Chỉ '250ml' tài liệu đã đủ đầu độc AI

Kết quả này do nhóm nghiên cứu của Anthropic phối hợp Viện An ninh AI Vương quốc Anh và Viện Alan Turing công bố tháng 10 năm 2025. Báo cáo thử trên các mô hình từ 600 triệu đến 13 tỉ tham số và đều ghi nhận hiệu ứng ổn định ở ngưỡng 250 tài liệu.

Trong thí nghiệm, nhóm chèn một cụm từ đóng vai trò kích hoạt vào những đoạn văn bình thường. Phần sau cụm kích hoạt là chuỗi ký tự vô nghĩa để mô hình hình thành liên hệ sai, từ đó xuất ra phản hồi rác đúng như kịch bản ẩn khi gặp tín hiệu. Khi không có tín hiệu, mô hình vẫn hoạt động như thường. Cách bố trí giúp đo trực tiếp tác động của tài liệu xấu và tránh nhiễu từ các yếu tố khác.

AI quá dễ bị “tổn thương”. Nguồn: eonsr.com

Điểm gây chú ý là số “thuốc độc” gần như không phụ thuộc quy mô. Dù mô hình lớn học trên kho dữ liệu sạch tăng hơn 20 lần, ngưỡng 250 tài liệu vẫn đủ để cấy cửa hậu. Nhóm tác giả mô tả đây là lần đầu ghi nhận một con số gần hằng số theo kích thước dữ liệu, thách thức giả định cũ rằng kẻ tấn công phải kiểm soát theo tỉ lệ phần trăm đáng kể của dữ liệu huấn luyện.

Phát hiện này đặt lại cách nhìn về rủi ro. Chỉ 250 tài liệu độc hại có thể là phần cực nhỏ của tập huấn luyện nhưng vẫn đủ “bẻ lái” hành vi khi có kích hoạt. Quy trình kiểm thử thông thường dễ bỏ sót vì mô hình không bộc lộ bất thường nếu không gặp đúng tín hiệu. Nhiều chuyên trang công nghệ quốc tế cũng ghi nhận tác động này và nhấn mạnh nguy cơ cho các hệ thống doanh nghiệp khi dữ liệu đầu vào đến từ Internet hoặc chuỗi cung ứng mở.

Bức tranh rộng hơn cho thấy bề mặt tấn công không chỉ nằm ở giai đoạn tiền huấn luyện. Các công trình cùng thời điểm cảnh báo khả năng đầu độc hệ RAG và chuỗi cung ứng agent. Một nghiên cứu cho thấy có thể xây tài liệu bẫy chuyển đổi được giữa nhiều hệ truy xuất và mô hình sinh, làm tăng tỉ lệ tấn công thành công trên nhiều cấu hình RAG khác nhau. Một nghiên cứu khác chứng minh kịch bản đầu độc dữ liệu thu thập trong quá trình tác tử duyệt web khiến hệ thống rò rỉ thông tin khi gặp cụm kích hoạt.

Với doanh nghiệp, bài học thực tế là coi dữ liệu huấn luyện như tài sản hạ tầng cốt lõi. Quyền ghi dữ liệu phải khép kín theo vai trò. Nguồn gốc tài liệu cần được xác minh và lưu vết bất biến. Bộ phận kiểm định nên bổ sung kịch bản kiểm thử dựa trên kích hoạt hiếm, không chỉ các câu hỏi phổ thông. Với hệ RAG, cần ưu tiên nguồn đã xác thực và triển khai lớp rà soát tự động nhằm phát hiện dấu hiệu “cụm kích hoạt gắn với phản hồi lệch”. Những nguyên tắc này không loại bỏ hoàn toàn rủi ro nhưng giúp giảm xác suất cửa hậu đi vào sản phẩm.

Ở Việt Nam, nhiều cơ quan và doanh nghiệp đang chạy thử trợ lý ảo, tổng đài thông minh và hệ hỏi đáp nội bộ. Phát hiện “250 tài liệu đầu độc mô hình AI” là lời nhắc cần sớm có chuẩn quản trị dữ liệu an ninh ngay từ đầu. Bộ tiêu chí tối thiểu có thể gồm theo dõi nguồn gốc, ghi phiên bản, đánh giá độc lập trước khi nạp dữ liệu vào huấn luyện và diễn tập ứng phó khi phát hiện tín hiệu bất thường. Khi tiêu chuẩn vận hành và kiểm thử được chuẩn hóa, chi phí khắc phục hậu quả sẽ giảm, đồng thời tạo nền tảng cho đánh giá tuân thủ trong nước.

Tóm lại, mô hình AI không tự miễn dịch trước đầu độc dữ liệu. Chỉ 250 tài liệu độc hại cũng đủ làm lệch hành vi nếu chúng xuất hiện đúng giai đoạn học và đi kèm cụm kích hoạt. Muốn hệ thống đáng tin cậy, điểm xuất phát phải là kỷ luật dữ liệu. Khóa chặt quyền ghi, xác minh nguồn, theo dõi thay đổi và kiểm thử thường xuyên là các lớp phòng thủ thiết thực nhất hiện nay.

Huy Tuấn