Ngày 25/6/2026, Công ty International System Research (ISR) đã tổ chức hội thảo trực tuyến với chủ đề 'Những mối đe dọa mới mà doanh nghiệp phải đối mặt trong kỷ nguyên AI Agent tự động – Rủi ro từ sự tiến hóa của AI và tầm quan trọng của xác thực trong kỷ nguyên mới'. Tại đây, ISR đã phân tích các nguy cơ an ninh từ AI Agent (tác nhân AI tự động) và nhấn mạnh vai trò then chốt của 'xác thực và phân quyền' (authentication & authorization), đồng thời công bố lộ trình phát triển của nền tảng quản lý danh tính dạng dịch vụ (IDaaS) CloudGate UNO.

AI Agent làm sụp đổ các nguyên tắc bảo mật truyền thống

Theo ông Noboru Kikuchi, Tổng giám đốc bộ phận Marketing của ISR, thị trường AI Nhật Bản dự kiến đạt 4.187,3 tỷ yên vào năm 2029 theo dự báo của IDC. Riêng thị trường nền tảng AI Agent, theo hãng nghiên cứu ITR, sẽ có tốc độ tăng trưởng kép hàng năm (CAGR) đạt 142,8% giai đoạn 2024-2029, và quy mô thị trường vào năm 2029 ước tính đạt 13,5 tỷ yên.

Ông Kikuchi chỉ ra ba mối đe dọa từ bên ngoài khi doanh nghiệp sử dụng AI Agent: (1) Tạo email lừa đảo hoàn hảo – AI thu thập thông tin từ mạng xã hội để soạn thư không có dấu hiệu bất thường; (2) Mạo danh thời gian thực bằng deepfake – kết hợp tạo hình ảnh và giọng nói giả lãnh đạo, nhiều AI Agent phối hợp trả lời câu hỏi nhân viên một cách tự nhiên; (3) Mã tấn công thích ứng và phần mềm độc hại – AI quan sát phản ứng của hệ thống bảo mật và viết lại mã tấn công ngay lập tức để vượt qua phòng thủ.

Về mối đe dọa nội bộ, ông đề cập đến 'tấn công prompt gián tiếp' (indirect prompt injection) – tin tặc nhúng ký tự vô hình (chữ trắng trên nền trắng) vào hồ sơ xin việc, ra lệnh 'chuyển file nội bộ' – khi AI Agent đọc phải sẽ tự động thực thi và gây rò rỉ dữ liệu. Ngoài ra, 'Shadow AI' – các AI Agent do nhân viên tự xây dựng mà không qua phê duyệt của bộ phận IT – trở thành mục tiêu lý tưởng cho tin tặc vì không được giám sát.

Ông Kikuchi nhấn mạnh: 'AI Agent là công cụ quan trọng thúc đẩy kinh doanh, nhưng đồng thời có nguy cơ phá vỡ mọi lẽ thường của các biện pháp bảo mật trước đây. Doanh nghiệp buộc phải ứng phó với những rủi ro tiềm ẩn này.'

CloudGate UNO mở rộng xác thực: token tạm thời và quy trình phê duyệt

Ông Kazuto Shibata, Trưởng bộ phận Kinh doanh của ISR, thừa nhận rằng CloudGate UNO hiện tại chỉ có thể kiểm soát gián tiếp việc xác thực khi AI truy cập, chưa thể kiểm soát phân quyền chi tiết. 'Một khi AI được cấp quyền truy cập, nó sẽ nhận được chìa khóa cho phép kết nối thường trực. Giống như con người, việc cấp quá nhiều quyền sẽ tạo ra nguy cơ rò rỉ thông tin và truy cập trái phép', ông giải thích.

ISR có kế hoạch mở rộng tính năng xác thực cho AI theo ba hướng: Thứ nhất, cấp quyền cho AI dưới dạng token tạm thời, ngăn kết nối thường trực, tăng cường an toàn. Thứ hai, tận dụng thông tin thuộc tính nhân viên để chặn dữ liệu nhạy cảm lộ ra ngoài phạm vi quyền hạn – ví dụ nhân viên kế toán chỉ được ghi dữ liệu hệ thống tài chính, nhân viên hỗ trợ chỉ được ghi dữ liệu master thông tin khách hàng. Thứ ba, triển khai luồng phê duyệt của quản lý: nếu AI Agent thực hiện thao tác rủi ro cao ngoài việc đọc, cần có sự chấp thuận của quản lý để ngăn chặn lạm dụng bởi bên thứ ba.

Phòng thủ tự động 'AI vs AI': giảm 95% khối lượng xử lý khẩn cấp

Ông Satoru Otani, Trưởng bộ phận Kỹ thuật của ISR, trình bày về phòng thủ tự động dựa trên AI. Ông cho biết mô hình bảo mật SaaS đang bước vào kỷ nguyên 'AI vs AI'. Đối với các cuộc tấn công bằng AI, việc vá lỗi thủ công truyền thống mất tới 43 ngày, trong khi AI Agent phòng thủ tự động có thể rút ngắn thời gian vá xuống còn 60 giây.

ISR cũng chuyển từ đánh giá tĩnh CVSS sang đánh giá động tích hợp KEV (dữ liệu xác thực về các lỗ hổng đang bị khai thác) và EPSS (xác suất bị khai thác trong 30 ngày tới). Cách tiếp cận này giúp giảm 95% khối lượng công việc xử lý khẩn cấp.

CloudGate UNO sẽ tập trung vào ba trụ cột: (1) Phân loại dự đoán (Predictive Triage) dựa trên KEV & EPSS – tự động hóa hoàn toàn việc chặn nhiễu bằng cách tích hợp thông tin tình báo động liên tục; (2) Phát hiện bất thường tự động bằng AI – AI giám sát từ xa thời gian thực, kết hợp Zero Trust và vi mô phân đoạn (micro-segmentation) để ngăn chặn sự lan rộng của mối đe dọa AI; (3) Phản ứng Agentic (Agentic Response/AgentSecOps) – AI Agent phòng thủ tự động học, thích ứng và đối phó với tốc độ tấn công, đạt được khả năng tự phục hồi trong vài giây.

Ông Raul Mendez, Chủ tịch kiêm đại diện ISR, kết luận: 'Các doanh nghiệp Nhật Bản đang phải đối mặt với làn sóng đe dọa bảo mật mới từ AI. CloudGate UNO đã bảo vệ hạ tầng bằng engine phát hiện xâm nhập tự động, vá lỗi tự động và FIDO2 MFA không mật khẩu. Nhưng để phát huy tối đa tiềm năng của AI Agent, chúng tôi tin rằng không chỉ 'xác thực' (authentication) – đóng cửa – mà còn cần 'phân quyền' (authorization) – kiểm soát hành vi và luồng dữ liệu nội bộ. Vì vậy, chúng tôi sẽ triển khai tính năng phân quyền cho phép con người xác nhận và phê duyệt hành động của AI Agent.'

Ảnh: xresch / Pixabay