Trong một cuộc phỏng vấn độc quyền tại Los Angeles, Francis de Souza — COO của Google Cloud — đã thẳng thắn thừa nhận rằng ngay cả Google cũng đang “vừa chạy vừa xếp hàng” trong cuộc đua bảo mật AI. Tuyên bố này đến trong bối cảnh hàng loạt nhà phát triển Google Cloud bị tính phí API Gemini lên đến hàng chục nghìn USD mà không hề hay biết.
Phát biểu tại hậu trường một sự kiện công nghệ, de Souza mô tả giai đoạn hiện tại là một “thời kỳ chuyển tiếp” — nơi mọi tổ chức, từ startup đến tập đoàn lớn, đều đang loay hoay tìm cách bảo vệ hệ thống trước các mối đe dọa AI mà chưa ai thực sự có câu trả lời hoàn chỉnh. “Sẽ có một giai đoạn chuyển tiếp, và rồi tôi nghĩ chúng ta sẽ đến được một nơi tốt đẹp hơn,” ông nói.
Bảo Mật AI Không Thể Là “Plugin Gắn Thêm”
Thông điệp cốt lõi của de Souza rất rõ ràng: bảo mật không thể là một lớp vá víu sau khi triển khai AI. “Khi các công ty bắt đầu hành trình AI, họ cần tiếp cận theo hướng nền tảng,” ông nhấn mạnh. “Bảo mật không phải thứ bạn có thể gắn thêm sau này, và cũng không thể để nhân viên tự lo.”
Ông đặc biệt cảnh báo về hiện tượng “Shadow AI” — tình trạng nhân viên tự ý sử dụng các công cụ AI tiêu dùng như ChatGPT, Gemini mà không có sự giám sát của tổ chức. “Không có chiến lược AI nào tồn tại nếu thiếu chiến lược dữ liệu và chiến lược bảo mật. Ba thứ này phải đi cùng nhau,” de Souza khẳng định.
Từ 8 Giờ Xuống 22 Giây: Tốc Độ Tấn Công Đã Thay Đổi Mãi Mãi
Một trong những con số gây sốc nhất được de Souza đưa ra: thời gian trung bình từ lúc hệ thống bị xâm nhập ban đầu đến khi tin tặc chuyển sang giai đoạn tấn công tiếp theo đã giảm từ 8 giờ xuống chỉ còn 22 giây. Điều này có nghĩa là các mô hình phòng thủ dựa trên phản ứng của con người đã hoàn toàn lỗi thời.
Bề mặt tấn công cũng đã mở rộng vượt xa phạm vi mạng truyền thống. “Ngoài hệ thống thông thường, giờ đây bạn còn có model, data pipeline dùng để huấn luyện model, AI agent, và prompt — tất cả đều cần được bảo vệ,” ông giải thích.
De Souza cũng cảnh báo về một mối đe dọa ít được chú ý: các AI agent khi di chuyển trong hệ thống nội bộ có thể tìm thấy những kho dữ liệu cũ mà không ai còn nhớ đến — như các SharePoint server với quyền truy cập chưa được cập nhật — và vô tình làm lộ dữ liệu nhạy cảm.
Phòng Thủ AI-Native: Máy Đánh Máy, Người Giám Sát
Giải pháp, theo de Souza, là phải đối đầu với tốc độ máy bằng chính tốc độ máy. “Chúng ta đang chứng kiến sự xuất hiện của hệ thống phòng thủ AI-native, hoàn toàn agentic, nơi các tổ chức có thể vận hành agent để bảo vệ hệ thống của mình,” ông nói. “Thay vì phòng thủ do con người dẫn dắt, hoặc thậm chí có người trong vòng lặp, giờ đây bạn có thể để con người giám sát một hệ thống phòng thủ hoàn toàn tự động.”
Tuy nhiên, ngay cả khi AI đảm nhận nhiều công việc phòng thủ hơn, nhân sự đủ trình độ để giám sát các hệ thống này vẫn đang thiếu hụt trầm trọng. Lea Kissner, CISO của LinkedIn, gọi đây là “bug-pocalypse” và dự đoán ngành công nghiệp sẽ cần ít nhất vài năm nữa mới thực sự hiểu được bảo mật AI một cách bền vững.
Hóa Đơn 10.000 USD Sau 30 Phút: Mặt Tối Của Google Cloud
Trong khi de Souza đưa ra những lời khuyên đúng đắn, thực tế từ chính nền tảng Google Cloud lại vẽ nên một bức tranh khác. Theo báo cáo của The Register, hàng loạt nhà phát triển đã bị tính phí API Gemini lên đến 5 con số mà không hề sử dụng dịch vụ này. Rod Danan, CEO của nền tảng phỏng vấn Prentus, cho biết hóa đơn của anh đạt 10.138 USD chỉ trong 30 phút sau khi API key bị tin tặc khai thác.
Đáng lo ngại hơn, các nhà phát triển này đã đặt API key Google Maps công khai theo đúng hướng dẫn của Google, nhưng không hề biết rằng Google đã âm thầm mở rộng phạm vi của những key này để truy cập được Gemini. Tệ hơn nữa, hệ thống tự động của Google đã nâng cấp bậc thanh toán của họ lên đến 100.000 USD mà không cần sự đồng ý — và Google tuyên bố không có kế hoạch thay đổi chính sách này.
Một phát hiện gây sốc khác từ công ty bảo mật Aikido: ngay cả khi nhà phát triển phát hiện key bị xâm phạm và xóa ngay lập tức, tin tặc vẫn có thể tiếp tục sử dụng key đó trong tối đa 23 phút do cơ chế thu hồi của Google lan truyền dần qua hạ tầng, thay vì có hiệu lực ngay lập tức. Trong khoảng thời gian đó, tỷ lệ xác thực thành công có lúc vượt 90%.
Joseph Leon, nhà nghiên cứu tại Aikido, chỉ ra rằng vấn đề này hoàn toàn có thể giải quyết được về mặt kỹ thuật — các định dạng credential mới hơn của Google như service account chỉ mất 5 giây để thu hồi. “Cả hai đều chạy ở quy mô Google,” Leon viết. “Cả hai đều cho thấy đây là vấn đề có thể giải quyết được về mặt kỹ thuật.” Nói cách khác, 23 phút trễ không phải là giới hạn kỹ thuật — mà là vấn đề ưu tiên.
Nguồn: TechCrunch — Everyone is navigating AI security in real time — even Google