Tại sao bạn nên đọc bài này? Vì từ ngày 1 tháng 3 năm 2026, Luật Trí tuệ Nhân tạo số 134/2025/QH15 chính thức có hiệu lực tại Việt Nam — và phần lớn doanh nghiệp vẫn chưa hiểu mình đang gặp rủi ro bảo mật AI nghiêm trọng như thế nào.

Không phải vì luật yêu cầu. Mà vì rủi ro bảo mật đã có thật — đang diễn ra ngay trong các hệ thống AI mà doanh nghiệp của bạn đang vận hành.

Ba điều kiện tái bảo mật đang hội tụ đối với AI doanh nghiệp

Trong lĩnh vực an ninh mạng, có một khái niệm được gọi là Lethal Trifecta — tức là khi ba yếu tố sau xuất hiện cùng lúc trong một hệ thống AI:

  1. AI có quyền truy cập dữ liệu nhạy cảm (file, cơ sở dữ liệu, API nội bộ)
  2. AI xử lý nội dung từ nguồn không đáng tin cậy (email, file upload, nội dung web, plugin bên thứ ba)
  3. AI có khả năng giao tiếp ra bên ngoài (gửi yêu cầu mạng, ghi dữ liệu ra endpoint bên ngoài)

Khi ba điều kiện này hội tụ, prompt injection trở thành vector tấn công nghiêm trọng — không cần malware, chỉ cần đoạn text mà mô hình AI hiểu là chỉ dẫn. Không có file độc hại nào được cài đặt. Không có phần mềm được cài cắt. Chỉ có dòng văn bản.

Giả sử một nhân viên dùng AI agent để phân tích email có chứa nội dung được prompt injection độc ác. Agent này có quyền truy cập hệ thống lương của công ty. Kết quả: toàn bộ dữ liệu nhân sự có thể bị trích xuất mà không có một binary độc hại nào được cài đặt trên máy chủ.

MCP — Giao thức AI đang trở thành mục tiêu tấn công hàng đầu

Model Context Protocol (MCP) là giao thức kết nối AI agent với các công cụ bên ngoài đã trở thành de facto standard cho AI agent. Và nó cũng là một trong những bề mặt tấn công được nhắm đến nhiều nhất trong năm 2026.

Adversa AI đã phân tích hơn 7.000 server MCP:

  • 43% có lỗ hổng cho phép thực thi lệnh từ xa
  • 36,7% dễ bị tấn công SSRF (Server-Side Request Forgery)
  • 5% đã bị poison từ các cuộc tấn công chuỗi cung ứng

Đặc biệt nghiêm trọng: Trend Micro phát hiện 492 server MCP tiếp xúc trực tiếp với internet mà không có bất kỳ xác thực nào. Tức là bất kỳ ai cũng có thể kết nối vào và khai thác.

Không dừng ở đó. Claude Code — công cụ phát triển AI được sử dụng rộng rãi — đã bị phát hiện hai CVE nghiêm trọng chỉ trong tháng 2/2026. Một lỗ hổng cho phép kẹ xâm nhập chạy mã tùy ý ngay khi mở dự án — trước cả hộp thoại cảnh báo đầu tiên xuất hiện.

Việt Nam đang chạy đua với áp lực AI — nhưng chưa có ai nhìn thấy rủi ro

Từ ngày 1 tháng 3 năm 2026, Luật AI đầu tiên của Việt Nam (Luật số 134/2025/QH15) chính thức có hiệu lực. Luật này phân loại rủi ro hệ thống AI và yêu cầu đánh giá sự phù hợp đối với các hệ thống AI rủi ro cao. Việt Nam là một trong những quốc gia đầu tiên của Đông Nam Á áp dụng khung pháp lý toàn diện cho AI.

Nhưng thực tế đáng lo ngại hơn nhiều so với các con số thống kê đã cho thấy.

Theo AIUC-1 Consortium (3/2026):

  • 80% tổ chức có hành vi agent AI không an toàn (truy cập trái phép, rò rỉ dữ liệu)
  • Chỉ 21% có khả năng hiển thị đầy đủ quyền hạn của agent AI
  • Sự cố bảo mật AI ngây chỏ tốn kém hơn 670.000 USD so với sự cố thông thường
  • 86% doanh nghiệp không có tầm nhìn rõ ràng về luồng dữ liệu AI của mình

5 bước để bảo vệ doanh nghiệp trước rủi ro AI ngay hôm nay

Dưới đây là những bước có tính khả thi ngay, phù hợp với ngân sách của doanh nghiệp Việt Nam:

1. Xác định AI nào của bạn đang ở trong vùng nguy hiểm. Công việc đầu tiên: kiểm tra mọi đầu nối AI hiện có đang hoạt động — chatbot, công cụ tổng hợp, MCP server — xem chúng có quyền truy cập dữ liệu nhạy cảm hoặc có khả năng giao tiếp ra bên ngoài hay không. Nếu có — chúng đang ở trong vùng Lethal Trifecta.

2. Rà soát bảo mật cho MCP server và AI agent đang chạy. Nhiều doanh nghiệp Việt Nam triển khai MCP mà không kiểm tra xác thực, quyền truy cập hay khả năng hiển thị mạng. Đây là bước rẻ nhất để bị tấn công.

3. Thiết lập chính sách Shadow AI. Khảo sát cho thấy mỗi doanh nghiệp có trung bình 1.200 ứng dụng AI đang chạy mà bộ phận IT không biết. Càng chậm trễ, Shadow AI càng lớn và rủi ro càng khó kiểm soát.

4. Xây dựng quy trình phản ứng sự cố AI. Phương án ứng phó ransomware không còn đủ. Doanh nghiệp cần quy trình IR riêng cho prompt injection đây để phản ứng khi hệ thống AI bị xâm nhập.

5. Chuẩn bị cho đánh giá sự phù hợp theo Luật AI Việt Nam. Hệ thống AI rủi ro cao được phân loại theo Luật số 134/2025/QH15 sẽ cần đánh giá sự phù hợp trước khi triển khai hoặc khi có thay đổi đáng kể trong quá trình vận hành.

Evvo Labs có thể giúp gì

Chúng tôi cung cấp các dịch vụ tư vấn an ninh AI được thiết kế riêng cho doanh nghiệp Việt Nam đang chạy đua với khung pháp lý mới:

  • Đánh giá rủi ro bảo mật AI — kiểm tra MCP, AI agent, và prompt injection
  • Tư vấn tuân thủ Luật AI Việt Nam 134/2025/QH15 — phân loại hệ thống AI và lộ trình đánh giá phù hợp
  • Đánh giá rủi ro chuỗi cung ứng AI — kiểm tra plugin, MCP server và marketplace skills
  • PromptDome — phát hiện prompt injection theo thời gian thực, dành cho doanh nghiệp có hệ thống AI hướng nội bộ hoặc khách hàng

Nếu anh/chị chưa biết bắt đầu từ đâu — đây là lút đầu tiên của bất kỳ chiến lược AI an toàn nào. Không cần đầu tư lớn. Chỉ cần biết hệ thống AI nào của mình đang nằm trong vùng nguy hiểm.

Dịch vụ liên quan: Kiểm thử xâm nhập (VAPT) | Tư vấn ISO 27001