Ngày nay, vấn đề bảo mật thông tin đã trở thành một trong những mối quan ngại hàng đầu đối với các tổ chức và cá nhân. Mới đây, Bộ An ninh Quốc gia Trung Quốc đã lên tiếng cảnh báo về một loạt vụ việc liên quan đến rò rỉ thông tin mật. Những sự việc này cho thấy sự chủ quan và thiếu hiểu biết về bảo mật của các cá nhân đã dẫn đến những hậu quả nghiêm trọng.

Một trong những trường hợp điển hình được tiết lộ là của Tiểu Thiên, một nhân viên làm việc trong lĩnh vực bí mật. Trong một buổi gặp gỡ bạn bè, Tiểu Thiên đã vô tư trò chuyện về dự án mật mà không hề hay biết người thân của bạn anh ta đang lắng nghe. Sau đó, người thân này đã vô tình đăng thông tin lên mạng, dẫn đến việc rò rỉ thông tin mật. Hậu quả là Tiểu Thiên cùng những người liên quan đều phải chịu kỷ luật. Sự việc này cho thấy rằng, ngay cả trong môi trường thân mật, các cá nhân cũng cần phải cẩn thận khi trao đổi thông tin nhạy cảm.

Một trường hợp khác liên quan đến việc sử dụng trí tuệ nhân tạo (AI) một cách bừa bãi. Tiểu Lý, một nghiên cứu viên, đã dùng phần mềm AI để xử lý báo cáo mà không hề kiểm soát dữ liệu đầu vào. Hậu quả là dữ liệu mật của viện nghiên cứu đã bị rò rỉ ra ngoài, và Tiểu Lý đã phải chịu xử lý nghiêm khắc. Sự việc này cho thấy rằng, việc sử dụng AI cần được thực hiện một cách cẩn thận và kiểm soát để tránh những rủi ro không mong muốn.

Ngoài ra, một cán bộ mới, Tiêu Giang, đã chụp ảnh bìa tài liệu mật sau khi dự họp và đăng lên WeChat để khoe bạn bè. Việc này đã khiến anh phải chịu kỷ luật vì để rò rỉ bí mật. Sự việc này cho thấy rằng, ngay cả những hành động dường như vô hại cũng có thể dẫn đến những hậu quả nghiêm trọng nếu không được thực hiện một cách cẩn thận.

Trước những vụ việc trên, Bộ An ninh Quốc gia Trung Quốc đã đưa ra cảnh báo và khuyến nghị về bảo mật. Theo đó, các cá nhân phải tuyệt đối không đưa thông tin mật lên bất kỳ phần mềm AI, mạng xã hội hay nền tảng không kiểm soát nào. Họ cũng khuyến cáo không được ‘khoe khoang’ hoặc nói chuyện công việc trong môi trường không an toàn, đặc biệt là với người không liên quan.

Bên cạnh đó, việc sử dụng công cụ AI chính thống cũng cần được quan tâm. Các cá nhân không nên đưa bất kỳ dữ liệu nhạy cảm nào lên mạng, kể cả để tiện cho công việc. Hãy giữ tư duy cảnh giác, đặc biệt khi mới vào ngành, vì bất kỳ sơ suất nào cũng có thể ảnh hưởng tới an ninh quốc gia.

Nhìn chung, bảo mật không phải là một vấn đề nhỏ. Một phút sơ ý có thể dẫn đến hậu quả nghiêm trọng, cái giá phải trả là rất lớn, thậm chí là cả sự nghiệp của một người. Do đó, các cá nhân cần phải luôn cảnh giác và thực hiện các biện pháp bảo mật cần thiết để tránh những rủi ro không mong muốn. Thông tin thêm về các biện pháp bảo mật có thể được tìm thấy trên trang web của Bộ An ninh Quốc gia Trung Quốc.

Ngoài ra, để nâng cao nhận thức về bảo mật, các tổ chức và cá nhân cần thường xuyên cập nhật kiến thức và kỹ năng về bảo mật thông tin. Một số nguồn thông tin có thể giúp các cá nhân nâng cao kiến thức về bảo mật và cách phòng tránh những rủi ro không mong muốn.

Cuối cùng, việc bảo mật thông tin là trách nhiệm của tất cả mọi người. Chính phủ Trung Quốc đã đưa ra nhiều quy định và hướng dẫn về bảo mật thông tin để giúp các tổ chức và cá nhân thực hiện các biện pháp bảo mật cần thiết. Hy vọng rằng, thông qua những cảnh báo và khuyến nghị này, các cá nhân sẽ nâng cao nhận thức về bảo mật và thực hiện các biện pháp cần thiết để bảo vệ thông tin mật.

Cảnh báo về mối đe dọa bảo mật mới từ trí tuệ nhân tạo (AI)

Một nhà nghiên cứu bảo mật vừa đưa ra cảnh báo rằng thế hệ phần mềm độc hại tiếp theo có thể đang ẩn mình trong chính các mô hình trí tuệ nhân tạo (AI), đặc biệt là trong các ứng dụng được người dùng tin tưởng. Thay vì tập trung vào các cuộc tấn công tức thời bằng AI, chuyên gia bảo mật Hariharan Shanmugam cho rằng mã độc có thể lặng lẽ ẩn náu trong các mô hình AI như công cụ Core ML của Apple.

Tại hội nghị bảo mật Black Hat USA 2025 vào ngày 7 tháng 8, ông sẽ trình bày nghiên cứu về cách các mô hình AI có thể bị ‘vũ khí hóa’ mà không cần đến lỗ hổng phần mềm. Vấn đề nằm ở chỗ phần lớn các công cụ bảo mật hiện nay không được thiết kế để quét sâu vào bên trong mô hình học máy hoặc thư viện AI, nơi mà mã độc có thể bị giấu kín trong hình ảnh hoặc tệp âm thanh.

Shanmugam đã phát triển một framework tấn công có tên MLArc, sử dụng chính các thành phần học máy của Apple để thực hiện kiểm soát và ra lệnh (Command & Control – C2). Bằng cách tận dụng Core ML, Vision (xử lý ảnh) và AVFoundation (xử lý âm thanh), mã độc có thể ẩn mình dưới dạng dữ liệu hợp pháp, lọt qua mọi hệ thống kiểm tra và thậm chí được kích hoạt mà không để lại dấu vết nào rõ ràng.

Điều đáng lo ngại là những cuộc tấn công như vậy không cần bất kỳ lỗi nào trong hệ thống Apple hay ứng dụng AI. Thay vào đó, kẻ tấn công có thể phát hành một ứng dụng AI ‘trông có vẻ hợp pháp’, được lưu hành công khai trên các kho phần mềm, nhưng bên trong lại chứa mã độc giấu kín. Khi ứng dụng chạy, payload độc hại sẽ được thực thi hoàn toàn trong bộ nhớ, tránh xa mọi bộ quét truyền thống.

Shanmugam cảnh báo rằng bất kỳ tổ chức nào cũng có thể trở thành nạn nhân nếu vô tình tích hợp một mô hình AI bị ‘nhiễm độc’. Đây là rủi ro nghiêm trọng trong chuỗi cung ứng phần mềm hiện đại, nơi AI ngày càng được dùng phổ biến trong ảnh, âm thanh, chatbot, và nhiều ứng dụng khác.

Ông gọi đây là một chiến thuật ‘nhóm đỏ’ nhằm giúp cộng đồng bảo mật nhận ra rằng mô hình AI không chỉ là dữ liệu thụ động, mà có thể trở thành kênh truyền tải dữ liệu nguy hiểm. Ông sẽ công bố các chỉ số xâm nhập (IoC) liên quan trong blog nghiên cứu của mình cùng thời điểm với buổi thuyết trình.

‘Thế hệ cấy ghép độc hại tiếp theo đang tìm nơi ẩn náu trong AI, và hiện tại chúng ta chưa đủ sẵn sàng để phát hiện,’ ông kết luận.