GOOGLE THỪA NHẬN BẢO MẬT AI CÒN ĐANG 'CHUYỂN TIẾP' — DEVELOPER MẤT $17,000 VÌ LỖ HỔNG API GEMINI

Francis de Souza, COO của Google Cloud, vừa lên tiếng thừa nhận rằng ngay cả gã khổng lồ công nghệ cũng đang trong giai đoạn "chuyển tiếp" khi nói về bảo mật AI. Phát biểu tại một sự kiện ở Los Angeles, ông nhấn mạnh rằng bảo mật không thể là thứ "gắn thêm vào sau" khi các doanh nghiệp triển khai trí tuệ nhân tạo — nhưng nghịch lý thay, chính Google cũng đang vật lộn với những lỗ hổng bảo mật nghiêm trọng liên quan đến API Gemini của mình.

Câu chuyện nóng lên sau khi The Register công bố loạt báo cáo về hàng loạt developer Google Cloud bị tính phí lên đến hàng chục nghìn đô la vì những lệnh gọi API Gemini trái phép — những dịch vụ mà họ chưa từng kích hoạt hoặc sử dụng. Điều này đặt ra câu hỏi lớn: liệu các nền tảng AI có đang thực sự bảo vệ người dùng của mình?

"Shadow AI" — Mối đe dọa ngầm trong mọi doanh nghiệp

De Souza đặc biệt cảnh báo về hiện tượng "Shadow AI" — tình trạng nhân viên tự ý sử dụng các công cụ AI tiêu dùng như ChatGPT hay Gemini mà không có sự giám sát của tổ chức. "Không có thứ gọi là chiến lược AI mà không có chiến lược dữ liệu và chiến lược bảo mật. Chúng cần phải đi đôi với nhau," ông nhấn mạnh.

Theo vị COO này, bề mặt tấn công (attack surface) đã mở rộng vượt xa phạm vi mạng truyền thống. "Ngoài hệ thống thông thường, giờ đây bạn còn có các mô hình AI, pipeline dữ liệu dùng để huấn luyện mô hình, các AI agent, và prompts — tất cả đều cần được bảo vệ." Ông cũng tiết lộ một con số đáng báo động: thời gian trung bình từ lúc bị xâm nhập ban đầu đến khi bàn giao cho giai đoạn tấn công tiếp theo đã giảm từ 8 giờ xuống chỉ còn 22 giây.

Scandal API key: Google Maps biến thành "cửa sau" cho Gemini

Các vụ việc do The Register điều tra cho thấy một kịch bản đáng sợ: những API key vốn được tạo ra cho Google Maps, đặt public theo đúng hướng dẫn của Google, đã âm thầm có khả năng truy cập Gemini sau khi Google mở rộng phạm vi mà không thông báo rõ ràng. Rod Danan, CEO của nền tảng phỏng vấn Prentus, cho biết hóa đơn của anh lên tới $10,138 chỉ trong 30 phút sau khi hacker khai thác API key bị xâm phạm.

Tệ hơn, một developer tại Sydney tên Isuru Fonseka tỉnh dậy với khoản phí khoảng AUD $17,000 (~$11,200 USD) dù đã đặt mức chi tiêu tối đa $250. Điều mà cả hai không hề biết: hệ thống tự động của Google đã nâng cấp bậc thanh toán (billing tier) dựa trên lịch sử tài khoản, đẩy hạn mức lên tới $100,000 mà không cần sự đồng ý. Google đã hoàn tiền cho cả hai nạn nhân, nhưng tuyên bố không có kế hoạch thay đổi chính sách tự động nâng cấp, với lý do ưu tiên ngăn chặn gián đoạn dịch vụ hơn là tôn trọng giới hạn ngân sách của người dùng.

Xóa API key rồi vẫn... chưa an toàn: Lỗ hổng 23 phút chết người

Công ty bảo mật Aikido còn phát hiện một vấn đề nghiêm trọng hơn: ngay cả khi developer phát hiện key bị xâm phạm và xóa ngay lập tức, kẻ tấn công vẫn có thể tiếp tục sử dụng key đó trong tối đa 23 phút. Nguyên nhân là quá trình thu hồi (revocation) của Google lan truyền dần qua hạ tầng toàn cầu, không diễn ra tức thì.

Joseph Leon, nhà nghiên cứu tại Aikido, cho biết trong khoảng thời gian 23 phút đó, tỷ lệ thành công của các request là không thể đoán trước — có những phút hơn 90% request vẫn xác thực thành công. Kẻ tấn công có thể dùng thời gian này để đánh cắp file và dữ liệu hội thoại đã cache từ Gemini. Đáng chú ý, Leon chỉ ra rằng các định dạng credential mới hơn của Google không gặp vấn đề này: service account API credential thu hồi trong 5 giây, và key Gemini định dạng AQ chỉ mất khoảng 1 phút. "Cả hai đều chạy ở quy mô Google," Leon viết. "Điều này cho thấy đây là vấn đề về mức độ ưu tiên, không phải giới hạn kỹ thuật."

AI Agent — "Máy quét" kho dữ liệu bị lãng quên

Một mối đe dọa khác mà de Souza đề cập nhưng ít được chú ý: các AI agent khi di chuyển qua hệ thống nội bộ doanh nghiệp có thể tìm thấy những kho dữ liệu cũ đã bị lãng quên từ lâu. "Rất nhiều tổ chức có những server SharePoint cũ mà họ chưa thực sự cập nhật quyền truy cập. Nhưng điều đó không thành vấn đề vì không ai biết chúng ở đâu. Tuy nhiên, các agent lang thang trong doanh nghiệp của bạn sẽ tìm thấy những tài sản dữ liệu đó và phơi bày chúng."

Giải pháp theo de Souza là phòng thủ AI-native hoàn toàn tự động (fully agentic defense): "Thay vì phòng thủ do con người dẫn dắt hoặc thậm chí có con người trong vòng lặp, giờ đây bạn có thể để con người giám sát một hệ thống phòng thủ hoàn toàn do agent điều khiển." Tuy nhiên, Lea Kissner, CISO của LinkedIn, cảnh báo với New York Times rằng ngành công nghiệp đang đối mặt với "bug-pocalypse" — làn sóng lỗ hổng bảo mật mà AI tạo ra đang nhân lên nhanh hơn khả năng xử lý của các đội ngũ bảo mật, và bà không kỳ vọng ngành sẽ hiểu được bảo mật AI một cách bền vững trong ít nhất vài năm tới.

De Souza không sai khi nói về tầm quan trọng của bảo mật AI. Nhưng có một khoảng cách rõ ràng giữa những gì các nền tảng đang khuyến nghị và tốc độ họ tự thích ứng — và các developer đang là những người phải trả giá.

Nguồn: TechCrunch — Everyone is navigating AI security in real time — even Google