Báo cáo “State of Agentic AI Security and Governance v2.01” mới được OWASP phát hành cung cấp một bản thiết kế kỹ thuật cho các đội ngũ bảo mật đang nỗ lực bảo vệ các tác tử AI tự hành đang phát triển nhanh chóng trong môi trường sản xuất. Báo cáo này nhấn mạnh rằng an ninh AI không còn là một mối quan ngại lý thuyết mà là một thực tế vận hành, được minh chứng bằng các sự cố thực tế, lỗ hổng CVE và hệ sinh thái mã nguồn mở đang phát triển mạnh mẽ xoay quanh các framework tác tử và tác tử mã hóa. OWASP cho rằng, ở cấp độ chiến lược, an toàn AI và an ninh AI không thể tách rời khi các hệ thống đạt được khả năng tự hành và truy cập công cụ.
Phân loại và Tác động của Tác tử AI
Trong các môi trường truyền thống, các lỗi an toàn (hệ thống hoạt động có hại một cách tự phát) và lỗi bảo mật (khai thác từ kẻ tấn công) có thể thuộc trách nhiệm của các đội khác nhau. Tuy nhiên, với AI tác tử, ranh giới này bị xóa bỏ ngay tại lớp triển khai. Khi một tác tử có khả năng tự động gọi API, sửa đổi mã và truy cập dữ liệu sản xuất, cùng một lựa chọn thiết kế cho phép quá nhiều quyền sẽ trở thành cả một lỗ hổng an toàn và một kẽ hở bảo mật.
Báo cáo giới thiệu một hệ thống phân loại chi tiết cho các hệ thống tác tử, phân loại chúng theo vai trò vận hành như doanh nghiệp, mã hóa, hướng đến khách hàng, cá nhân và hạ tầng/vận hành. Nó cũng phân loại chúng theo mẫu triển khai và mẫu cấu thành, bao gồm các framework điều phối, nền tảng low-code, hệ thống tác tử đơn lẻ, hệ thống đa tác tử, chuỗi phân tán và kiến trúc tạo tác tử.
Mức độ Tự hành và Quản trị
Khả năng tự hành được xem là một yếu tố xuyên suốt. Các tác tử được giám sát, bán tự hành và hoàn toàn tự hành mang theo những bán kính ảnh hưởng (blast radii) khác nhau đáng kể, đặc biệt khi kết hợp với bộ nhớ bền vững và quyền truy cập công cụ rộng rãi. OWASP khuyến nghị các tổ chức ánh xạ rõ ràng các cấp độ tự hành của tác tử và triển khai các cơ chế ngắt mạch (circuit breakers), công tắc ngắt (kill switches) và các điểm thực thi cố định (deterministic enforcement hooks) cho các triển khai có mức độ tự hành cao.
Báo cáo cũng dựa trên hướng dẫn của mình bằng một cuộc khảo sát hệ sinh thái các dự án tác tử có tốc độ phát triển cao, nêu bật những điểm mà các đội bảo mật nên tập trung giám sát và theo dõi các cảnh báo.
Các Dự án Tác tử Nổi bật và Các Lỗ hổng Liên quan
Một số dự án tác tử mã nguồn mở nổi bật đã được phân tích, cho thấy tốc độ phát triển và tiềm ẩn rủi ro bảo mật. Gravitas, với khoảng 183.000 sao (stars), được trích dẫn là một framework/nền tảng hoàn toàn tự hành, tiên phong trong các vòng lặp tác tử tự hành và hiện có hơn 430 nhà đóng góp. n8n, cũng với khoảng 183.000 sao, là một nền tảng điều phối doanh nghiệp bán tự hành với 6 năm phát triển ở cấp độ sản xuất và hơn 570 bản phát hành, gần đây đã được điều chỉnh cho các quy trình làm việc tác tử.
Dify, với xấp xỉ 137.000 sao và 462 nhà đóng góp, nổi bật với một trong những khối lượng yêu cầu kéo (pull request) cao nhất, cho thấy sự lặp lại nhanh chóng và khả năng thay đổi bề mặt tấn công tiềm ẩn. Một lỗ hổng CVE tiềm ẩn có thể xuất hiện do sự thay đổi này.
Tác tử Mã hóa và Tác động đến Phát hiện Lỗ hổng
Ở mặt trận tác tử mã hóa, Claude Code (Anthropic) được mô tả là một tác tử mã hóa bán tự hành với khoảng 110.000 sao, phát hành khoảng một bản cập nhật mỗi ngày và đã liên quan đến 22 lỗ hổng CVE được công bố, trở thành CLI phát triển nhanh nhất trong bộ dữ liệu. Gemini CLI từ Google, với khoảng 100.000 sao, 445 nhà đóng góp và 676 vấn đề mới mở trong 90 ngày, cho thấy sự gia tăng tương tự về mức độ chấp nhận của nhà phát triển và áp lực phát hiện lỗ hổng.
Báo cáo cũng đề cập đến các tác tử hạ tầng và vận hành như browser-use (khoảng 80.000 sao, tự động hóa trình duyệt hoàn toàn tự hành với mật độ commit cực kỳ cao). Skyvern (khoảng 18.000 sao, hoàn toàn tự hành với tỷ lệ hợp nhất PR là 77%) minh họa các danh mục rủi ro cao, trong đó các tác tử kết nối trực tiếp vào trình duyệt, đám mây và môi trường CI/CD.
Các Công cụ Lập trình và Tác tử Cá nhân
Hệ sinh thái còn bao gồm các công cụ mã hóa và trình soạn thảo bán tự hành như Zed (~79.000 sao, dựa trên Rust với hơn 1.000 bản phát hành được theo dõi và nhiều cảnh báo bảo mật). OpenHands (~71.000 sao, tác tử mã hóa hoàn toàn tự hành với một trong những pipeline yêu cầu kéo tích cực nhất). Cline (~62.000 sao, bán tự hành với 11 lỗ hổng CVE được công bố và hơn 1.000 PR mở mỗi 90 ngày).
crewAI (~48.000 sao, một framework bán tự hành với mức tăng trưởng commit 126%) và Aider (~38.000 sao, bán tự hành với xu hướng commit tăng 21% và cơ sở nhà đóng góp ngày càng tăng).
Các tác tử cá nhân như AgentSeek by Fosowl (~15.000 sao, được giám sát với mức tăng trưởng commit 67% trong 90 ngày) minh họa cách thức “AI bóng tối” (shadow AI) có thể rò rỉ vào doanh nghiệp thông qua thiết bị người dùng, bỏ qua quản trị truyền thống. Điều này đặt ra một mối đe dọa tiềm ẩn về rò rỉ dữ liệu nhạy cảm.
Khuyến nghị Bảo mật cho AI Tác tử
Đối với các chuyên gia phòng thủ, thông điệp của OWASP là coi AI tác tử là một lĩnh vực bảo mật hạng nhất. Cần kiểm kê các tác tử trên toàn hệ sinh thái này, theo dõi các cảnh báo và lỗ hổng CVE trên các dự án có tốc độ phát triển cao, đồng thời căn chỉnh việc triển khai với OWASP Top 10 cho Bảo mật Tác tử và mô hình trưởng thành quản trị mới của họ.
Với các tác tử tự hành hiện đang tác động đến hạ tầng sản xuất, các chương trình bảo mật cần chuyển từ đánh giá mô hình một lần sang giám sát thời gian chạy liên tục và nguồn gốc chuỗi cung ứng cho các thành phần AI. Việc kiểm soát danh tính phi nhân mạnh mẽ trước khi kẻ tấn công và các tác tử hoạt động sai lệch xác định bề mặt rủi ro cho chúng.
Bảo mật cho các hệ thống AI tác tử đòi hỏi cách tiếp cận chủ động, liên tục và tích hợp sâu vào quy trình vận hành. Việc quản lý các mối đe dọa mạng mới nổi từ AI tác tử là một ưu tiên hàng đầu trong bối cảnh an ninh mạng ngày càng phức tạp.
Nguồn tham khảo chi tiết về các lỗ hổng và hướng dẫn quản trị có thể được tìm thấy tại OWASP Generative AI Project.
