.
Và điều này buộc doanh nghiệp phải thay đổi cách phòng vệ hệ thống.
Ông Sheetal Mehta, Giám đốc toàn cầu phụ trách dịch vụ an ninh mạng của NTT Data cho biết một phần vấn đề là các cuộc tấn công dùng tác nhân AI hòa lẫn hoàn toàn vào môi trường doanh nghiệp, khiến việc phát hiện trở nên khó khăn hơn đáng kể.
Với AI, tội phạm mạng không triển khai những phần mềm độc hại dễ nhận diện để kích hoạt cảnh báo. Thay vào đó, chúng sử dụng chính các công cụ tiêu chuẩn mà doanh nghiệp hợp pháp vẫn dùng.
Tuy nhiên, lợi thế về tốc độ mà AI mang lại cho tin tặc cũng có thể được khai thác cho mục đích phòng thủ, ông Sheetal Mehta nói. Nhóm của ông đã sử dụng AI để rút ngắn thời gian phản ứng trước một cuộc tấn công từ 40 phút xuống còn 10 phút.
Ông cho biết AI giúp tăng năng suất của chuyên viên an ninh từ 7 - 10 lần. Chẳng hạn, một chuyên viên trước đây xử lý 20 cảnh báo mỗi ngày thì nay có thể xử lý 100 - 120 cảnh báo.
Theo nghiên cứu của NTT, 55 - 60% doanh nghiệp vẫn đối mặt với các thách thức bảo mật cơ bản. Phần lớn tổ chức đang vận hành trên các hệ thống cũ không được thiết kế để đối phó với các mối đe dọa từ AI. Ông cũng chỉ ra những vấn đề mà công nghệ không thể khắc phục, đó là lỗi con người làm lộ thông tin xác thực, bản vá không được cập nhật kịp thời hoặc các lỗ hổng không được xử lý.
RỦI RO
Mặc dù AI giúp gia tăng năng suất cho các công ty an ninh mạng, nó cũng góp phần làm trầm trọng thêm một vấn đề khác, theo ông Damien Wong, Phó Chủ tịch cấp cao của Tricentis - nền tảng kiểm thử và chất lượng phần mềm.
Sự phổ biến của “vibe coding” - lập trình dựa nhiều vào AI - cùng với môi trường làm việc áp lực cao tại các công ty phần mềm đã khiến lượng phần mềm chưa được kiểm thử tung ra thị trường gia tăng.
“Việc nhiều người thậm chí chưa kiểm thử mã nguồn có lẽ là một trong những lý do chính khiến hệ thống ngày nay tồn tại quá nhiều lỗ hổng”, ông Wong nhận định, đồng thời gọi khối lượng phần mềm chưa kiểm thử như một trận lũ.
Ông thừa nhận năng suất của lập trình viên sử dụng GitHub Copilot tăng 55%, nhưng đồng thời số lỗi và khiếm khuyết phần mềm cũng tăng 40%.
Tricentis đã khảo sát hơn 2.700 lãnh đạo công nghệ toàn cầu cho báo cáo Quality Transformation Report năm ngoái. Gần một nửa thừa nhận họ thường xuyên phát hành mã nguồn chưa được kiểm thử vào môi trường vận hành thực tế.
Trong đó có cả mã, thường do AI tạo ra, dùng để cài đặt API, phần mềm cho phép các hệ thống kết nối và hoạt động cùng nhau. Do API thường mở quyền truy cập sang các phần khác của hệ thống, chúng đang trở thành một trong những điểm tấn công phổ biến nhất, theo ông Damien Wong.
Khi các tác nhân AI giành được quyền truy cập hệ thống, chúng có thể nhanh chóng đặt lại cấu hình bảo mật hoặc phá hỏng các tệp phục hồi.
“Nếu bạn nghĩ kỹ, một tác nhân hoạt động bên trong doanh nghiệp có thể hành xử như một “người nội bộ”, ông Wong giải thích.
Bên cạnh API, một hệ thống khác cũng gây ra nhiều vấn đề là Model Context Protocol (MCP) của Anthropic - một tiêu chuẩn phần mềm nhằm giúp các tác nhân AI phối hợp với nhau dễ dàng hơn.
Anthropic phát hành MCP vào tháng 11/2024 và mức độ áp dụng đã tăng nhanh chóng. Vấn đề, theo ông Reuben Koh của Akamai, là MCP được thiết kế để kết nối hệ thống, chứ không phải để bảo mật chúng.
Ông Kalember cho biết đã trực tiếp chứng kiến việc khai thác này. Tháng 8/2025, nhóm của ông phát hiện một máy chủ MCP độc hại cho công cụ Postmark. Máy chủ này cho phép tác nhân AI gửi email, nhưng kẻ tấn công đã cấu hình để mọi email gửi đi đều được BCC về địa chỉ của chúng. Mục tiêu là các nhân viên chăm sóc khách hàng, một trong những trường hợp sử dụng phổ biến nhất của tự động hóa AI trong doanh nghiệp.
DOANH NGHIỆP CẦN LÀM GÌ?
Biện pháp phòng vệ khả thi duy nhất là “lấy độc trị độc”. Doanh nghiệp cần các hệ thống an ninh vận hành bằng AI có thể phát hiện bất thường, liên kết mối đe dọa và phản ứng tự động với tốc độ tương đương các cuộc tấn công.
Các chuyên viên phân tích con người đơn thuần không còn đủ khả năng xử lý thông tin nhanh đến vậy.
Tuy nhiên, trước khi có thể phòng thủ trước các cuộc tấn công AI tinh vi, doanh nghiệp cần hiểu rõ vị thế của mình. Ông Sheetal Mehta của NTT cho biết phần lớn tổ chức không nắm được điều đó và thiếu một đường cơ sở để đánh giá mức độ rủi ro.
Doanh nghiệp cần lập bản đồ trạng thái an ninh hiện tại, xác định mức rủi ro mạng đang đối mặt, định nghĩa mức rủi ro chấp nhận được đối với hoạt động kinh doanh và xây dựng cái nhìn tích hợp về các biện pháp kiểm soát bảo mật. Họ cũng phải hiểu rõ cách phục hồi sau một cuộc tấn công. Chỉ khi đó, doanh nghiệp mới có thể bắt đầu nghĩ đến kế hoạch chuyển đổi và phòng thủ dựa trên AI.
Dù vậy, việc nắm vững mọi chi tiết kỹ thuật của AI có thể không cần thiết.
Ông Reuben Koh nhấn mạnh rằng các đội ngũ an ninh cần có hiểu biết về AI, nhưng không nhất thiết phải hiểu tường tận cách các mô hình ngôn ngữ lớn vận hành.
“Họ cần biết sự khác biệt giữa AI tạo sinh và một tác nhân AI. Nhưng quan trọng hơn, họ cần biết cách tận dụng các công cụ vận hành bằng AI để hỗ trợ công việc của mình”, ông Koh kết luận.
