Khi các doanh nghiệp đẩy mạnh ứng dụng trí tuệ nhân tạo (AI) vào chăm sóc khách hàng, phân tích thị trường, quản trị vận hành và hỗ trợ ra quyết định, một rủi ro mới đang nổi lên phía sau làn sóng AI: đầu độc dữ liệu (data poisoning).

Theo báo cáo Data Poisoning Primer: Foundations, Threat Models, and National Security Risks (Tạm dịch: Sổ tay về đầu độc dữ liệu: Nền tảng, mô hình đe dọa và rủi ro an ninh quốc gia) của Viện Nghiên cứu An ninh Quốc gia Israel (INSS), đầu độc dữ liệu là hành vi cố ý thao túng dữ liệu huấn luyện, mô hình được huấn luyện sẵn hoặc các nguồn tri thức đầu vào nhằm khiến hệ thống AI học và đưa ra những kết luận sai lệch.

Khác với các cuộc tấn công mạng truyền thống, đầu độc dữ liệu không đòi hỏi phải xâm nhập hệ thống, đánh cắp cơ sở dữ liệu hay cài mã độc. Kẻ tấn công chỉ cần tác động vào những gì AI học hỏi và tin tưởng. Hệ thống vẫn có thể vận hành bình thường, vượt qua các bài kiểm tra chất lượng và duy trì độ chính xác cao, nhưng bên trong đã hình thành những thiên lệch hoặc hành vi bất thường mà doanh nghiệp không nhận ra.

Bài học đắt giá từ chatbot Tay của Microsoft

Đối với giới doanh nghiệp, chatbot Tay của Microsoft là một trong những ví dụ điển hình đầu tiên cho thấy dữ liệu đầu vào có thể trở thành rủi ro kinh doanh nghiêm trọng như thế nào.

Ra mắt năm 2016, Tay được thiết kế để học hỏi từ các tương tác với người dùng trên mạng xã hội. Tuy nhiên, chỉ trong thời gian ngắn sau khi vận hành, một nhóm người dùng đã phối hợp đưa vào hệ thống lượng lớn nội dung cực đoan và mang tính kích động.

Kết quả là chatbot nhanh chóng tạo ra những phát ngôn gây tranh cãi, buộc Microsoft phải dừng hoạt động sản phẩm. Đây là trường hợp cho thấy các tương tác thời gian thực có thể nhanh chóng chuyển hướng hành vi của mô hình AI.

Điều đáng chú ý là Microsoft không bị tấn công theo cách mà các doanh nghiệp thường hình dung. Không có hệ thống nào bị xâm nhập, không có dữ liệu nào bị đánh cắp và cũng không có mã nguồn nào bị sửa đổi. Thay vào đó, chính dữ liệu mà chatbot tiếp nhận đã trở thành công cụ tấn công.

Từ góc độ quản trị doanh nghiệp, sự cố của Tay không đơn thuần là một lỗi công nghệ. Đây là rủi ro thương hiệu. Trong thời đại mà chatbot, trợ lý AI và các công cụ tạo sinh nội dung ngày càng đại diện cho hình ảnh thương hiệu trước khách hàng, những sai lệch như vậy có thể nhanh chóng chuyển thành khủng hoảng truyền thông.

AI đang phụ thuộc vào những dữ liệu mà doanh nghiệp không kiểm soát

Điểm yếu cốt lõi của AI hiện đại nằm ở việc các tổ chức ngày càng phụ thuộc vào dữ liệu và mô hình do bên ngoài cung cấp. Các hệ thống AI thường được xây dựng dựa trên dữ liệu thu thập từ internet, bộ dữ liệu công khai, nền tảng mã nguồn mở hoặc các đối tác thứ ba.

Điều này tạo ra một dạng "chuỗi cung ứng dữ liệu" tương tự chuỗi cung ứng nguyên vật liệu trong ngành sản xuất. Nếu một mắt xích bị nhiễm độc, tác động có thể lan rộng đến toàn bộ hệ thống phía sau.

Đây là điểm khác biệt quan trọng giữa đầu độc dữ liệu và các chiến dịch thao túng thông tin truyền thống. Người dùng cuối không nhất thiết phải nhìn thấy nội dung bị thao túng. Họ chỉ tiếp xúc với những kết quả phân tích, khuyến nghị hoặc câu trả lời được tạo ra từ những dữ liệu đã bị làm sai lệch từ trước.

Đối với doanh nghiệp, điều này đồng nghĩa với việc rủi ro có thể xuất hiện ngay từ những nguồn dữ liệu tưởng chừng đáng tin cậy nhất. Một tập dữ liệu công khai, một mô hình mã nguồn mở hay một kho tri thức trực tuyến bị thao túng có thể ảnh hưởng đến hàng nghìn tổ chức cùng lúc nếu chúng trở thành đầu vào cho các hệ thống AI phổ biến.

Vì sao đầu độc dữ liệu khó phát hiện?

Theo nghiên cứu của INSS, những dữ liệu bị đầu độc thường được thiết kế để trông hoàn toàn hợp lệ. Chúng có thể vượt qua các bước làm sạch dữ liệu, quy trình kiểm tra chất lượng và thậm chí cả các cuộc kiểm toán mô hình. Một hệ thống AI bị đầu độc vẫn có thể đạt điểm số cao trong các bài đánh giá tiêu chuẩn trước khi được triển khai thực tế.

Các công cụ phát hiện hiện nay vẫn gặp khó khăn khi phải xử lý những dữ liệu được thiết kế để hòa lẫn vào tập dữ liệu hợp lệ. Trong khi đó, các biện pháp khắc phục sau huấn luyện như truy vết nguồn gốc dữ liệu, loại bỏ tri thức đã học hoặc tái huấn luyện mô hình thường tốn kém và phức tạp. Báo cáo nhận định không có một lớp phòng thủ đơn lẻ nào đủ khả năng ngăn chặn hoàn toàn đầu độc dữ liệu.

Điều này tạo ra một bài toán quen thuộc đối với lãnh đạo doanh nghiệp: Chi phí gây ra rủi ro cho bên tấn công thường thấp hơn rất nhiều so với chi phí phát hiện, xác minh và khắc phục của bên phòng thủ.

Quản trị AI bắt đầu từ quản trị dữ liệu

Theo INSS, các tổ chức không nên xem dữ liệu chỉ là nguyên liệu đầu vào cho AI mà cần coi đó là một tài sản chiến lược cần được quản trị. Báo cáo khuyến nghị tăng cường kiểm soát nguồn gốc dữ liệu, áp dụng cơ chế xác thực và theo dõi tính toàn vẹn của dữ liệu từ sớm trong quá trình xây dựng mô hình thay vì chỉ kiểm tra ở giai đoạn triển khai.

Thông điệp cốt lõi theo đó là doanh nghiệp không nên đặt mục tiêu đạt được sự tin tưởng tuyệt đối vào dữ liệu. Điều quan trọng hơn là phải biết dữ liệu đến từ đâu, được đưa vào hệ thống như thế nào, mức độ tin cậy ra sao và cần làm gì khi niềm tin đó bị phá vỡ.