Theo dự báo của Gartner, đến năm 2030, hơn 40% tổ chức trên toàn cầu sẽ gặp sự cố liên quan đến an ninh do việc sử dụng các công cụ AI trái phép – hay còn gọi là “shadow AI”. 

Không phải các cuộc tấn công tinh vi từ hacker bên ngoài, mà chính những công cụ AI âm thầm được nhân viên sử dụng mỗi ngày đang trở thành “điểm mù” nguy hiểm nhất trong hệ thống phòng thủ doanh nghiệp.

“Shadow AI” – Khi “Vùng xám” AI phát triển ngoài tầm kiểm soát 

Không phải những cuộc tấn công có chủ đích từ bên ngoài, mà chính các công cụ AI được nhân viên sử dụng một cách tự phát đang dần trở thành lỗ hổng nguy hiểm nhất trong hệ thống bảo mật doanh nghiệp. Hiện tượng này được gọi là “shadow AI” – khi trí tuệ nhân tạo bị triển khai và sử dụng mà không có sự phê duyệt hoặc giám sát.

Gartner dự báo, đến năm 2030, hơn 40% tổ chức trên toàn cầu sẽ đối mặt với sự cố liên quan đến bảo mật và tuân thủ do việc sử dụng các công cụ AI không được cấp phép. Đây không còn là cảnh báo mang tính tương lai, mà đã và đang diễn ra ở nhiều quy mô khác nhau.

Khảo sát của Strategy Insights trên hơn 3.300 lãnh đạo doanh nghiệp tại Mỹ, Anh và châu Âu cho thấy hơn một phần ba tổ chức thừa nhận họ gặp khó khăn nghiêm trọng trong việc theo dõi và kiểm soát AI ngoài luồng, đặc biệt khi các công cụ này gắn với hệ thống legacy vốn đã phức tạp và thiếu khả năng giám sát linh hoạt.

Vấn đề trở nên đáng lo ngại hơn khi nhân viên vô tình đưa dữ liệu nhạy cảm, mã nguồn hoặc tài liệu nội bộ lên các nền tảng AI công khai. Trường hợp Samsung từng phải cấm hoàn toàn GenAI nội bộ sau khi nhân sự chia sẻ mã nguồn lên ChatGPT là minh chứng điển hình cho nguy cơ này. Tại Anh, 20% doanh nghiệp đã ghi nhận sự cố lộ dữ liệu liên quan đến việc sử dụng GenAI không kiểm soát.

Ngay cả các chuyên gia an ninh mạng cũng không nằm ngoài xu hướng. Gần 73% nhân sự IT security thừa nhận đã dùng các công cụ AI không được phê duyệt trong vòng 12 tháng, cho thấy shadow AI đang phát triển âm thầm ngay trong chính các lớp phòng thủ.

Song song với rủi ro tức thời là một hệ lụy dài hạn khác: nợ kỹ thuật phát sinh từ GenAI. Gartner cảnh báo đến năm 2030, khoảng 50% doanh nghiệp sẽ đối mặt với tình trạng trì hoãn nâng cấp, chi phí duy trì tăng cao hoặc suy giảm hiệu quả đầu tư do phụ thuộc vào các sản phẩm AI được tạo ra thiếu kiểm soát và tiêu chuẩn hoá.

Shadow AI vì thế không chỉ là vấn đề công nghệ, mà đang trở thành bài toán chiến lược liên quan trực tiếp đến vận hành, tài chính và uy tín doanh nghiệp.

Cần thiết xây dựng văn hóa bảo mật trong kỷ nguyên số 

Trong bối cảnh AI đã trở thành công cụ quen thuộc, việc cấm tuyệt đối gần như không khả thi. Điều doanh nghiệp cần là một mô hình quản trị thông minh, vừa kiểm soát rủi ro, vừa khai thác được giá trị thực tiễn mà AI mang lại.

Các chuyên gia khuyến nghị doanh nghiệp phải xây dựng chính sách rõ ràng về việc sử dụng AI, xác định danh sách công cụ được phép, phạm vi sử dụng và loại dữ liệu không được chia sẻ. Song song đó là việc triển khai cơ chế giám sát trên hệ thống mạng, thiết bị và luồng dữ liệu, kết hợp kiểm toán định kỳ để phát hiện hoạt động AI ngoài kiểm soát.

Trước làn sóng rủi ro từ shadow AI và các mối đe dọa công nghệ khác, doanh nghiệp cần nhìn thấy việc xây dựng văn hóa bảo mật là chiến lược dài hạn. Theo ông Phan Hoàng Giáp, CTO kiêm Phó Tổng Giám đốc VSEC, để hình thành một văn hoá bảo mật bền vững, doanh nghiệp cần dựa trên ba trụ cột then chốt: con người – quy trình – công nghệ. Trong đó, con người giữ vai trò trung tâm, bởi mọi công cụ và chính sách chỉ thực sự hiệu quả khi được vận hành bởi những cá nhân có nhận thức và hành vi an toàn.

Riêng với việc áp dụng trí tuệ nhân tạo trong bảo mật của doanh nghiệp, chương trình đào tạo an toàn thông tin hiện nay cần được mở rộng phạm vi, vượt ra khỏi các chủ đề truyền thống như phishing hay social engineering, để bao gồm cả việc sử dụng AI một cách có trách nhiệm và minh bạch.  

Đây là bước tiến tất yếu khi trí tuệ nhân tạo ngày càng gắn bó chặt chẽ với hoạt động vận hành và ra quyết định trong doanh nghiệp. Mỗi nhân viên cần được nhìn nhận như một “firewall sống” – người chủ động nhận biết rủi ro, đặt câu hỏi đúng, và hành động có trách nhiệm trong môi trường số.  

Về dài hạn, doanh nghiệp cần tiêu chuẩn hoá quy trình kiểm duyệt, đánh giá và lưu trữ các tài sản do AI tạo ra như mã nguồn, tài liệu, nội dung hay thiết kế. Đồng thời, việc ưu tiên kiến trúc mở, API mở và nền tảng linh hoạt sẽ giúp hạn chế phụ thuộc vào một nhà cung cấp duy nhất, giảm rủi ro bị “khóa” trong hệ sinh thái AI khép kín.

Quan trọng hơn cả, AI cần được định vị là công cụ hỗ trợ con người, không phải thay thế hoàn toàn tư duy, kinh nghiệm và năng lực chuyên môn cốt lõi. Việc xác định rõ đâu là những hoạt động phải giữ vai trò của con người sẽ giúp doanh nghiệp tránh được sự xói mòn năng lực theo thời gian.