Nghiên cứu MIT cảnh báo: AI agent đang phát triển quá nhanh, thiếu kiểm soát và tiềm ẩn rủi ro lớn

Công nghệ AI agent đang bước vào dòng chảy chính của ngành trí tuệ nhân tạo. Tuần này, OpenAI công bố đã tuyển dụng Peter Steinberg – nhà sáng lập framework mã nguồn mở OpenClaw – cho thấy tham vọng đẩy mạnh hướng phát triển agentic AI.

OpenClaw từng gây chú ý mạnh vì cho phép AI thực hiện những tác vụ “quá quyền lực”, chẳng hạn gửi và nhận email thay người dùng. Tuy nhiên, công cụ này cũng bộc lộ các lỗ hổng bảo mật nghiêm trọng, thậm chí có khả năng bị khai thác để chiếm quyền kiểm soát hoàn toàn máy tính cá nhân.

Trong bối cảnh AI agent ngày càng thu hút sự quan tâm nhưng vẫn còn nhiều điều chưa được hiểu rõ, nhóm nghiên cứu từ MIT và nhiều trường đại học lớn đã công bố một báo cáo khảo sát quy mô lớn, phân tích 30 hệ thống AI agent phổ biến nhất hiện nay.

Kết quả cho thấy: AI agent hiện tại giống như một “cơn ác mộng bảo mật” – thiếu minh bạch, thiếu công bố thông tin và thiếu các quy chuẩn cơ bản về cách vận hành.

Vấn đề lớn nhất: thiếu minh bạch toàn diện

Phát hiện đáng chú ý nhất của báo cáo là việc gần như không thể xác định đầy đủ các rủi ro tiềm ẩn của AI agent. Nguyên nhân chính đến từ việc các nhà phát triển không công bố đủ thông tin.

Leon Staufer (Đại học Cambridge) cùng các cộng sự từ MIT, University of Washington, Harvard, Stanford, University of Pennsylvania và Hebrew University of Jerusalem cho biết họ phát hiện những “hạn chế kéo dài trong việc báo cáo các đặc tính hệ sinh thái và tính năng an toàn của hệ thống agent”.

Ở 8 nhóm tiêu chí công bố thông tin khác nhau, phần lớn các hệ thống agent gần như không cung cấp dữ liệu cho đa số tiêu chí. Thiếu thông tin về rủi ro tiềm ẩn, thiếu công bố về kiểm thử độc lập từ bên thứ ba, thậm chí thiếu dữ liệu về cách hệ thống được giám sát.

Báo cáo dài 39 trang có tên “The 2025 AI Index: Documenting Sociotechnical Features of Deployed Agentic AI Systems” cho thấy một thực tế đáng lo ngại: nhiều hệ thống agent hiện nay gần như không thể theo dõi, kiểm soát hay giám sát đầy đủ.

Ví dụ, với nhiều agent doanh nghiệp, không thể xác định liệu có cơ chế theo dõi từng bước thực thi (execution trace) hay không – tức là không rõ AI đã làm gì, làm như thế nào và tại sao.

12/30 hệ thống không cung cấp cơ chế giám sát sử dụng, hoặc chỉ thông báo khi chạm giới hạn sử dụng. Điều này đặc biệt đáng lo với doanh nghiệp, nơi chi phí tài nguyên tính toán cần được kiểm soát chặt chẽ.

Không biết đang nói chuyện với người hay bot

Một vấn đề khác là đa số agent không tự công bố bản chất AI của mình khi tương tác với người dùng hoặc bên thứ ba.

Việc công bố có thể bao gồm watermark cho ảnh tạo bằng AI, hoặc tuân thủ file “robots.txt” để xác định mình là bot thay vì người thật. Tuy nhiên, phần lớn agent không làm điều này theo mặc định.

Thậm chí, một số hệ thống còn không cung cấp cách dừng hoạt động khi cần.

Theo báo cáo, các hệ thống như Alibaba MobileAgent, HubSpot Breeze, IBM watsonx và các automation của n8n không có tùy chọn dừng rõ ràng dù hoạt động tự động. Trong môi trường doanh nghiệp, đôi khi chỉ có thể dừng toàn bộ hệ thống agent thay vì từng agent riêng lẻ.

Với một tổ chức lớn, việc phát hiện một hệ thống tự động làm sai nhưng không thể dừng ngay lập tức là kịch bản tệ nhất có thể xảy ra.

AI agent là gì và vì sao đang bùng nổ?

AI agent là một nhánh phát triển mới của machine learning trong ba năm gần đây, nhằm mở rộng khả năng của chatbot và mô hình ngôn ngữ lớn.

Khác với chatbot chỉ phản hồi theo một câu lệnh, agent có thể được kết nối với cơ sở dữ liệu, hệ thống nội bộ hoặc công cụ bên ngoài, đồng thời được trao mức độ “tự chủ” nhất định để hoàn thành mục tiêu phức tạp.

Chúng có thể xử lý nhiều bước trong quy trình doanh nghiệp, như nhận đơn hàng qua email, nhập vào hệ thống, kiểm tra tồn kho, thậm chí tự động hóa một phần quy trình chăm sóc khách hàng.

Nhóm nghiên cứu phân loại agent thành ba nhóm chính: chatbot có khả năng mở rộng, trình duyệt AI hoặc extension, và phần mềm doanh nghiệp như Microsoft Office 365 Copilot. Phần lớn các agent này lại dựa trên một số mô hình lõi đóng nguồn như GPT của OpenAI, Claude của Anthropic và Gemini của Google.

Điểm sáng hiếm hoi và những “quả bom hẹn giờ”

Báo cáo không thử nghiệm toàn diện các hệ thống mà phân tích tài liệu công khai. Tuy vậy, nhóm nghiên cứu vẫn lập tài khoản thử nghiệm một số nền tảng.

Một ví dụ tích cực là ChatGPT Agent của OpenAI, được ghi nhận là hệ thống duy nhất cung cấp cơ chế theo dõi hành vi thông qua ký số mật mã các yêu cầu trình duyệt.

Ngược lại, trình duyệt Comet của Perplexity bị đánh giá là thiếu kiểm thử an toàn, thiếu công bố benchmark, không có cơ chế sandbox rõ ràng. Amazon thậm chí đã kiện Perplexity vì cho rằng Comet tự nhận là người dùng thật khi truy cập máy chủ.

HubSpot Breeze lại là ví dụ “nửa tốt nửa xấu”: đạt nhiều chứng nhận tuân thủ như SOC2, GDPR, HIPAA, nhưng không công bố phương pháp hay kết quả kiểm thử bảo mật từ bên thứ ba.

Theo nhóm nghiên cứu, việc công bố chứng nhận tuân thủ nhưng không minh bạch kiểm thử bảo mật thực tế là điều khá phổ biến ở các nền tảng doanh nghiệp.

Báo cáo chưa phân tích các sự cố ngoài thực tế – những trường hợp AI agent gây hậu quả nghiêm trọng. Vì vậy, tác động đầy đủ của các lỗ hổng vẫn chưa thể đo lường.

Tuy nhiên, một điều rõ ràng: AI agent là sản phẩm do con người thiết kế và phát hành. Trách nhiệm minh bạch tài liệu, kiểm toán an toàn và cung cấp cơ chế kiểm soát thuộc về các công ty phát triển như OpenAI, Anthropic, Google, Perplexity và nhiều đơn vị khác.

Nếu các khoảng trống nghiêm trọng hiện nay không được khắc phục, khả năng cao các cơ quan quản lý sẽ phải can thiệp trong tương lai.