📞 0985.52.52.18 🎓 Thông tin tuyển sinh
MỞ ĐƯỜNG THẮNG LỢI
01:05 10/07/2026

Nhận diện các nguy cơ mất an toàn thông tin từ chatbot AI và giải pháp kiểm soát

09/07/2026 22:26 Quan tri TSQCB 12 lượt xem Thời gian đọc: 16 phút
Nghe đọc bài viết
Nhấn nút để nghe bài viết bằng giọng đọc nhân tạo
Nhận diện các nguy cơ mất an toàn thông tin từ chatbot AI và giải pháp kiểm soát
Tóm tắt: Sự bùng nổ của các mô hình ngôn ngữ lớn (LLM) đã thúc đẩy việc triển khai chatbot AI sâu rộng trong các tổ chức. Tuy nhiên, điều này cũng mở ra những bề mặt tấn công mới, thách thức các mô hình an toàn thông tin truyền thống. Bài báo tập trung phân tích các nguy cơ an toàn thông tin đặc thù khi sử dụng chatbot AI như rò rỉ dữ liệu qua hành vi sử dụng, tấn công Prompt Injection (trực tiếp và gián tiếp), rủi ro từ cơ chế RAG (Retrieval-Augmented Generation) và hiện tượng "shadow AI". Trên cơ sở đó, tác giả đề xuất các giải pháp quản trị và kỹ thuật dựa trên khung an toàn của NIST và OWASP nhằm bảo đảm an toàn cho các hệ thống AI trong môi trường cơ quan, doanh nghiệp.

Mở đầu

Việc ứng dụng chatbot AI, đặc biệt các hệ thống dựa trên LLM, đang ngày càng phổ biến trong cơ quan nhà nước, tổ chức và doanh nghiệp nhờ khả năng hỗ trợ soạn thảo văn bản, phân tích dữ liệu, tra cứu thông tin và tự động hóa công việc. Chatbot AI đang dần trở thành một trợ lý số trong nhiều hoạt động quản lý, chuyên môn và kỹ thuật.

Tuy nhiên, khác với các phần mềm truyền thống, chatbot AI vừa đóng vai trò là kênh nhập dữ liệu tự do, vừa có khả năng tổng hợp và suy diễn trên quy mô lớn, lại thường được tích hợp với các nguồn tri thức nội bộ hoặc công cụ bên ngoài. Tổ hợp đặc điểm này làm xuất hiện một bề mặt rủi ro mới về an toàn thông tin, trong đó nguy cơ không chỉ nằm ở hạ tầng kỹ thuật mà còn ở ngữ cảnh xử lý dữ liệu và hành vi sử dụng của con người trong môi trường cơ quan, tổ chức.

image

Hình 1. Minh họa kịch bản Prompt Injection, kẻ tấn công “nhúng” chỉ dẫn vào ngữ cảnh để bẻ hướng mô hình và kéo dữ liệu/đầu ra ngoài ý định ban đầu (Nguồn: Palo Alto Networks)

Chatbot AI và sự thay đổi mô hình rủi ro an toàn thông tin

Trong các hệ thống công nghệ thông tin truyền thống, dữ liệu thường được thu thập và xử lý thông qua các biểu mẫu, giao diện hoặc API đã được thiết kế với cấu trúc, ràng buộc và cơ chế kiểm soát rõ ràng. Ngược lại, chatbot AI cho phép người dùng tương tác bằng ngôn ngữ tự nhiên với rất ít giới hạn về hình thức và nội dung đầu vào. Người sử dụng có thể dễ dàng đưa cả một đoạn tài liệu, mã nguồn, nhật ký hệ thống hoặc thư điện tử nội bộ vào cửa sổ trò chuyện để yêu cầu phân tích hay tóm tắt. Thói quen “càng nhiều ngữ cảnh thì câu trả lời càng tốt” khiến chatbot AI trở thành điểm tập trung dữ liệu nhạy cảm, đặc biệt khi hệ thống được triển khai trên nền tảng đám mây hoặc có cơ chế lưu vết phục vụ huấn luyện và tối ưu mô hình.

Rủi ro càng gia tăng khi chatbot AI không còn hoạt động độc lập mà được tích hợp sâu vào quy trình nghiệp vụ, chẳng hạn như truy xuất kho tài liệu nội bộ, gọi API hệ thống, tạo yêu cầu hỗ trợ, gửi thư điện tử hoặc sinh mã nguồn. Trong bối cảnh đó, chatbot AI vừa là giao diện tương tác, vừa là trung gian ra quyết định, khiến các sai sót hoặc hành vi bị thao túng có thể nhanh chóng chuyển hóa thành tác động thực tế lên hệ thống thông tin.

Rò rỉ dữ liệu từ hành vi sử dụng và cơ chế RAG

Một kịch bản rủi ro phổ biến và khó kiểm soát nhất hiện nay là rò rỉ dữ liệu do người dùng vô tình cung cấp thông tin nhạy cảm cho chatbot AI trong quá trình làm việc. Do đặc thù tương tác bằng ngôn ngữ tự nhiên, người dùng thường có xu hướng "tâm sự" hoặc đưa quá nhiều ngữ cảnh vào câu lệnh (prompt) để nhận được kết quả chính xác hơn.

Các loại dữ liệu như báo cáo tài chính nội bộ, cấu hình chi tiết hệ thống, nhật ký vận hành (log), thông tin định danh cá nhân (PII) hoặc thậm chí là các đoạn mã nguồn chứa khóa bí mật (API Keys) thường xuyên bị đưa vào chatbot. Đáng quan ngại là người dùng thường không nhận thức đầy đủ rằng các dữ liệu này có thể được lưu trữ trên hạ tầng cloud bên thứ ba hoặc được sử dụng để huấn luyện/tối ưu hóa mô hình trong tương lai. Kiểu rò rỉ này không tạo ra các dấu hiệu tấn công (signature) hay hành vi bất thường rõ ràng, khiến các công cụ giám sát an toàn thông tin truyền thống như tường lửa hay IDS/IPS gần như không thể phát hiện.

image

Hình 2. Kiến trúc hệ thống AI với cơ chế RAG, trong đó dữ liệu người dùng có thể đi qua các thành phần lưu trữ và truy hồi, tiềm ẩn nguy cơ rò rỉ thông tin nhạy cảm (Nguồn: knowledge.dataiku)

Bên cạnh đó, việc áp dụng cơ chế RAG (Retrieval-Augmented Generation) để cá nhân hóa chatbot theo dữ liệu nội bộ cũng làm gia tăng đáng kể bề mặt rủi ro. RAG hoạt động bằng cách tìm kiếm các đoạn văn bản có liên quan từ kho tài liệu riêng của tổ chức và đưa chúng vào ngữ cảnh của mô hình để sinh câu trả lời. Tuy nhiên, rủi ro phát sinh khi có sự sai lệch giữa phân quyền truy cập tài liệu và khả năng truy vấn của AI:

- Lỗ hổng phân quyền: Nếu hệ thống lập chỉ mục không kế thừa chặt chẽ quyền hạn của người dùng, một nhân viên cấp thấp có thể thông qua chatbot để truy xuất các tóm tắt từ tài liệu mật mà họ vốn không có quyền đọc trực tiếp.

- Khai thác ngữ cảnh: Ngay cả khi cấu hình kỹ thuật không có lỗi, kẻ tấn công hoặc người dùng có ý đồ xấu vẫn có thể sử dụng các kỹ thuật "dò hỏi" (probing) để điều hướng chatbot trích xuất và hiển thị những nội dung nhạy cảm nằm ngoài phạm vi cho phép của phiên làm việc.

Như vậy, khi tài liệu nội bộ được đưa vào pipeline của RAG, chúng không chỉ là nguồn tri thức mà còn trở thành một "kho chứa" rủi ro mới, nơi thông tin có thể bị lộ lọt quy mô lớn nếu thiếu đi các lớp kiểm soát truy cập và làm sạch dữ liệu ở tầng truy hồi.

Prompt Injection và lộ chỉ dẫn hệ thống: khi “ngữ cảnh” trở thành vector tấn công

Trong nhiều đánh giá báo cáo an ninh mạng, Prompt Injection được coi là một trong những rủi ro đặc thù và nghiêm trọng nhất của ứng dụng LLM. Khác với các cuộc tấn công phần mềm truyền thống nhắm vào lỗ hổng mã nguồn, Prompt Injection khai thác chính cơ chế xử lý ngôn ngữ tự nhiên để thay đổi hành vi của mô hình.

Về mặt kỹ thuật, rủi ro này được chia thành hai kịch bản chính:

- Tấn công trực tiếp: Người dùng cố tình sử dụng các câu lệnh jailbreaking vào cửa sổ chat để buộc chatbot phá vỡ các rào cản đạo đức hoặc quy tắc hệ thống, từ đó truy xuất trái phép thông tin hoặc thao túng quá trình ra quyết định. Trong kịch bản tấn công trực tiếp, đã ghi nhận các trường hợp người dùng chèn các chuỗi lệnh như “bỏ qua mọi chỉ dẫn trước đó” hoặc “đóng vai hệ thống quản trị” nhằm buộc mô hình tiết lộ các tham số nội bộ hoặc trả lời các nội dung vốn bị cấm theo chính sách triển khai.

- Tấn công gián tiếp: Đây là rủi ro đặc biệt nghiêm trọng khi chatbot AI được kết nối với cơ chế RAG hoặc các công cụ tự động. Kẻ tấn công có thể "nhúng" các chỉ dẫn độc hại vào nguồn dữ liệu bên ngoài (như tài liệu nội bộ, email, hoặc trang web) mà chatbot sẽ truy hồi. Khi mô hình đọc và đưa các chỉ dẫn ẩn này vào ngữ cảnh xử lý, nó có thể bị "bẻ hướng" để thực hiện các hành vi không mong muốn như trích xuất dữ liệu của người dùng khác hoặc gửi thông tin ra các máy chủ độc hại bên ngoài. Đối với tấn công gián tiếp, một kịch bản điển hình xảy ra khi chatbot được tích hợp RAG để truy hồi tài liệu nội bộ. Kẻ tấn công chèn các chỉ dẫn ẩn vào một tài liệu hợp pháp (ví dụ một tệp PDF hoặc trang wiki nội bộ) với nội dung hướng dẫn mô hình thực hiện các hành vi ngoài mong muốn khi tài liệu này được truy vấn. Khi chatbot đưa tài liệu vào ngữ cảnh xử lý, mô hình có thể vô tình thực thi chỉ dẫn độc hại đó, dẫn tới rò rỉ dữ liệu mà không cần xâm nhập trực tiếp vào hệ thống.

Song song với đó là nguy cơ lộ chỉ dẫn hệ thống. Nhiều tổ chức thiết lập các quy tắc nội bộ và chỉ dẫn bảo mật ngay trong cấu hình triển khai chatbot với kỳ vọng mô hình sẽ luôn tuân thủ. Tuy nhiên, trên thực tế các chỉ dẫn này có thể bị suy lộ hoặc vô hiệu hóa nếu không có lớp kiểm soát độc lập bên ngoài mô hình.

Cuối cùng, việc xử lý đầu ra của chatbot AI cũng tiềm ẩn rủi ro lớn. Nếu các phản hồi (như mã nguồn, câu lệnh thực thi) được hệ thống khác sử dụng trực tiếp mà không qua các bước kiểm tra, xác thực hoặc làm sạch dữ liệu, nó sẽ tạo ra các lỗ hổng dây chuyền, biến chatbot thành một cầu nối để tin tặc xâm nhập sâu hơn vào hạ tầng kỹ thuật của tổ chức.

Rủi ro từ đầu ra của chatbot AI: Xử lý không an toàn và hiện tượng “ảo giác”

Bên cạnh các rủi ro xuất phát từ dữ liệu đầu vào và ngữ cảnh xử lý, chatbot AI còn tiềm ẩn nguy cơ đáng kể từ chính đầu ra do hệ thống sinh ra. Trong nhiều trường hợp, kết quả phản hồi của chatbot AI được người dùng tin tưởng và sử dụng trực tiếp cho các hoạt động nghiệp vụ như cấu hình hệ thống, soạn thảo văn bản, sinh mã nguồn hoặc hỗ trợ ra quyết định. Nếu đầu ra này không được kiểm tra, xác thực hoặc làm sạch dữ liệu trước khi đưa vào các hệ thống khác, nguy cơ phát sinh các lỗ hổng là rất lớn.

Một rủi ro đặc trưng của các LLM là hiện tượng "ảo giác AI" (AI Hallucination), tức mô hình tạo ra các thông tin, sự kiện, đoạn mã hoặc tài liệu tham khảo không có thật hoặc không chính xác nhưng được trình bày với giọng điệu rất tự tin và thuyết phục. Do các phản hồi này thường có hình thức hợp lý, người dùng rất dễ nhầm lẫn và sử dụng mà không kiểm chứng. Đáng chú ý, hiện tưởng “ảo giác” không chỉ gây sai lệch thông tin mà còn có thể bị kẻ tấn công khai thác thông qua kỹ thuật "AI Package Hallucination". Kẻ tấn công có thể đăng ký sẵn các mã độc trên các kho lưu trữ công khai (như npm hoặc PyPI) với tên trùng với các gói thư viện không tồn tại mà AI thường xuyên "ảo giác" gợi ý, từ đó dẫn dụ lập trình viên cài đặt mã độc vào hệ thống trong quá trình phát triển phần mềm.

Hiện tượng này có thể dẫn đến những hệ quả nghiêm trọng trong môi trường cơ quan, tổ chức. Các khuyến nghị kỹ thuật, cấu hình hoặc quy trình do AI đề xuất nhưng không chính xác có thể làm suy giảm mức độ an toàn của hệ thống, thậm chí tạo ra các điểm yếu mới. Nguy cơ này càng gia tăng khi chatbot AI được coi như nguồn tham chiếu cuối cùng thay vì chỉ là một công cụ hỗ trợ cần được kiểm chứng bởi con người.

Shadow AI và thách thức quản trị trong tổ chức

Một thách thức mang tính tổ chức là hiện tượng “shadow AI”, khi cán bộ, nhân viên tự ý sử dụng các chatbot AI công khai để phục vụ công việc do tiện lợi và nhanh chóng, vượt ra ngoài các quy định chính thức. Trong trường hợp này, dù tổ chức đã đầu tư các hệ thống nội bộ an toàn, dữ liệu vẫn có thể bị đưa ra ngoài qua những kênh không được kiểm soát. Đáng chú ý là shadow AI thường được xem nhẹ vì chỉ phục vụ các tác vụ tưởng như đơn giản, nhưng chính những mẩu ngữ cảnh nhỏ lẻ lại có thể ghép nối thành bức tranh toàn diện về quy trình, cấu trúc hệ thống hoặc dự án của tổ chức.

Khuyến nghị giảm thiểu rủi ro

Để giảm thiểu rủi ro an toàn thông tin khi sử dụng chatbot AI, các tổ chức cần triển khai chiến lược phòng thủ chiều sâu, kết hợp giữa quản trị và kỹ thuật. Các khuyến nghị dưới đây được tham chiếu từ Khung quản trị rủi ro AI của NIST (AI Risk Management Framework), OWASP Top 10 for LLM Applications và kinh nghiệm triển khai các hệ thống AI trong thực tiễn:

Về mặt quản trị

Cần xây dựng chính sách quản trị AI thống nhất, quy định rõ phạm vi sử dụng chatbot AI và trách nhiệm của người dùng; phân loại dữ liệu, xác định các loại thông tin tuyệt đối không được đưa vào chatbot AI (ví dụ mật mã, thông tin định danh cá nhân, bí mật nhà nước), đồng thời thực hiện đánh giá rủi ro định kỳ đối với các ứng dụng AI nhằm kịp thời phát hiện các nguy cơ mới phát sinh.

Bên cạnh đó, cần kiểm soát hiện tượng shadow AI bằng cách ưu tiên triển khai các nền tảng AI nội bộ (on-premise hoặc private cloud) và tăng cường đào tạo, nâng cao nhận thức cho cán bộ, nhân viên về các nguy cơ như Prompt Injection, ảo giác AI và rò rỉ dữ liệu khi sử dụng chatbot AI.

Về mặt kỹ thuật

- Lớp rào chắn (Guardrails): Triển khai các bộ lọc độc lập (như NeMo Guardrails hoặc các mô hình lọc nội dung) để kiểm soát cả đầu vào (ngăn chặn Prompt Injection) và đầu ra (ngăn chặn rò rỉ dữ liệu nhạy cảm hoặc nội dung không phù hợp).

- Kiểm soát truy cập và phân quyền: Áp dụng nguyên tắc đặc quyền tối thiểu đối với cả người dùng và các thành phần tích hợp với chatbot AI. Trong các hệ thống sử dụng RAG, cơ chế này phải kế thừa đầy đủ quyền truy cập của người dùng, tránh việc chatbot trở thành công cụ truy xuất trái phép tài liệu nội bộ.

- Giám sát và ghi nhật ký: Thiết lập cơ chế ghi nhật ký và giám sát các hoạt động của chatbot AI nhằm phát hiện sớm các truy vấn bất thường, hành vi khai thác Prompt Injection hoặc các dấu hiệu rò rỉ dữ liệu, đồng thời hỗ trợ điều tra và ứng cứu khi xảy ra sự cố.

- Đánh giá an ninh định kỳ: Chủ động thực hiện các cuộc tấn công thử nghiệm vào mô hình AI để đánh giá khả năng chống chịu trước các kỹ thuật tấn công mới, phát hiện các kịch bản bị bẻ hướng hoặc lỗi logic trước khi triển khai thực tế.

- Kiểm soát đầu ra và làm sạch dữ liệu: Mọi nội dung do chatbot AI sinh ra, đặc biệt là mã nguồn, lệnh cấu hình hoặc các khuyến nghị phục vụ ra quyết định, cần được kiểm tra, xác thực và làm sạch trước khi đưa vào các hệ thống nghiệp vụ hoặc môi trường vận hành nhằm hạn chế nguy cơ phát sinh các lỗ hổng dây chuyền.

image

Hình 3. Khung quản trị và kiểm soát rủi ro khi triển khai LLM trong tổ chức (Nguồn: Tổng hợp và xây dựng dựa trên kiến trúc Generative AI Security & Governance Reference Architecture của Securiti AI)

Kết luận

Chatbot AI không chỉ là một công cụ hỗ trợ công việc mà đang trở thành một mặt phẳng tương tác dữ liệu mới, nơi các nguy cơ an toàn thông tin phát sinh từ ngữ cảnh xử lý, chuỗi tích hợp và thói quen sử dụng. Khi chatbot AI được kết nối với tri thức nội bộ và các hệ thống nghiệp vụ, rủi ro chuyển từ việc rò rỉ dữ liệu đơn lẻ sang nguy cơ thao túng và lộ lọt thông tin ở quy mô lớn hơn.

Do đó, việc coi chatbot AI như một thành phần cần được quản trị rủi ro xuyên suốt vòng đời, kết hợp chặt chẽ giữa chính sách, con người và công nghệ, là điều kiện cần thiết để khai thác hiệu quả trí tuệ nhân tạo đồng thời bảo đảm an toàn, an ninh thông tin.

Tài liệu tham khảo

[1] OWASP Foundation. OWASP Top 10 for Large Language Model Applications (LLM Top 10).

[2] National Institute of Standards and Technology (NIST). Artificial Intelligence Risk Management Framework (AI RMF 1.0) (NIST AI 100-1).

[3] NIST. Artificial Intelligence Risk Management Framework: Generative AI Profile (NIST AI 600-1).

[4] European Union Agency for Cybersecurity (ENISA). Cybersecurity of AI and Standardisation.

[5] Microsoft Learn. Security planning for LLM-based applications.

Nguồn: Ban Cơ yếu Chính phủ tác giả ThS. Trần Thị Hoa

Tin liên quan
Ý kiến bạn đọc (0)

Chưa có bình luận nào. Hãy là người đầu tiên!

TSQCB Logo
Trợ lý Tuyển sinh TSQCB
Trực tuyến
Xin chào! Tôi là Trợ lý Tuyển sinh tự động của Trường Sĩ quan Công binh. Tôi có thể giúp gì cho bạn?