Phi Vũ
New member
Nhiều người tin rằng đủ mã hóa và môi trường thực thi kín sẽ giải quyết mọi rủi ro AI. Thực tế, vấn đề lớn hơn nằm ở chỗ hệ thống hiếm khi kiểm tra xem một thực thể (human hoặc non‑human) có được phép thực hiện hành động cụ thể tại thời điểm đó hay không.
Một câu chuyện an ủi đang lan trong giới an ninh doanh nghiệp: AI bị "hỏng ở thời gian chạy" vì dữ liệu không được bảo vệ khi đang được sử dụng, và giải pháp là bọc khối lượng công việc trong bộ nhớ mã hóa, enclave phần cứng và chứng thực mã hóa.
Nhưng điều đó không đủ. Một workload AI chạy trong enclave được chứng thực đầy đủ và được mã hóa hoàn toàn sẽ vẫn thực thi chính xác mọi lệnh mà nó nhận được — kể cả lệnh trích xuất cơ sở dữ liệu khách hàng, thay đổi cấu hình sản xuất hay chuyển tiền sang tài khoản kẻ tấn công. Enclave bảo vệ byte; nó không hỏi liệu hành động đó có nên xảy ra hay không.
Khung phân tích phổ biến cho rằng dữ liệu có ba trạng thái — nghỉ, truyền và đang dùng — và ngành chỉ bảo vệ hai trạng thái đầu mà bỏ quên trạng thái đang dùng. Đây là lỗi phân loại: an ninh AI không chỉ là vấn đề dữ liệu mà chủ yếu là quản lý danh tính và kiểm soát hành động. Những vi phạm thực tế thường không giống như kẻ tấn công đọc trọng số mô hình từ RAM; chúng giống như một agent có quyền quá mức gọi tới công cụ mà nó không bao giờ nên được phép sử dụng.
Chúng có thể xuất hiện dưới dạng mô hình được tinh chỉnh tuân thủ một prompt lịch sự hướng dẫn xóa dữ liệu sản xuất. Chúng có thể là một danh tính phi‑con người — một trong hàng chục danh tính mà một agent AI tạo ra — nắm giữ thông tin xác thực chưa từng được con người xem xét và dùng chúng chống lại hệ thống mà không có chính sách nào ràng buộc.
Bạn không thể mã hóa để khắc phục những trường hợp này. Việc giải mã đã xảy ra và chứng thực đã vượt qua. Lỗi nằm ở phía trước bộ nhớ: không có điểm thực thi hỏi liệu hành động đó có được ủy quyền hay không ngay khi nó được yêu cầu.
Bảo mật tính toàn vẹn và tính bí mật của phần cứng (confidential computing) không giải quyết được bài toán ủy quyền thời gian chạy. Chúng chỉ xử lý việc phần cứng sẽ tiết lộ gì. Đó là ba vấn đề khác nhau, ba mặt điều khiển khác nhau, nhưng ngành vẫn lẫn lộn chúng với nhau.
Nó đòi hỏi chính sách được biểu đạt như mã, được quản lý phiên bản, kiểm thử và có thể kiểm toán. Giải pháp phải áp dụng thống nhất cho cả người dùng, dịch vụ, mô hình và chuỗi agent nhiều bước. Khi có sự cố, cần một log quyết định cho biết chính xác danh tính nào đã cố gắng làm gì và vì sao hành động đó được cho phép hoặc từ chối.
Đây không phải kiến trúc lý thuyết mà là một mô hình vận hành đã được triển khai ở những doanh nghiệp chấp nhận rằng biên an ninh đã biến mất, mạng không phải là ranh giới tin cậy, và điểm duy nhất có thể thực thi an ninh AI hiệu quả là ngay thời khắc hành động được khởi xướng.
Chìa khóa trong 18 tháng tới không phải là chỉ đầu tư vào enclave hay mã hóa bộ nhớ, mà là xây dựng lớp ủy quyền thời gian chạy rõ ràng, kiểm soát danh tính phi‑con người, và chính sách như mã để đảm bảo AI chỉ làm những gì nó được phép làm.
Nguồn: Techradar
Một câu chuyện an ủi đang lan trong giới an ninh doanh nghiệp: AI bị "hỏng ở thời gian chạy" vì dữ liệu không được bảo vệ khi đang được sử dụng, và giải pháp là bọc khối lượng công việc trong bộ nhớ mã hóa, enclave phần cứng và chứng thực mã hóa.
Nhưng điều đó không đủ. Một workload AI chạy trong enclave được chứng thực đầy đủ và được mã hóa hoàn toàn sẽ vẫn thực thi chính xác mọi lệnh mà nó nhận được — kể cả lệnh trích xuất cơ sở dữ liệu khách hàng, thay đổi cấu hình sản xuất hay chuyển tiền sang tài khoản kẻ tấn công. Enclave bảo vệ byte; nó không hỏi liệu hành động đó có nên xảy ra hay không.
Khoảng trống ủy quyền
Khi một thực thể cố gắng thực hiện hành động, câu hỏi cần được trả lời là: ai đang thực thi chính sách quyết định liệu hành động đó có được phép hay không, trong ngữ cảnh hiện tại? Đó là "Authorization Gap" — nơi an ninh AI thực sự đang vỡ.Khung phân tích phổ biến cho rằng dữ liệu có ba trạng thái — nghỉ, truyền và đang dùng — và ngành chỉ bảo vệ hai trạng thái đầu mà bỏ quên trạng thái đang dùng. Đây là lỗi phân loại: an ninh AI không chỉ là vấn đề dữ liệu mà chủ yếu là quản lý danh tính và kiểm soát hành động. Những vi phạm thực tế thường không giống như kẻ tấn công đọc trọng số mô hình từ RAM; chúng giống như một agent có quyền quá mức gọi tới công cụ mà nó không bao giờ nên được phép sử dụng.
Chúng có thể xuất hiện dưới dạng mô hình được tinh chỉnh tuân thủ một prompt lịch sự hướng dẫn xóa dữ liệu sản xuất. Chúng có thể là một danh tính phi‑con người — một trong hàng chục danh tính mà một agent AI tạo ra — nắm giữ thông tin xác thực chưa từng được con người xem xét và dùng chúng chống lại hệ thống mà không có chính sách nào ràng buộc.
Bạn không thể mã hóa để khắc phục những trường hợp này. Việc giải mã đã xảy ra và chứng thực đã vượt qua. Lỗi nằm ở phía trước bộ nhớ: không có điểm thực thi hỏi liệu hành động đó có được ủy quyền hay không ngay khi nó được yêu cầu.
An ninh khác với an toàn
Có một ảo tưởng liên quan nữa: an toàn AI (alignment, guardrail, lọc nội dung) giống như an ninh AI. Không phải vậy. Một mô hình được huấn luyện để hữu ích, vô hại và trung thực sẽ, theo thiết kế, cố gắng giúp đỡ. Khi kẻ tấn công đóng gói yêu cầu độc hại dưới dạng nhu cầu hợp lý của doanh nghiệp, chính việc mô hình "lịch sự" lại khiến nó hợp tác — đó là "bẫy lịch sự". An toàn điều chỉnh những gì mô hình sẵn sàng làm; an ninh điều chỉnh những gì mô hình được phép làm.Bảo mật tính toàn vẹn và tính bí mật của phần cứng (confidential computing) không giải quyết được bài toán ủy quyền thời gian chạy. Chúng chỉ xử lý việc phần cứng sẽ tiết lộ gì. Đó là ba vấn đề khác nhau, ba mặt điều khiển khác nhau, nhưng ngành vẫn lẫn lộn chúng với nhau.
Yêu cầu của ủy quyền thời gian chạy
Ủy quyền thời gian chạy có nghĩa là có một điểm quyết định chính sách (policy decision point) nằm trong đường dẫn yêu cầu của mọi hành động AI — mọi cuộc gọi công cụ, mọi truy cập dữ liệu, mọi gọi API — và trả lời trong vài mili‑giây liệu danh tính cụ thể đó có được phép thực hiện hành động cụ thể này trên tài nguyên đó trong bối cảnh hiện tại hay không.Nó đòi hỏi chính sách được biểu đạt như mã, được quản lý phiên bản, kiểm thử và có thể kiểm toán. Giải pháp phải áp dụng thống nhất cho cả người dùng, dịch vụ, mô hình và chuỗi agent nhiều bước. Khi có sự cố, cần một log quyết định cho biết chính xác danh tính nào đã cố gắng làm gì và vì sao hành động đó được cho phép hoặc từ chối.
Đây không phải kiến trúc lý thuyết mà là một mô hình vận hành đã được triển khai ở những doanh nghiệp chấp nhận rằng biên an ninh đã biến mất, mạng không phải là ranh giới tin cậy, và điểm duy nhất có thể thực thi an ninh AI hiệu quả là ngay thời khắc hành động được khởi xướng.
Chìa khóa trong 18 tháng tới không phải là chỉ đầu tư vào enclave hay mã hóa bộ nhớ, mà là xây dựng lớp ủy quyền thời gian chạy rõ ràng, kiểm soát danh tính phi‑con người, và chính sách như mã để đảm bảo AI chỉ làm những gì nó được phép làm.
Nguồn: Techradar
Bài viết liên quan
