Nghiên cứu mới từ Heimdal Security chỉ ra một thực tế đáng lo ngại: sự chênh lệch lớn trong nhận thức về rủi ro AI giữa các nhà lãnh đạo doanh nghiệp và đội ngũ kỹ thuật triển khai trực tiếp. Khảo sát được thực hiện trên 1.000 chuyên gia IT tại Vương quốc Anh và Hoa Kỳ cho thấy, việc áp dụng các công cụ Trí tuệ Nhân tạo (AI) đã vượt xa các biện pháp kiểm soát bảo mật, với tỷ lệ gần hai trên một.
Khoảng cách nhận thức về quản lý rủi ro AI
Báo cáo The State of AI Risk Management in 2026, do Heimdal Security công bố, nhấn mạnh một sự phân chia rõ rệt ngay trong nội bộ các tổ chức. Những người càng gần với hoạt động vận hành AI hàng ngày càng ít tin tưởng vào khả năng kiểm soát rủi ro. Tại Hoa Kỳ, chỉ 7% các chuyên gia ở cấp trung, những người trực tiếp quản lý AI, cho rằng rủi ro đã được kiểm soát. Con số này trái ngược hoàn toàn với 29% các nhà lãnh đạo cấp C-suite và Phó Chủ tịch tự tin rằng tổ chức của họ đã quản lý tốt rủi ro AI.
Tình hình tại Vương quốc Anh
Sự khác biệt này cũng hiện diện tại Vương quốc Anh, với 18% lãnh đạo tự tin so với 11% chuyên gia thực thi. Cả hai khoảng cách này đều có ý nghĩa thống kê, phản ánh một vấn đề tiềm ẩn nghiêm trọng trong cách các doanh nghiệp nhìn nhận và đối phó với an toàn thông tin liên quan đến AI.
Các công cụ AI hiện diện rộng rãi trong hầu hết các hệ thống IT, và nhiều đội nhóm đang sử dụng đồng thời nhiều công cụ. Tuy nhiên, các biện pháp kiểm soát đã không theo kịp tốc độ phát triển này. Trên cả hai thị trường nghiên cứu, việc áp dụng AI đã vượt xa các biện pháp kiểm soát bảo mật theo tỷ lệ xấp xỉ 2:1.
Sự tương quan giữa mức độ sử dụng và lo ngại
Một mô hình nghịch lý được ghi nhận trong khảo sát: các đội nhóm có hiểu biết rõ ràng nhất về việc sử dụng AI của họ lại là những nhóm tỏ ra lo ngại nhất. Điều này cho thấy sự hiểu biết sâu sắc về cách thức AI hoạt động và tiềm năng của nó có thể dẫn đến nhận thức đầy đủ hơn về các nguy cơ bảo mật tiềm ẩn.
Báo cáo của Heimdal mô tả tính minh bạch là yếu tố chẩn đoán quan trọng, thay vì chỉ là giải pháp. Sự thiếu minh bạch trong việc sử dụng AI có thể che giấu các lỗ hổng bảo mật và nguy cơ tiềm ẩn.
Vụ việc CISA và bài học về tuân thủ chính sách
Một sự cố công khai vào tháng 1 năm 2026 đã minh họa rõ nét rủi ro này. Giám đốc Cơ quan An ninh Mạng Hoa Kỳ (CISA) đã tải lên các tài liệu được đánh dấu “Chỉ Dành Cho Mục Đích Chính Thức” vào một phiên bản ChatGPT công khai vào giữa năm 2025. Mặc dù chính sách sử dụng của cơ quan này không cấm hành vi đó, nhưng hoạt động này đã bị hệ thống giám sát nội bộ của chính CISA phát hiện chỉ trong vòng một tuần.
Sự cố này cho thấy ngay cả các tổ chức có trách nhiệm cao nhất về an ninh mạng cũng có thể gặp phải những tình huống rủi ro do việc sử dụng các công cụ AI mà không có sự giám sát chặt chẽ hoặc hiểu biết đầy đủ về các điều khoản sử dụng. Điều này làm dấy lên lo ngại về việc hệ thống bị xâm nhập thông qua các kênh không lường trước.
Quan điểm từ chuyên gia bảo mật
Adam Pilton, Cố vấn An ninh mạng tại Heimdal, nhận định: “Sự tự tin thái quá là một trong những yếu tố nguy hiểm nhất trong lĩnh vực bảo mật. Dữ liệu này cho thấy các nhà lãnh đạo tin rằng rủi ro AI đã được kiểm soát nhiều hơn so với bằng chứng thực tế. Phần lớn các cuộc thảo luận hiện nay xoay quanh năng suất, trong khi câu hỏi lớn hơn là làm thế nào AI có thể bị biến thành công cụ chống lại doanh nghiệp. Báo cáo cho thấy khoảng cách giữa cảm nhận về sự an toàn của lãnh đạo và mức độ an toàn thực tế.”
Rafay Baloch, Nhà nghiên cứu bảo mật độc lập, CEO và Người sáng lập REDSECLABS, bổ sung: “Mối lo ngại lớn nhất của tôi không phải là bản thân AI mà là những điểm mù mà nó có thể tạo ra. Khi các đội nhóm sử dụng công cụ AI mà không có sự giám sát rõ ràng, thông tin nhạy cảm, tài sản trí tuệ và dữ liệu kinh doanh có thể bị đưa đến những nơi mà lãnh đạo không bao giờ dự định. Nhiều tổ chức tin rằng việc có một chính sách AI đồng nghĩa với việc họ đã chuẩn bị sẵn sàng, nhưng một chính sách đơn lẻ không tạo ra khả năng hiển thị. Các công ty đạt được kết quả tốt nhất không phải là những công ty cố gắng hạn chế AI. Họ là những người tạo ra các ranh giới rõ ràng đồng thời giúp nhân viên sử dụng AI một cách có trách nhiệm.”
Khuyến nghị về quản lý rủi ro AI
Báo cáo kết luận rằng các tổ chức nên coi AI là một phần cốt lõi của hạ tầng IT. Điều này đòi hỏi việc áp dụng mức độ giám sát tương đương như đối với bất kỳ nhà cung cấp quan trọng nào khác. Các biện pháp cần bao gồm:
- Xem xét quy trình mua sắm và lựa chọn nhà cung cấp AI.
- Thiết lập các điều khoản hợp đồng chặt chẽ về xử lý dữ liệu.
- Duy trì danh sách kiểm kê hiện tại về các công cụ AI được phê duyệt và không được phê duyệt.
- Triển khai các biện pháp kiểm soát kỹ thuật về quyền truy cập, thực thi, chuỗi hành động và đặc quyền.
Việc áp dụng một cách tiếp cận có cấu trúc và kỷ luật đối với việc triển khai và quản lý AI là rất quan trọng để giảm thiểu mối đe dọa tiềm ẩn và đảm bảo an toàn thông tin trong kỷ nguyên số.
Báo cáo đầy đủ có sẵn tại https://heimdalsecurity.com/blog/state-ai-risk-management/. Khảo sát The State of AI Risk Management in 2026 được thực hiện với sự tham gia của 1.000 chuyên gia IT (500 tại Vương quốc Anh, 500 tại Hoa Kỳ) thông qua Pollfish từ ngày 1 đến ngày 8 tháng 5 năm 2026. Mẫu khảo sát bao gồm sáu cấp bậc thâm niên, từ cấp nhập môn đến C-suite và Phó Chủ tịch.
Heimdal là nhà cung cấp dịch vụ an ninh mạng toàn cầu, cung cấp nền tảng bảo mật và tuân thủ hợp nhất trên các lĩnh vực endpoint, danh tính, email, mạng và bảo mật truy cập. Hơn 17.000 khách hàng tại hơn 40 quốc gia sử dụng hơn 12 sản phẩm tích hợp của Heimdal để ngăn chặn các mối đe dọa, phát hiện vi phạm và tự động hóa phản ứng.
