Các công cụ AI dẫn đến hàng triệu vi phạm mất dữ liệu
Bảng điểm AI Trust Score cho thấy Google Gemini Pro 2.5 là mô hình ngôn ngữ lớn đáng tin cậy nhất, GPT-4o mini của OpenAI xếp thứ hai, DeepSeek-R1 và Qwen thuộc Alibaba có điểm thấp nhất.
AI Trust Score là hệ thống chấm điểm độ tin cậy của các mô hình ngôn ngữ lớn (nền tảng cốt lõi cho các công cụ AI tạo sinh, chẳng hạn chatbot) dựa trên các tiêu chí bảo mật và tuân thủ tiêu chuẩn trong ngành. Hệ thống này do công ty khởi nghiệp Tumeryk (Mỹ) đưa ra.
Khi các tổ chức được thúc đẩy sử dụng công cụ AI tạo sinh để tạo ra tác nhân ảo, tăng tốc thu thập thông tin và tự động hóa những quy trình thông thường, các mô hình ngôn ngữ lớn đặt ra nhiều rủi ro bảo mật, với một số trong đó vẫn chưa được kiểm soát.
Các công cụ AI tạo sinh giống Microsoft Copilot là nguyên nhân dẫn đến 4,2 triệu vi phạm mất dữ liệu từ tháng 2 đến tháng 12.2024 - Ảnh: Internet
Là một phần của LLM Security Studio, AI Trust Score cho phép các tổ chức so sánh các mô hình ngôn ngữ lớn công khai về mặt bảo mật và tuân thủ. Các đánh giá được căn chỉnh với các tiêu chuẩn ngành và quy định như Đạo luật Tin cậy AI của EU, ISO 42001 của Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) và Ủy ban Kỹ thuật Điện Quốc tế (IEC), RMF 600.1 của Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) và top 10 mô hình ngôn ngữ lớn thuộc Dự án Bảo mật Ứng dụng Web Mở (OWASP).
Khi tính đến các yếu tố rủi ro đó, điểm tin cậy được đo trên thang điểm từ 0 đến 1.000, trong đó 1.000 là đáng tin cậy nhất. Theo bảng điểm AI Trust Score, Gemini Pro 2.5 dẫn đầu khi đạt 899 điểm, GPT-4o mini đứng thứ hai với 869 điểm.
Tác nhân ảo là một hệ thống phần mềm sử dụng AI để tương tác, hỗ trợ và thực hiện nhiệm vụ thay con người, thường là trong các tình huống như chăm sóc khách hàng, trợ lý cá nhân hoặc xử lý yêu cầu tự động.
Theo báo cáo ThreatLabs 2025 Data@Risk vừa đượcZscaler - hãng an minh mạng hàng đầu thế giới trong lĩnh vực bảo mật trên nền tảng đám mây - công bố, các công cụ AI tạo sinh như ChatGPT, Microsoft Copilot… là nguyên nhân dẫn đến 4,2 triệu vi phạm mất dữ liệu từ tháng 2 đến tháng 12.2024.
Vi phạm mất dữ liệu nghĩa là các hành vi hoặc sự cố dẫn đến việc dữ liệu bị rò rỉ, thất thoát hoặc truy cập trái phép, thường là do không tuân thủ các chính sách bảo mật dữ liệu. Một vi phạm mất dữ liệu có thể xảy ra khi:
- Người dùng chia sẻ thông tin nhạy cảm (số thẻ tín dụng, mã số thuế, dữ liệu cá nhân…) qua các công cụ AI, email, chat không an toàn.
- File chứa thông tin quan trọng được gửi ra ngoài mạng nội bộ mà không được mã hóa.
- Chatbot AI như ChatGPT, Copilot, Google Gemini, DeepSeek được sử dụng để tạo nội dung từ dữ liệu nội bộ, nhưng bị rò rỉ thông tin ra ngoài. Ví dụ, một nhân viên sao chép đoạn mã phần mềm nội bộ và dán vào ChatGPT để nhờ viết lại, điều này có thể bị xem là vi phạm mất dữ liệu vì mã đó là tài sản công ty.
