Trong thời đại AI phát triển như vũ bão, các công cụ như ChatGPT, Gemini hay Claude đang trở thành trợ lý đắc lực cho nhân viên văn phòng, marketer, lập trình viên và cả nhà báo. Tuy nhiên, mặt tối ít được chú ý – Shadow AI – đang ngày càng tiềm ẩn rủi ro lớn. Đây là hiện tượng nhân viên sử dụng AI ngoài tầm kiểm soát, đẩy doanh nghiệp vào nguy cơ rò rỉ thông tin, vi phạm bảo mật và mất quyền kiểm soát dữ liệu. Bài viết dưới đây phân tích sâu về thực trạng, rủi ro và giải pháp nhằm giúp các tổ chức điều hướng AI một cách an toàn và có trách nhiệm.
💼 Khi AI trở thành “đồng nghiệp” mà sếp không hay biết
Một buổi sáng như bao ngày, anh Thanh Quang – giám đốc một công ty truyền thông tại TP.HCM – cảm thấy hài lòng khi xem bản kế hoạch dự án được nhân viên đệ trình. Văn bản được trình bày mạch lạc, chỉn chu hơn hẳn thường lệ. Tuy nhiên, khi hỏi về tác giả, anh mới ngã ngửa: toàn bộ kế hoạch được viết nhờ ChatGPT – và đáng lo hơn, các tài liệu mật đã được “dâng” lên AI mà không qua bất kỳ lớp bảo mật nào.
“Nhân viên tưởng rằng nói chuyện với chatbot là riêng tư. Nhưng thực tế, đó là việc chia sẻ thông tin mật cho một hệ thống bên ngoài, không rõ lưu trữ ở đâu và ai có thể truy cập”, anh Quang chia sẻ.
Trường hợp này không phải cá biệt. Đó là ví dụ điển hình của Shadow AI – hiện tượng người lao động sử dụng công cụ trí tuệ nhân tạo (AI) mà không có sự phê duyệt, quản lý hay giám sát từ phía tổ chức.
🌒 Shadow AI – “vùng tối” của thời đại công nghệ sinh ngữ
Tương tự khái niệm “Shadow IT” trước đây, Shadow AI đang ngày càng phổ biến khi công nghệ AI tạo sinh (Generative AI) như ChatGPT, Gemini, Claude… trở nên dễ tiếp cận. Theo Báo cáo An ninh mạng 2025 của Cisco, 62% tổ chức tại Việt Nam thừa nhận không tự tin trong việc phát hiện nhân viên sử dụng AI không kiểm soát, và chỉ 55% cho rằng đội ngũ hiểu rõ rủi ro từ AI.
Thực tế đáng lo là, trong khi 44% nhân viên sử dụng công cụ AI đã được phê duyệt, thì 40% đội ngũ CNTT không biết cách nhân viên sử dụng AI như thế nào. Lỗ hổng này đang mở toang cánh cửa cho rủi ro bảo mật.
🤖 Chia sẻ “thật lòng” với chatbot – lỗ hổng dữ liệu từ bên trong
Nguyễn Hoàng – trưởng phòng kinh doanh một công ty khởi nghiệp – từng là người cổ vũ mạnh mẽ việc đưa AI vào công việc. Anh sẵn sàng mua gói ChatGPT Plus cho cả phòng. Nhưng mọi chuyện đổi chiều khi anh phát hiện một nhân viên vô tư “trút bầu tâm sự” với AI về dự án chậm tiến độ, khách hàng không hài lòng, và cả các vấn đề nội bộ.
“Cậu ấy bảo cần nói chi tiết để chatbot hiểu rõ và tư vấn hiệu quả. Nhưng có ai đảm bảo rằng thông tin đó không bị thu thập hay rò rỉ?”, Hoàng nói. Doanh nghiệp nhỏ, thiếu ngân sách cho các công cụ bảo mật AI, đang trở thành nạn nhân tiềm năng của chính sự cởi mở và tiện dụng của AI.
🛡️ Mối đe dọa ba trụ cột: Con người – Quy trình – Công nghệ
Theo ông Vũ Ngọc Sơn (NCA), Shadow AI tấn công đồng thời cả ba trụ cột của hệ thống an ninh thông tin:
- Con người: sử dụng AI không nhận thức đủ về rủi ro
- Quy trình: thiếu hướng dẫn rõ ràng về loại dữ liệu nào được phép sử dụng với AI
- Công nghệ: phụ thuộc vào nền tảng ngoài, ít khả năng kiểm soát nội dung đã nhập
Nhiều trường hợp, nhân viên đã đưa mã nguồn nội bộ, kế hoạch tài chính, chiến lược sản phẩm vào AI mà không biết rằng dữ liệu có thể được lưu trữ và sử dụng để huấn luyện mô hình.
Chẳng hạn, ChatGPT miễn phí sẽ mặc định thu thập dữ liệu người dùng, trừ khi bạn sử dụng “Temporary Chat” hoặc chỉnh lại trong phần thiết lập – điều mà hầu hết người dùng không hề biết.
🧩 Làm sao để kiểm soát AI trong bóng tối?
Ông Nguyễn Như Dũng (Cisco Việt Nam) khuyến nghị: “Các tổ chức cần xây dựng chính sách AI rõ ràng, có công cụ giám sát và giới hạn sử dụng, đồng thời huấn luyện nhân sự hiểu rủi ro”.
Đồng tình, chuyên gia từ NCA bổ sung: Việc nâng cao nhận thức và tạo quy trình sử dụng AI là then chốt. “Trước khi nhập dữ liệu vào AI, hãy tự hỏi: nếu thông tin này bị lộ, mức độ thiệt hại ra sao? Nếu cần, hãy mã hóa hoặc xóa bỏ các chi tiết nhạy cảm”.
Ngoài ra, chuyên gia đề xuất cần có sự vào cuộc từ cơ quan quản lý nhà nước để xây dựng bộ tiêu chuẩn AI an toàn, phân loại rõ ràng các hệ thống thông tin theo mức độ rủi ro.
🚦 Quản lý AI không phải để cấm đoán, mà để dẫn dắt có trách nhiệm
Thế giới không thể quay lưng với AI. Nhưng khai thác AI một cách an toàn, hiệu quả, có kiểm soát – đó là bài toán sống còn với mọi doanh nghiệp hiện đại. Shadow AI sẽ tiếp tục len lỏi nếu các tổ chức còn xem nhẹ an toàn dữ liệu và trách nhiệm công nghệ.
Một chiến lược AI toàn diện không chỉ cần công nghệ tốt, mà còn đòi hỏi văn hóa số lành mạnh, nơi người dùng hiểu rằng:
“AI có thể là cộng sự, nhưng chỉ khi bạn là người cầm lái, không phải nạn nhân.”
