Các cuộc tấn công nhằm vào chuỗi cung ứng phần mềm đang gia tăng trong bối cảnh AI được triển khai ngày càng rộng rãi. Cùng với đó, hoạt động M&A trong mảng bảo mật AI agent cũng nóng lên khi doanh nghiệp tìm cách củng cố năng lực phòng vệ trước rủi ro mới.

Sau vụ tấn công chuỗi cung ứng ghi nhận trong tháng 3, khi gói Axios trên NPM bị can thiệp để phát tán mã độc trên quy mô ảnh hưởng tới hàng triệu lượt tải, thị trường tiếp tục chứng kiến thêm một sự cố khác. Theo đó, website chính thức của tiện ích ổ đĩa ảo Daemon Tools đã phát tán các bộ cài bị cài cắm mã độc.

Đáng chú ý, các bộ cài độc hại từ Daemon Tools không bị phát hiện trong suốt một tháng. Bên cạnh đó, một số phần mềm và gói phổ biến như SAP, Intercom và Lightning cũng lần lượt bị ảnh hưởng bởi các cuộc tấn công chuỗi cung ứng.

Giới quan sát cho rằng các tính năng tự động hóa do công cụ viết mã bằng AI cung cấp có thể khiến rủi ro trong chuỗi cung ứng phần mềm nghiêm trọng hơn. AdversaAI cho biết kẻ tấn công có thể lợi dụng khả năng tự động hóa của công cụ viết mã AI Claude Code để thực hiện tấn công chuỗi cung ứng.

Trong bối cảnh mức độ quan tâm tới AI agent tăng mạnh, các thương vụ M&A liên quan đến bảo mật AI agent cũng tăng tốc. Cisco đã xác nhận kế hoạch mua lại Astrix Security, startup chuyên về bảo mật danh tính phi con người (NHI).

Trong khi đó, Palo Alto Networks sẽ thâu tóm Portkey, startup phát triển AI gateway. Portkey cung cấp nền tảng điều khiển tập trung để quản lý và bảo vệ các AI agent tự trị, đồng thời hỗ trợ kết nối giữa các agent với độ trễ thấp. Công ty cho biết hiện đang xử lý khối lượng token ở quy mô hàng nghìn tỷ mỗi tháng.

Ở diễn biến khác, OpenAI sẽ triển khai sớm mô hình an ninh mạng GPT-5.5 Cyber cho một nhóm người dùng được lựa chọn. Công ty cho biết mô hình này sẽ được phân phối theo lộ trình tới các đầu mối an ninh mạng chủ chốt.

GPT-5.5 Cyber có thể thực hiện kiểm thử xâm nhập, phát hiện và khai thác lỗ hổng, cũng như phân tích ngược mã độc. OpenAI định vị đây là bộ công cụ hỗ trợ doanh nghiệp tìm ra điểm yếu và kiểm chứng hệ thống phòng thủ, nhưng đồng thời mô hình này cũng làm dấy lên lo ngại về nguy cơ bị lạm dụng. Một cơ quan nghiên cứu trực thuộc Chính phủ Anh cũng đánh giá GPT-5.5 Cyber thể hiện năng lực tấn công mạng ở mức cao trong môi trường nghiên cứu có kiểm soát.

CEO Anthropic, Dario Amodei, cũng cảnh báo không còn nhiều thời gian để xử lý hàng chục nghìn lỗ hổng phần mềm do mô hình AI Mythos phát hiện. Theo ông, khi các mô hình AI của Trung Quốc vẫn chậm hơn sản phẩm của Anthropic khoảng 6-12 tháng, khoảng thời gian này chính là “cửa sổ” để khắc phục các điểm yếu bảo mật.

CEO JP Morgan Chase Jamie Dimon cũng cảnh báo Mythos có thể tìm ra lỗ hổng phần mềm nhanh hơn đáng kể so với các công cụ rà soát bảo mật hiện nay. Điều này làm gia tăng sức ép buộc ngành tài chính phải chuẩn bị cho các kịch bản rủi ro mới do AI tạo ra.

Trước các lo ngại ngày càng lớn về các mối đe dọa an ninh sử dụng AI, Nhà Trắng đang xem xét phương án thẩm định trước một số mô hình AI hiệu năng cao trước khi phát hành rộng rãi.

Về phía doanh nghiệp, Cisco đã công bố công cụ mã nguồn mở Model Provenance Kit nhằm hỗ trợ doanh nghiệp xử lý các vấn đề an ninh và tuân thủ khi sử dụng mô hình AI từ bên thứ ba.

KT cho biết sẽ đại tu toàn diện hệ thống an ninh thông tin ở cấp tập đoàn, với trọng tâm là bộ phận an ninh thông tin mới được tái cơ cấu. Công ty nói đã thiết kế lại tổng thể cấu trúc, phạm vi và mức độ vận hành trên cơ sở hợp nhất các chức năng bảo mật vốn phân tán trước đó.

Công ty quản trị AI Iroun & Company cho biết giải pháp quản trị AI tích hợp SAIFE X v1.0 đã được đăng ký chính thức trên sàn dịch vụ số của hệ thống mua sắm công. Trong khi đó, Naver Cloud giới thiệu tính năng bảo mật mới ACME để tự động quản lý chứng chỉ.

SGA Group, nhân dịp kỷ niệm 23 năm thành lập, đã công bố tầm nhìn “Security for AI” và cho biết sẽ tăng cường hệ thống bảo mật tích hợp để đáp ứng các yêu cầu trong kỷ nguyên AI.

Ngoài ra, Michael Sellitto, người phụ trách chính sách toàn cầu của Anthropic, được cho là sẽ tới Han Quoc vào tuần tới để gặp Ủy ban Chiến lược Trí tuệ Nhân tạo Quốc gia và thảo luận về phương án hợp tác trong lĩnh vực bảo mật AI.