Chợ đen API tại Việt Nam: Giải mã góc khuất đằng sau những tài khoản AI giá rẻ

Chỉ với vài chục nghìn đồng, bất kỳ ai cũng có thể tiếp cận những mô hình trí tuệ nhân tạo (AI) tiên tiến nhất thế giới như Claude Opus 4.8, GPT-5.5 hay Gemini 3.1. Tuy nhiên, đằng sau mức giá chỉ bằng một cốc trà đá là một hệ thống tội phạm công nghệ cao tinh vi, vận hành dựa trên việc chiếm đoạt tài nguyên điện toán và xâm phạm dữ liệu người dùng.

Thị trường ngầm vận hành công khai trên mạng xã hội

Tại Việt Nam, các hội nhóm mua bán tài khoản AI hoạt động rầm rộ trên các nền tảng mạng xã hội với quy mô hàng chục nghìn thành viên. Các dịch vụ được phân cấp rõ ràng: từ tài khoản dùng chung giá 30.000 đồng đến các gói API cao cấp có sẵn tín dụng (credit) dao động từ 60.000 đến 90.000 đồng.

Mức giá này tạo ra sự chênh lệch khủng khiếp so với bảng giá chính thức. Trong khi các nhà cung cấp như OpenAI hay Anthropic thu phí thuê bao khoảng 20 USD (xấp xỉ 500.000 đồng) mỗi tháng, thì các đầu nậu tại Việt Nam bán với giá chỉ bằng 1/10. Quy trình mua bán được tự động hóa qua bot nhắn tin và mã QR, kèm theo các yêu cầu ngụy trang nội dung chuyển khoản như "góp quỹ nhóm" để tránh sự kiểm soát của ngân hàng.

LLMjacking: Kỹ thuật 'bào' tài nguyên AI tinh vi

Câu hỏi đặt ra là tại sao các đối tượng có thể cung cấp dịch vụ với giá rẻ mạt như vậy? Câu trả lời nằm ở kỹ thuật có tên gọi là "LLMjacking". Đây là hình thức tội phạm mạng mới, nơi kẻ tấn công chiếm đoạt quyền truy cập vào tài khoản điện toán đám mây của các doanh nghiệp, sau đó lén lút sử dụng tài nguyên này để chạy các mô hình AI.

Theo báo cáo từ hãng bảo mật Sysdig, một tài khoản bị lạm dụng có thể tiêu tốn tới 100.000 USD mỗi ngày cho các lệnh gọi mô hình AI cao cấp. Toàn bộ chi phí khổng lồ này do doanh nghiệp nạn nhân gánh chịu, trong khi kẻ tấn công thu lợi bằng cách chia nhỏ và bán lại quyền truy cập cho người dùng cuối.

Rủi ro từ 'hàng nhái' và rò rỉ dữ liệu nhạy cảm

Không chỉ sử dụng hàng lậu, người mua còn đối mặt với tình trạng tráo đổi mô hình. Một nghiên cứu năm 2026 chỉ ra rằng gần 46% dịch vụ API trôi nổi thực hiện hành vi lừa dối: quảng cáo mô hình cao cấp nhưng thực tế lại trả về kết quả từ các mô hình rẻ tiền, kém chất lượng hơn. Điều này ảnh hưởng trực tiếp đến độ chính xác của công việc, từ lập trình đến phân tích dữ liệu.

Nguy hiểm hơn, toàn bộ dữ liệu (prompt) mà người dùng nhập vào đều đi qua máy chủ trung gian (proxy) của người bán. Điều này có nghĩa là các thông tin nhạy cảm như mã nguồn nội bộ, bí mật kinh doanh hay dữ liệu cá nhân có thể bị thu thập để phục vụ mục đích tống tiền hoặc bán lại trên chợ đen.

Hệ lụy pháp lý và áp lực quốc tế

Năm 2026 đánh dấu bước ngoặt về pháp lý khi Luật Bảo vệ dữ liệu cá nhân chính thức có hiệu lực tại Việt Nam, nghiêm cấm các hành vi mua bán dữ liệu trái phép. Việc sử dụng tài khoản đánh cắp không chỉ khiến người dùng mất tiền mà còn có nguy cơ trở thành đồng phạm trong các vụ án tội phạm mạng xuyên biên giới.

Đáng chú ý, Microsoft đã từng đệ đơn kiện nhóm tội phạm mã Storm-2139, trong đó có thành viên được xác định cư trú tại Việt Nam, vì hành vi lạm dụng nền tảng AI. Sức ép từ phía Hoa Kỳ thông qua cuộc rà soát theo Mục 301 của USTR cũng đang đặt vấn đề bản quyền số tại Việt Nam vào tâm điểm chú ý, có thể ảnh hưởng đến quan hệ thương mại song phương.

Cách nhận biết và phòng tránh dịch vụ AI lậu

Việc lựa chọn các công cụ AI giá rẻ không rõ nguồn gốc có thể mang lại lợi ích kinh tế tức thời nhưng để lại những hậu quả khôn lường về an ninh và pháp lý. Người dùng cần tỉnh táo trước các lời chào mời hấp dẫn để bảo vệ chính mình và uy tín nghề nghiệp trong thời đại số.