Việc áp dụng trí tuệ nhân tạo trong doanh nghiệp đang tăng nhanh hơn khả năng bảo mật của các tổ chức. Một báo cáo bảo mật cơ sở hạ tầng mới cảnh báo rằng các cuộc tấn công do AI điều khiển đang di chuyển nhanh hơn các biện pháp phòng thủ truyền thống có thể phản ứng.

Trong Báo cáo bảo mật AI ThreatLabz 2026, Zscaler cảnh báo rằng các doanh nghiệp chưa chuẩn bị cho làn sóng rủi ro mạng tiếp theo do AI điều khiển, ngay cả khi AI đang được tích hợp sâu vào hoạt động kinh doanh.

Báo cáo dựa trên việc phân tích gần một nghìn tỷ giao dịch AI/ML trên nền tảng Zscaler Zero Trust Exchange từ tháng 1 đến tháng 12 năm 2025.

Theo báo cáo, các doanh nghiệp đang tiến gần đến một điểm bùng phát, nơi AI đã chuyển từ một công cụ năng suất sang một vectơ chính cho các cuộc tấn công tự động tốc độ máy.

“AI không còn chỉ là một công cụ năng suất mà còn là vectơ chính cho các cuộc tấn công tự động tốc độ máy của cả tội phạm mạng và các quốc gia,” Deepen Desai, phó chủ tịch điều hành phụ trách an ninh mạng của Zscaler, cho biết.

Ông nói thêm:

“Trong thời đại của AI tác nhân, một cuộc xâm nhập có thể chuyển từ khám phá sang di chuyển ngang trong hệ thống rồi đánh cắp dữ liệu chỉ trong vài phút, khiến các hệ thống phòng thủ truyền thống trở nên lỗi thời.”

Giám sát chậm hơn tốc độ áp dụng

Báo cáo cảnh báo rằng việc áp dụng AI đang tăng nhanh hơn khả năng giám sát của doanh nghiệp.

Mặc dù việc sử dụng AI đã tăng 200% trong nhiều lĩnh vực, nhiều tổ chức vẫn không có danh sách đầy đủ các mô hình AI đang hoạt động trong hệ thống của họ.

Stu Bradley, phó chủ tịch cấp cao về giải pháp rủi ro, gian lận và tuân thủ tại SAS, cho biết những phát hiện này xác nhận các cảnh báo trước đây.

“Các doanh nghiệp đang nắm bắt AI nhanh hơn tốc độ họ xây dựng các cơ chế quản trị phù hợp,” ông nói.

“Hầu hết các tổ chức vẫn không có bản kiểm kê đầy đủ về nơi AI đang chạy hoặc dữ liệu mà nó đang truy cập.”

Điều đó có nghĩa là:

• hàng triệu tương tác AI không được quản lý

• hàng terabyte dữ liệu nhạy cảm có thể đang chảy vào các hệ thống AI

“Bạn không cần phải là một CISO để thấy rủi ro trong điều đó,” ông nói.

Ryan McCurdy, phó chủ tịch tiếp thị tại Liquibase, mô tả tình hình như sau:

“AI đang ở khắp mọi nơi, nhưng không có nơi nào thực sự kiểm soát nó.”

Nhân viên thường:

• dán dữ liệu khách hàng vào các trợ lý AI

• đưa mã nguồn vào chatbot

• cung cấp ngữ cảnh sản xuất cho AI

đơn giản vì đó là cách nhanh nhất để hoàn thành công việc.

Trong khi đó, nhiều nhà cung cấp phần mềm đang tích hợp AI trực tiếp vào các công cụ doanh nghiệp, khiến việc sử dụng AI lan rộng mà không cần đánh giá bảo mật chính thức.

“Khi bạn không biết AI đang chạy ở đâu và truy cập dữ liệu nào, bạn không thể thực thi chính sách bảo mật hoặc điều tra sự cố,” McCurdy nói.

AI đã có mặt bên trong hệ thống

Michael Bell, CEO của Suzu Testing, cho biết mọi nhà cung cấp SaaS lớn hiện nay đều đang tích hợp AI vào sản phẩm của họ.

Các tính năng này thường:

• hoạt động theo mặc định

• kế thừa quyền truy cập hiện có

• tránh được các hệ thống bảo mật cũ

“Nhân viên của bạn không chọn sử dụng AI,” ông nói.

“AI đã có sẵn trong các công cụ mà họ đang sử dụng hàng ngày.”

Điều này tạo ra một hồ sơ rủi ro hoàn toàn khác so với việc nhân viên sử dụng các chatbot bên ngoài.

“Bạn không thể giải quyết vấn đề này chỉ bằng cách chặn ChatGPT ở tường lửa,” ông nói.

“AI đã nằm bên trong các ứng dụng doanh nghiệp.”

Các cuộc tấn công diễn ra ở tốc độ máy

Các nhà nghiên cứu của Zscaler phát hiện rằng hệ thống AI doanh nghiệp có thể bị xâm nhập cực kỳ nhanh.

Trong nhiều trường hợp, hệ thống có thể bị khai thác chỉ trong 16 phút.

Ngoài ra, các nhà nghiên cứu phát hiện lỗ hổng nghiêm trọng trong 100% hệ thống AI được phân tích.

Các thử nghiệm tấn công “red team” của Zscaler cho thấy rằng khi các hệ thống AI doanh nghiệp được kiểm tra trong điều kiện tấn công thực tế, chúng gần như sụp đổ ngay lập tức.

Sunil Gottumukkala, CEO của Averlon, giải thích rằng điều này xảy ra vì các hệ thống AI dựa vào nhiều quyền truy cập hoạt động cùng lúc.

Ví dụ:

• một tài khoản có quyền truy cập dữ liệu nhạy cảm

• một tài khoản khác có thể kích hoạt hành động tự động

• một tài khoản thứ ba có thể ghi dữ liệu vào hệ thống sản xuất

Mỗi quyền riêng lẻ có vẻ hợp pháp, nhưng khi kết hợp lại, chúng có thể tạo ra chuỗi tấn công nguy hiểm.

Sự bùng nổ danh tính không phải con người

Troy Leach, giám đốc chiến lược tại Cloud Security Alliance, cho biết một thay đổi lớn đang xảy ra trong hệ thống bảo mật.

Hiện nay có 82 danh tính máy cho mỗi một danh tính con người trong nhiều hệ thống doanh nghiệp.

Các danh tính không phải con người bao gồm:

• mô hình AI

• tác nhân tự động

• dịch vụ API

• tài khoản hệ thống

Những danh tính này thường ít được giám sát hơn so với tài khoản của con người.

Ngoài ra, số lượng lớn API và công cụ mà các tác nhân AI có thể sử dụng tạo ra những cách mới để phá vỡ các hệ thống bảo mật.

Leach cho rằng các tổ chức cần:

• quản lý vòng đời danh tính

• thường xuyên thu hồi và cấp lại quyền truy cập

để bắt kịp tốc độ đổi mới.

Bề mặt tấn công mới

Nhiều doanh nghiệp vẫn coi bảo mật AI như một phần mở rộng của bảo mật ứng dụng, nhưng thực tế bề mặt tấn công đã thay đổi.

Brad Micklea, CEO của Jozu, giải thích rằng:

“Mô hình AI không phải là mã.”

Chúng là các cấu trúc chứa:

• dữ liệu huấn luyện

• trọng số mô hình

• các phụ thuộc phần mềm

Những yếu tố này có thể bị đầu độc ở bất kỳ điểm nào trong chuỗi cung ứng.

Các công cụ bảo mật ứng dụng truyền thống không được thiết kế để kiểm tra nội dung bên trong mô hình AI.

Cơn sốt AI tạo ra mã kém chất lượng

Một vấn đề khác là nhiều công ty đang vội vã tham gia cơn sốt vàng AI.

Theo Eric Hulse, giám đốc nghiên cứu tại Command Zero, nhiều nhóm phát triển thiếu kinh nghiệm đang sử dụng AI để viết mã.

Điều này dẫn đến:

• lỗi phần mềm

• lỗ hổng bảo mật

• cấu hình không an toàn

Một số hệ thống AI đang được triển khai với mức độ bảo mật của nguyên mẫu, thay vì tiêu chuẩn sản xuất.

Các vấn đề phổ biến bao gồm:

• endpoint mô hình không có xác thực

• lỗ hổng prompt injection

• tích hợp API không an toàn

• quyền truy cập quá mức

Nhiều cấu hình mặc định thậm chí được triển khai trực tiếp vào hệ thống sản xuất.

Randolph Barr, CISO của Cequence Security, cho biết nhiều nhóm kỹ thuật cắt giảm các bước bảo mật để đáp ứng thời hạn ra mắt sản phẩm.

“Khi điều đó xảy ra, các biện pháp bảo mật cơ bản bị bỏ qua và những phím tắt đó đi thẳng vào hệ thống sản xuất,” ông nói.

Khối lượng dữ liệu khổng lồ

Báo cáo cũng ghi nhận rằng dữ liệu doanh nghiệp gửi tới các ứng dụng AI/ML đã tăng lên 18.033 terabyte trong năm 2025, tăng 93% so với năm trước.

Con số này tương đương với khoảng 3,6 tỷ bức ảnh kỹ thuật số.

Báo cáo cũng phát hiện 410 triệu vi phạm chính sách phòng chống mất dữ liệu (DLP) chỉ liên quan đến ChatGPT.

Những vi phạm này bao gồm việc chia sẻ:

• số an sinh xã hội

• mã nguồn

• hồ sơ y tế

Điều này cho thấy quản trị AI đã trở thành một nhu cầu vận hành khẩn cấp, không còn chỉ là vấn đề chính sách.

Khi các kho dữ liệu AI phát triển, chúng cũng trở thành mục tiêu hấp dẫn cho gián điệp mạng.

Không cần hoảng loạn, nhưng cần hành động

Riaan Gouws, CTO của Forward Edge-AI, cho rằng thông điệp lớn nhất từ báo cáo là AI đã trở thành một phần của công việc hàng ngày.

Nhân viên đang sử dụng AI với dữ liệu doanh nghiệp thực sự, thường mà không nhận ra rủi ro.

“Các công ty không cần phải hoảng sợ,” ông nói.

“Nhưng họ cần bắt kịp nhanh chóng.”

Các bước cần thiết bao gồm:

• xác định công cụ AI nào được phép sử dụng

• đặt hàng rào bảo vệ cho dữ liệu nhạy cảm

• đảm bảo bộ phận bảo mật có thể nhìn thấy việc sử dụng AI

Rosario Mastrogiacomo, giám đốc chiến lược tại Sphere Technology Solutions, cho rằng vấn đề cốt lõi không phải là AI mà là quản trị danh tính.

Ông nói rằng các hệ thống AI cần được đối xử như các danh tính trong hệ thống.

Điều đó có nghĩa là:

• khám phá

• xác định chủ sở hữu

• giám sát hành vi

• quản lý vòng đời

Nếu không, các doanh nghiệp sẽ tiếp tục chứng kiến sự đổi mới AI mạnh mẽ nhưng đi kèm với bảo mật mong manh.

“Các tổ chức làm đúng điều này sẽ không làm chậm việc áp dụng AI,” ông nói.

“Họ sẽ làm cho nó bền vững.”