Shadow AI là thuật ngữ được dùng để chỉ việc nhân viên trong các tổ chức sử dụng các công cụ AI mà không có sự phê duyệt, giám sát hoặc quản lý của bộ phận công nghệ thông tin hoặc an ninh mạng. Các công cụ này có thể bao gồm các nền tảng AI tạo sinh (như ChatGPT, MidJourney, Synthesia…), đến các ứng dụng phân tích, tự động hóa sử dụng AI.

Theo khảo sát, 75% các nhà quản lý an ninh mạng tại Anh đã chuyển mối quan tâm từ các cuộc tấn công bên ngoài sang các mối đe dọa nội bộ, đặc biệt là do Shadow AI. Điều này cho thấy rằng, các công cụ Shadow AI ngày càng được sử dụng rộng rãi bởi nhân viên mà không có sự giám sát hoặc phê duyệt của tổ chức. Đồng thời, mối đe dọa từ nội bộ trở nên khó đoán hơn do khả năng lạm dụng AI tạo sinh và AI không được kiểm soát. Đáng báo động hơn, 20% trong số họ nhận định rằng việc tội phạm mạng sử dụng AI với mục đích xấu là mối đe dọa lớn nhất đối với tổ chức của họ. Khi các mối đe dọa từ Shadow AI vào năm 2025 tiếp tục gia tăng, các doanh nghiệp đang phải đối mặt với một cuộc chiến cam go để giành lại quyền kiểm soát việc sử dụng AI trái phép trong hệ sinh thái của mình.

Thách thức Shadow AI đối với an ninh mạng

- Rò rỉ dữ liệu: Việc sử dụng AI không được giám sát có thể dẫn đến rò rỉ thông tin nhạy cảm và các vấn đề về quyền riêng tư dữ liệu. Điều này làm gia tăng nguy cơ tấn công mạng như phishing, ransomware hoặc social engineering.

- Không tuân thủ quy định: Việc sử dụng Shadow AI có thể vi phạm quy định về bảo mật dữ liệu như GDPR, HIPAA... , đồng thời có thể vi phạm các chính sách nội bộ nghiêm ngặt về việc xử lý thông tin nhạy cảm hoặc sử dụng các công cụ phần mềm bên ngoài.

- Thiếu kiểm soát và minh bạch: Các công cụ AI không được quản lý nằm ngoài phạm vi giám sát của các hệ thống bảo mật, khiến tổ chức khó phát hiện các dấu hiệu tấn công hoặc rủi ro tiềm ẩn. Ngoài ra, các công cụ Shadow AI không được kiểm soát có thể đưa ra các quyết định dựa trên dữ liệu thiên vị hoặc thiếu toàn diện, dẫn đến hậu quả tiêu cực trong kinh doanh hoặc xã hội. Do thiếu minh bạch, tổ chức không thể xác định rõ ràng ai chịu trách nhiệm khi xảy ra sự cố liên quan đến sử dụng AI.

- Mã độc hại: Các công cụ Shadow AI không an toàn có thể lây lan mã độc qua mạng nội bộ, làm ảnh hưởng đến nhiều hệ thống khác nhau. Tội phạm mạng có thể sử dụng Shadow AI để thực hiện các cuộc tấn công ransomware, mã hóa dữ liệu và yêu cầu tiền chuộc. Ngoài ra, một số mô hình AI được tải xuống từ mã nguồn mở hoặc các nền tảng không đáng tin cậy có thể chứa mã độc ngay trong thuật toán hoặc tập dữ liệu, tạo ra kết quả sai lệch, gây tổn hại nghiêm trọng cho các quyết định kinh doanh, đồng thời làm gia tăng nguy cơ tấn công mạng.

Một số giải pháp giảm thiểu thách thức của Shadow AI

- Xây dựng chính sách quản lý AI toàn diện: Triển khai thực hiện khung chính sách rõ ràng về việc sử dụng AI, xác định các công cụ được phép và các yêu cầu về tính bảo mật, minh bạch.

- Đào tạo nhân viên tuân thủ quy định sử dụng AI: Tăng cường nhận thức của nhân viên về nguy cơ và hậu quả của việc sử dụng Shadow AI, đồng thời hướng dẫn họ cách tuân thủ các quy định pháp lý và chính sách nội bộ.

- Triển khai hệ thống giám sát Shadow AI: Sử dụng các công cụ giám sát thông minh để phát hiện và quản lý các hoạt động sử dụng AI không chính thức trong tổ chức.

- Tích hợp AI được kiểm soát: Cung cấp các công cụ AI được phê duyệt chính thức để giảm thiểu nhu cầu sử dụng các giải pháp bên ngoài không an toàn

Shadow AI không còn là một vấn đề mới, mà đã trở thành một mối đe dọa thực sự đối với an ninh mạng và quản lý doanh nghiệp trong năm 2025. Với những rủi ro phức tạp và khó lường, từ sự lạm dụng trong nội bộ đến việc bị khai thác bởi tội phạm mạng, các tổ chức phải nhanh chóng cải thiện chiến lược bảo mật của mình. Điều này bao gồm việc tăng cường quản trị AI, giám sát nội bộ, và đào tạo nâng cao nhận thức sử dụng AI an toàn trong tổ chức, doanh nghiệp để chống lại các mối nguy hiểm từ Shadow AI.