Tất cả mọi người đang điều hướng an ninh AI trong thời gian thực – ngay cả Google.

Tôi gần đây đã có cơ hội trò chuyện với Francis de Souza, COO của Google Cloud, phía sau sân khấu tại một sự kiện ở Los Angeles. Giữa không khí ồn ào xung quanh, ông de Souza, người có phong thái điềm tĩnh, từ tốn như một giáo sư đại học, đã đưa ra những lời khuyên hữu ích cho các công ty đang đối mặt với thời điểm an ninh AI mà tất cả chúng ta đang trải qua. Ông nhận định rằng "sẽ có một giai đoạn chuyển tiếp, và sau đó tôi nghĩ chúng ta sẽ đạt đến một trạng thái tốt hơn". Ông không nói về Google vào thời điểm đó, nhưng rõ ràng là ngay cả Google cũng đang trong quá trình tìm hiểu. Thông điệp cốt lõi của ông de Souza là điều mà các chuyên gia an ninh đã cố gắng thuyết phục các nhà điều hành nội bộ hóa trong nhiều năm, và giờ đây trở nên cấp bách hơn bao giờ hết bởi AI: an ninh không thể là một yếu tố thứ yếu. Ông nói: "Khi các công ty bắt đầu hành trình AI này, họ cần áp dụng một cách tiếp cận nền tảng". "An ninh không phải là thứ bạn có thể thêm vào sau này, và cũng không phải là thứ bạn có thể để nhân viên tự làm". Ông đặc biệt cảnh báo về "AI bóng tối" (shadow AI) — việc nhân viên sử dụng các công cụ tiêu dùng mà không có sự giám sát của tổ chức — và lập luận rằng các công ty cần yêu cầu an ninh, quản trị và khả năng kiểm toán từ các nền tảng của họ ngay từ đầu. "Không có chiến lược AI nào mà không có chiến lược dữ liệu và chiến lược an ninh. Chúng cần phải đi đôi với nhau". Điều đáng chú ý: ông không chỉ quảng bá Google Cloud. Khi tôi nhận xét rằng lời khuyên của ông nghe giống như một quảng cáo của Google, ông đã phản bác. Google, ông nói, cam kết với một cách tiếp cận đa đám mây (multicloud), và ông lập luận rằng các công ty nghĩ rằng họ đang hoạt động trên một đám mây duy nhất gần như chắc chắn là không phải. "Ngay cả khi họ chọn một đám mây duy nhất, họ vẫn dựa vào các ứng dụng SaaS, có những đối tác kinh doanh có thể đang sử dụng các đám mây khác nhau", ông nói. "Điều quan trọng là các công ty phải có một tư thế an ninh nhất quán trên các đám mây, trên các mô hình". Ông cũng lập luận rằng bối cảnh mối đe dọa đã thay đổi một cách cơ bản đến mức các mô hình phòng thủ cũ quá chậm chạp. Ông lưu ý rằng thời gian trung bình giữa một vụ vi phạm ban đầu và việc chuyển giao sang giai đoạn tiếp theo của một cuộc tấn công đã giảm từ tám giờ xuống còn 22 giây, và bề mặt tấn công đã mở rộng vượt ra ngoài ranh giới mạng truyền thống. "Ngoài hệ thống thông thường của bạn, giờ đây bạn có các mô hình. Bạn có các đường ống dữ liệu được sử dụng để huấn luyện các mô hình. Bạn có các tác nhân (agents), bạn có các lời nhắc (prompts). Tất cả những điều này cần được bảo vệ". Một mối đe dọa mà ông de Souza chỉ ra nhưng chưa nhận được đủ sự chú ý là: các tác nhân di chuyển qua các hệ thống nội bộ của một công ty có thể làm lộ các kho dữ liệu bị lãng quên mà không ai nghĩ đến trong nhiều năm. "Nhiều tổ chức có các máy chủ SharePoint cũ [và kiểm soát truy cập] mà họ chưa thực sự cập nhật, nhưng điều đó không quan trọng vì không ai thực sự biết chúng ở đâu. Nhưng các tác nhân lang thang trong doanh nghiệp của bạn sẽ tìm thấy những tài sản dữ liệu đó và sẽ làm lộ dữ liệu trên chúng". Theo quan điểm của ông, giải pháp là đối phó với tốc độ của máy móc bằng tốc độ của máy móc. Ông cho biết: "Chúng ta đang chứng kiến sự xuất hiện của một hệ thống phòng thủ hoàn toàn tự động, dựa trên AI, nơi các tổ chức có thể vận hành các tác nhân điều khiển hệ thống phòng thủ của mình. Thay vì có một hệ thống phòng thủ do con người lãnh đạo hoặc thậm chí có con người tham gia vào quy trình, giờ đây bạn có thể có con người giám sát một hệ thống phòng thủ hoàn toàn tự động". Ông nói thêm rằng đây đã trở thành một vấn đề lãnh đạo, không chỉ là vấn đề công nghệ. "Đây là vấn đề của hội đồng quản trị và ban điều hành. Nó không chỉ là vấn đề của đội ngũ an ninh". Tuy nhiên, ngay cả khi AI đảm nhận nhiều công việc phòng thủ hơn, số lượng người đủ tiêu chuẩn để giám sát nó vẫn còn thiếu hụt — và các lỗ hổng mà bản thân AI đang tạo ra đang gia tăng nhanh hơn khả năng giải quyết của các đội ngũ an ninh. Lea Kissner, Giám đốc An ninh Thông tin của LinkedIn, nói với tờ New York Times trong tuần này rằng: "Chúng ta sẽ cần người để đối phó với 'thảm họa lỗi'". Bà nói thêm rằng bà không mong đợi ngành công nghiệp sẽ hiểu được an ninh AI một cách bền vững lâu dài trong ít nhất vài năm tới. Điều này đưa chúng ta trở lại với các nhà cung cấp nền tảng. The Register đã công bố một loạt báo cáo trong vài tuần qua, ghi nhận một làn sóng các nhà phát triển Google Cloud bị tính hóa đơn năm con số sau các cuộc gọi API trái phép đến các mô hình Gemini — các dịch vụ mà nhiều người trong số họ chưa bao giờ sử dụng hoặc cố ý kích hoạt. Các trường hợp này theo một mô hình quen thuộc: các khóa API ban đầu được triển khai cho Google Maps, được đặt công khai theo hướng dẫn của Google, đã âm thầm có khả năng truy cập Gemini sau khi Google mở rộng phạm vi của chúng mà không tiết lộ rõ ràng sự thay đổi. Rod Danan, Giám đốc điều hành của nền tảng luyện phỏng vấn Prentus, cho biết hóa đơn của ông đã lên tới 10.138 USD trong khoảng 30 phút sau khi những kẻ tấn công khai thác khóa API bị xâm phạm của ông. Isuru Fonseka, một nhà phát triển có trụ sở tại Sydney, người có tài khoản cũng bị xâm phạm tương tự, đã thức dậy với các khoản phí khoảng 17.000 AUD mặc dù tin rằng ông có giới hạn chi tiêu 250 USD. Điều mà cả hai không biết là các hệ thống tự động của Google đã nâng cấp các cấp độ thanh toán của họ dựa trên lịch sử tài khoản, nâng giới hạn hiệu quả của họ lên tới 100.000 USD mà không có sự đồng ý rõ ràng. Google đã hoàn tiền cho cả hai sau khi The Register công bố báo cáo ban đầu. Tuy nhiên, Google nói với The Register rằng họ không có kế hoạch thay đổi chính sách nâng cấp cấp độ tự động của mình, nói rằng họ ưu tiên ngăn chặn sự cố dịch vụ hơn là thực thi các tùy chọn ngân sách đã nêu của người dùng. Trong khi đó, có một câu hỏi riêng biệt về điều gì sẽ xảy ra khi một nhà phát triển cố gắng tắt mọi thứ. The Register đã báo cáo trong tuần này về nghiên cứu của công ty an ninh Aikido, cho thấy ngay cả những nhà phát triển phát hiện ra một khóa bị xâm phạm và xóa nó ngay lập tức cũng có thể không an toàn. Theo phát hiện của Aikido, những kẻ tấn công dường như có thể tiếp tục sử dụng khóa đó trong tối đa 23 phút vì việc thu hồi của Google lan truyền dần dần trên toàn bộ hệ thống.