Bộ Khoa học và ICT Hàn Quốc cùng Cơ quan Internet và An ninh Hàn Quốc (KISA) vừa công bố bộ tài liệu hướng dẫn ứng phó rủi ro bảo mật dành cho AI, trong bối cảnh các mối đe dọa nhắm vào mô hình và dịch vụ AI ngày càng gia tăng.
Ngày 8/7, hai cơ quan cho biết đã phát hành “Sổ tay ứng phó rủi ro bảo mật AI” và “Hướng dẫn red team bảo mật AI”. Bộ tài liệu được xây dựng nhằm nâng cao hiệu quả ứng phó rủi ro và tăng cường năng lực kiểm tra bảo mật trong thực tế.
Theo cơ quan quản lý, khi công nghệ AI được ứng dụng nhanh trên nhiều ngành và dịch vụ, các hình thức đe dọa mới như prompt injection, lạm dụng quyền truy cập và rò rỉ dữ liệu cũng xuất hiện ngày càng nhiều.
Trong bối cảnh đó, red team AI được xem là công cụ quan trọng để phát hiện lỗ hổng từ góc nhìn của kẻ tấn công và xây dựng phương án ứng phó phù hợp. Đây là nhóm chuyên thực hiện các kịch bản thử nghiệm có chủ đích nhằm kích hoạt hành vi bất thường hoặc điểm yếu của mô hình AI để nhận diện rủi ro bảo mật.
Theo Bộ Khoa học và ICT Hàn Quốc và KISA, hai tài liệu mới đã hệ thống hóa các mối đe dọa bảo mật chủ yếu có thể phát sinh trong môi trường AI, đồng thời tổng hợp các trường hợp liên quan. Trọng tâm của bộ tài liệu là đưa ra phương án đánh giá, ứng phó có thể áp dụng trong thực tế, cùng hướng dẫn vận hành red team AI.
“Sổ tay ứng phó rủi ro bảo mật AI” gồm nội dung phân loại và chẩn đoán rủi ro, kịch bản đe dọa theo từng ngành, cũng như biện pháp ứng phó theo từng nhóm rủi ro. Tài liệu này phân loại các mối đe dọa đặc thù của AI theo dữ liệu, mô hình, tác nhân (agent), chuỗi cung ứng và mô hình hiệu năng cao, đồng thời đưa ra các khuyến nghị thiên về thực hành.
Trong khi đó, “Hướng dẫn red team bảo mật AI” là tài liệu chuẩn do chính phủ ban hành dành cho các đơn vị triển khai red team AI. Bộ hướng dẫn được xây dựng dựa trên dự thảo tiêu chuẩn quốc tế về red teaming AI ISO/IEC 42119-7, nhằm bảo đảm phù hợp với các chuẩn mực đang được công nhận rộng rãi.
Tài liệu này mô tả toàn bộ quy trình vận hành red team AI, từ khâu lập kế hoạch và tổ chức, chuẩn bị, triển khai cho đến báo cáo kết quả. Nội dung cũng bao gồm checklist, công cụ kiểm tra và bản mô tả công việc cho nhân sự red team.
Bộ Khoa học và ICT Hàn Quốc cho biết bộ hướng dẫn đã phản ánh ý kiến của các bên liên quan, đồng thời tham vấn giới học thuật và chuyên gia để nâng cao tính ứng dụng cũng như chiều sâu chuyên môn.
Ông Lim Jeong-gyu, Vụ trưởng Chính sách mạng và Bảo vệ thông tin thuộc Bộ Khoa học và ICT Hàn Quốc, cho biết cùng với đà phổ biến của AI, các mối đe dọa bảo mật cũng đang biến đổi rất nhanh. Theo ông, bộ tài liệu mới sẽ góp phần nâng cao mức độ an toàn của các dịch vụ AI và trở thành chuẩn tham chiếu có thể áp dụng rộng rãi trong thực tế.