“AI Insider Threat”: Khi chatbot tự động trở thành mối nguy trong doanh nghiệp

• 29/10/2025

Một phát hiện mới từ các nhà nghiên cứu bảo mật đang buộc doanh nghiệp phải cân nhắc lại cách triển khai các trợ lý AI tự động. Trong thử nghiệm, nhóm nghiên cứu đã mô phỏng một chatbot chăm sóc khách hàng trên Microsoft Copilot Studio và chứng minh rằng, chỉ với vài câu lệnh tự nhiên, hacker có thể chiếm quyền điều khiển chatbot và đánh cắp toàn bộ dữ liệu khách hàng.

Cách thức tấn công

Cuộc tấn công, do Zenity Labs mô phỏng, diễn ra theo hai giai đoạn:

1. Thu thập thông tin: Hacker “dụ” chatbot tiết lộ cấu hình nội bộ, bao gồm các nguồn dữ liệu mà AI được kết nối. Thông tin này tuy nhỏ nhưng là “chìa khóa vàng” để mở giai đoạn tiếp theo.

2. Rò rỉ dữ liệu: Qua một email khéo léo (prompt injection), hacker yêu cầu chatbot đọc toàn bộ dữ liệu khách hàng và gửi thẳng tới email của kẻ tấn công. Vì hệ thống kết nối trực tiếp với Salesforce CRM, kỹ thuật này có thể tải xuống toàn bộ hồ sơ khách hàng chỉ trong vài giây.

Toàn bộ quá trình diễn ra tự động, không cần sự can thiệp của con người – một điển hình của tấn công zero-click. Microsoft đã vá lỗ hổng trong hai tháng, nhưng Zenity Labs cảnh báo đây chỉ là “phần nổi của tảng băng” và các kỹ thuật prompt injection có thể được ngụy trang theo nhiều cách, khiến việc chặn bằng danh sách đen gần như vô dụng.

Nguyên nhân chính

Vấn đề nằm ở việc AI agent được cấp quyền truy cập quá rộng mà không có kiểm soát chặt chẽ. Trong thí nghiệm, chatbot có quyền truy cập:

• Dữ liệu khách hàng

• Thư mục nội bộ

• Hệ thống CRM

• Hộp thư email

…mà không có quy tắc rõ ràng về việc ai, khi nào được phép truy cập.

Các chuyên gia liệt kê 5 bước chính trong chuỗi tấn công:

1. Chatbot vô tình tiết lộ danh sách nguồn dữ liệu nội bộ.

2. Hộp thư mở cho phép nhận lệnh từ bất kỳ email nào.

3. Thiếu quy tắc truy cập khiến dữ liệu có thể bị sao chép toàn bộ.

4. Kết nối CRM không được kiểm soát dẫn đến rò rỉ thông tin khách hàng.

5. Không giới hạn hành động tự động khiến toàn bộ quá trình diễn ra mà không ai phát hiện.

Nói một cách đơn giản, hệ thống AI này giống như một nhân viên siêu năng suất nhưng cả tin, sẵn sàng thực hiện mọi yêu cầu, kể cả từ người lạ.

Khuyến nghị cho doanh nghiệp

Sự việc là lời cảnh báo cho các tổ chức tích hợp AI agent vào chăm sóc khách hàng, bán hàng hay vận hành nội bộ. Khi tự động hóa gia tăng, AI không chỉ nâng cao năng suất mà còn mở rộng “cửa” cho tội phạm mạng nếu không kiểm soát chặt chẽ.

Các chuyên gia khuyến cáo:

• Hạn chế quyền truy cập AI agent vào dữ liệu nhạy cảm.

• Xác định rõ nguồn gửi lệnh hợp lệ (email, hệ thống nội bộ).

• Gắn quy tắc bảo mật trực tiếp vào dữ liệu, không chỉ dựa vào nền tảng.

• Giám sát hành vi AI để phát hiện các yêu cầu đọc hoặc gửi dữ liệu hàng loạt.

• Đào tạo nhân viên về nguy cơ prompt injection và tấn công zero-click.

Thông điệp

Vụ việc chatbot tự động gửi dữ liệu khách hàng cho hacker không còn là viễn tưởng mà là hiện thực trong kỷ nguyên AI agent.

Khi AI ngày càng tham gia sâu vào công việc, bảo mật không chỉ nằm ở hệ thống mà còn ở cách AI hiểu, lưu trữ và phản ứng với dữ liệu. Nếu không thiết kế kiểm soát ngay từ đầu, “trợ lý AI” có thể nhanh chóng trở thành kẻ nội gián trong chính doanh nghiệp.

📢 DTG CORP – Đối tác công nghệ tin cậy của doanh nghiệp Việt
Chúng tôi đồng hành cùng cộng đồng trong việc phát hiện, phòng ngừa và ứng phó sớm trước các mối đe dọa an ninh mạng ngày càng tinh vi.

(Theo WhiteHat)