DevOps VietNam

Cảnh báo bảo mật từ Microsoft: Tính năng Agentic AI mới tiềm ẩn nguy cơ tấn công ‘Cross-Prompt Injection’

Microsoft đang gióng lên hồi chuông cảnh báo về những rủi ro bảo mật nghiêm trọng mà các hệ thống Agentic AI mới mang lại, ngay cả khi đang thử nghiệm các khả năng này trên Windows thông qua tính năng Agent Workspace.Mặc dù tính năng này cung cấp môi trường hoạt động biệt lập nhằm tăng cường bảo vệ, gã khổng lồ công nghệ thừa nhận rằng các hệ thống tự động hóa này đang đối mặt với những mối đe dọa hoàn toàn mới, khác biệt so với phần mềm truyền thống.

Tính năng Agent Workspace (hiện đang trong giai đoạn private preview) là một sự thay đổi kiến trúc lớn, cho phép các [AI agents] (https://devops.vn/tag/ai) hoàn thành các tác vụ trong một phiên riêng biệt, sử dụng tài khoản chuyên dụng không liên quan đến tài khoản cá nhân của người dùng. Thiết kế này cung cấp khả năng runtime isolation và scoped authorization, cho phép AI truy cập vào các thư mục phổ biến như Documents hay Downloads mà vẫn hoạt động trong nền.

Tuy nhiên, sự tự chủ này dẫn đến lỗ hổng đáng lo ngại nhất là Cross-Prompt Injection Attacks (XPIA). Microsoft nhấn mạnh rằng trong các cuộc tấn công này, nội dung độc hại được nhúng kín đáo trong các tệp hoặc phần tử giao diện người dùng có thể ghi đè hướng dẫn của agent, buộc AI thực hiện các hành động không mong muốn như rò rỉ dữ liệu hoặc cài cắm mã độc. Đây là một vector tấn công hoàn toàn mới, khai thác chính khả năng lập luận mạnh mẽ của AI. Ngoài ra, việc các mô hình AI đôi khi vẫn gặp lỗi “ảo giác” cũng làm phức tạp thêm các vấn đề bảo mật.

Để đối phó với những thách thức này, Microsoft đang triển khai các nguyên tắc bảo mật vững chắc, tập trung vào ba trụ cột: non-repudiation (không chối bỏ), confidentiality (bảo mật) và authorization. Công ty cam kết rằng mọi hành động của agent phải được quan sát được và có nhật ký kiểm toán chống giả mạo. Quan trọng hơn, các AI agents chỉ hoạt động dưới nguyên tắc đặc quyền tối thiểu, tuyệt đối không được cấp quyền quản trị và chỉ có thể truy cập thông tin nhạy cảm trong các ngữ cảnh [được người dùng ủy quyền] (https://www.microsoft.com/en-us/security/blog/2025/11/25/security-risks-agentic-ai-feature-agent-workspace/).

Microsoft đang áp dụng một cách tiếp cận thận trọng bằng việc triển khai tính năng theo từng giai đoạn thử nghiệm, tắt mặc định và yêu cầu đặc quyền quản trị để kích hoạt. Động thái này nhằm thu thập phản hồi của người dùng trước khi thêm các kiểm soát bảo mật chi tiết hơn, thể hiện cam kết liên tục của hãng trong khuôn khổ Sáng kiến Tương lai Bảo mật (Secure Future Initiative) đối với biên giới bảo mật mới này của .