Lộ mã nguồn AI: Không chỉ là nỗi xấu hổ của Anthropic

Mối lo ngại này không hề trừu tượng. Hệ thống AI hiện đại bao gồm nhiều thứ hơn là một giao diện trò chuyện. Các công ty xây dựng hệ thống xung quanh các trọng số mô hình, phương pháp tinh chỉnh, câu lệnh hệ thống, bộ lọc nội dung, quy trình truy xuất, công cụ đánh giá và bảng điều khiển nội bộ. Một số thứ trong đó có thể không bao giờ xuất hiện trong một kho lưu trữ mã nguồn truyền thống. Nhưng khi chúng xuất hiện, đoạn mã có thể tiết lộ các giả định và điểm yếu đằng sau một mô hình mà hàng triệu người đang dựa vào để viết lách, lập trình, tìm kiếm, chăm sóc khách hàng và ra quyết định kinh doanh. Trong một ngành ngày càng yêu cầu công chúng tin tưởng vào các biện pháp bảo vệ vô hình, thì ngay cả một sự phơi bày nhỏ cũng là vấn đề lớn.

Những năm gần đây đã cho thấy các vụ rò rỉ có thể gây thiệt hại như thế nào khi liên quan đến các hệ thống AI đang phát triển nhanh chóng. Năm 2023, một kho tài liệu nội bộ của Google bị tung lên mạng, giúp người ngoài có cái nhìn rõ hơn về cách một trong những tập đoàn công nghệ lớn nhất thế giới suy tính về cuộc cạnh tranh với AI mã nguồn mở. Cùng khoảng thời gian đó, các trọng số của mô hình LLaMA của Meta đã lan truyền rộng rãi ra ngoài đối tượng dự kiến, thúc đẩy các thử nghiệm trong toàn ngành. Những người ủng hộ nói rằng điều đó đã giúp ích cho nghiên cứu. Những người chỉ trích thì cho rằng nó khiến các năng lực tiên tiến dễ bị sao chép, chỉnh sửa và lạm dụng hơn. Vấn đề không phải là mọi vụ rò rỉ đều như nhau. Vấn đề là các vụ rò rỉ AI có tác động vượt xa bảng cân đối kế toán của một công ty.

Bằng chứng từ lĩnh vực an ninh mạng cũng là một lời cảnh tỉnh. Báo cáo Chi phí của một vụ vi phạm dữ liệu năm 2024 của IBM cho thấy chi phí trung bình toàn cầu cho một vụ vi phạm đã đạt mức cao kỷ lục là 4,88 triệu USD. Con số này bao gồm các thiệt hại kinh doanh nói chung, không chỉ riêng các công ty AI. Nhưng các công ty AI còn mang thêm một lớp rủi ro nữa vì sản phẩm của họ thường được tích hợp vào các dịch vụ khác. Một lỗ hổng tại một nhà cung cấp mô hình có thể lan ra các công ty luật, bệnh viện, trường học, đội ngũ phần mềm và các nhà thầu chính phủ đang sử dụng mô hình đó qua API. Một sự cố bảo mật có thể trở thành nhiều vấn đề ở các khâu sau.

Nguyên nhân sâu xa rất đơn giản và khó chấp nhận. Các công ty AI phát triển rất nhanh vì thị trường tưởng thưởng cho tốc độ. Việc ra mắt mô hình mới có thể thay đổi định giá, thu hút các hợp đồng doanh nghiệp và thay đổi nhận thức của công chúng chỉ sau một đêm. An ninh và kiểm soát truy cập nội bộ thường được cải thiện chậm hơn. Sự không tương xứng này phổ biến trong ngành công nghệ, nhưng AI làm nó trở nên gay gắt hơn vì việc phát triển diễn ra trên các nhóm lớn, phân tán, sử dụng công cụ đám mây, kho lưu trữ chung, các tích hợp của bên thứ ba và nhà thầu. Mỗi lớp bổ sung có thể trở thành một điểm yếu mới. Nói một cách đơn giản, chính sự linh hoạt giúp các công ty xây dựng các hệ thống tiên tiến lại có thể khiến mã nguồn nhạy cảm hoặc các chi tiết cấu hình dễ dàng bị phát tán đến những nơi không nên đến.

Ngoài ra còn có một vấn đề về văn hóa. Ngành công nghiệp AI đã dành nhiều năm để tự định hình mình xoay quanh sự cởi mở, tiến bộ và lặp lại nhanh chóng. Những giá trị đó đã giúp nghiên cứu phát triển mạnh. Nhưng chúng cũng làm mờ đi ranh giới giữa việc chia sẻ lành mạnh và sự phơi bày nguy hiểm. Lĩnh vực học máy trong học thuật từ lâu đã phụ thuộc vào việc công bố các phương pháp, tiêu chuẩn và mã nguồn. Nhưng AI thương mại tiên tiến không còn chỉ là một dự án học thuật nữa. Nó là một ngành công nghiệp có rủi ro cao với các sản phẩm ảnh hưởng đến tư vấn tài chính, soạn thảo pháp lý, giáo dục và thông tin chính trị. Các thói quen bảo mật từ một thời kỳ nghiên cứu cởi mở hơn không phải lúc nào cũng phù hợp với thực tế mới này.

Nếu mã nguồn của một công ty như Anthropic bị rò rỉ, nỗi sợ trước mắt sẽ là việc bị nhân bản hoặc bị đối thủ sao chép. Điều đó là có thật. Tuy nhiên, rủi ro lớn hơn là các đối tượng xấu có thể sử dụng tài liệu bị rò rỉ để nghiên cứu các hàng rào bảo vệ và tìm cách lách qua chúng. Các hệ thống an toàn thường hoạt động theo nhiều lớp: một câu lệnh chặn một loại yêu cầu có hại, một bộ phân loại khác phát hiện các kết quả đầu ra rủi ro, một quy tắc nội bộ khác thay đổi cách mô hình xử lý các trường hợp đặc biệt. Nếu các lớp này trở nên dễ dàng bị vạch ra, kẻ tấn công sẽ có được một cuốn sách hướng dẫn. Đây không phải là suy đoán trừu tượng. Các nhà nghiên cứu bảo mật đã nhiều lần chỉ ra rằng các mô hình có thể bị “bẻ khóa” bằng các câu lệnh được tạo ra một cách cẩn thận, và các cộng đồng chia sẻ câu lệnh công khai đã trao đổi các phương pháp để làm chính xác điều đó.

Tác động xã hội cũng nghiêm trọng không kém. Niềm tin vào AI vốn đã mong manh. Các cuộc khảo sát của Edelman Trust Barometer và Pew Research Center đều cho thấy sự bất an rộng rãi của công chúng về tác động của AI đối với công việc, thông tin sai lệch và an toàn. Tại Hoa Kỳ, Pew báo cáo vào năm 2024 rằng có nhiều người Mỹ lo ngại hơn là hào hứng về việc AI ngày càng được sử dụng nhiều trong cuộc sống hàng ngày. Một vụ rò rỉ lớn sẽ làm sâu sắc thêm sự hoài nghi đó. Nó sẽ báo hiệu rằng các công ty đang yêu cầu trường học, bệnh viện và các cơ quan chính phủ áp dụng AI trên quy mô lớn có thể vẫn đang vật lộn với việc quản lý cơ bản các hệ thống của chính họ.

Các hậu quả kinh tế có thể rất sâu rộng. Các doanh nghiệp khi chọn một nhà cung cấp AI không chỉ đơn giản là mua một phần mềm thông minh. Họ đang đặt cược vào độ tin cậy, sự tuân thủ và tính liên tục. Nếu mã nguồn bị rò rỉ phơi bày các quy trình yếu kém, các khách hàng trong các lĩnh vực bị quản lý chặt chẽ có thể xem xét lại hoặc làm chậm việc triển khai. Điều này rất quan trọng vì chi tiêu của doanh nghiệp hiện là trung tâm của mô hình kinh doanh AI. Các cuộc khảo sát gần đây của McKinsey về việc áp dụng AI tạo sinh cho thấy các công ty đang chuyển từ thử nghiệm sang sử dụng sâu hơn trong vận hành, đặc biệt là trong tiếp thị, phần mềm và hoạt động khách hàng. Những khoản đầu tư đó phụ thuộc vào niềm tin rằng các nhà cung cấp có thể bảo vệ không chỉ dữ liệu người dùng mà còn chính các hệ thống đó.

Cũng có một góc độ chính sách. Chính phủ ở Hoa Kỳ, Liên minh Châu Âu và Vương quốc Anh đều đã bắt đầu đặt ra những câu hỏi khó hơn về an toàn và quản trị AI tiên tiến. Một vụ rò rỉ đáng kể có thể thúc đẩy các nhà quản lý đối xử với các công ty AI hàng đầu không giống như các nhà cung cấp phần mềm thông thường, mà giống như các nhà vận hành hạ tầng nhạy cảm. Điều đó có thể có nghĩa là các quy tắc báo cáo nghiêm ngặt hơn, kiểm toán bên ngoài, kiểm soát mối đe dọa nội bộ mạnh mẽ hơn và thử nghiệm đối kháng (red-team testing) một cách chính thức hơn. Một số người trong ngành phản đối ý tưởng đó, cho rằng quy định khắt khe có thể làm chậm sự đổi mới. Nhưng lịch sử của các thị trường kỹ thuật số cho thấy một bài học ngược lại: niềm tin và sự chấp nhận thường tăng lên khi người dùng tin rằng các biện pháp bảo vệ tối thiểu là có thật.

Phản ứng hợp lý không phải là hoảng sợ, mà là sự trưởng thành. Các công ty AI nên thu hẹp quyền truy cập nội bộ vào các hệ thống có rủi ro cao, tách biệt môi trường nghiên cứu khỏi hệ thống sản xuất, sử dụng các phương pháp ký mã và giám sát mạnh mẽ hơn, và tiến hành đánh giá rủi ro nội bộ định kỳ. Việc kiểm toán bảo mật độc lập nên trở thành điều bình thường, không phải là ngoại lệ. Các khách hàng lớn cũng nên ngừng coi việc mua sắm AI như một giao dịch mua phần mềm đơn giản. Họ nên hỏi các nhà cung cấp những câu hỏi trực tiếp về bảo mật kho lưu trữ, ứng phó sự cố, quyền truy cập của nhà thầu và việc kiểm tra các biện pháp bảo vệ mô hình. Hội đồng quản trị và các giám đốc điều hành cần hiểu rằng rủi ro AI không chỉ giới hạn ở các kết quả đầu ra xấu. Nó còn tồn tại trong bộ máy ẩn tạo ra chúng.

Bài học sâu sắc hơn là điều mà ngành công nghiệp AI vẫn còn né tránh. Các mô hình mạnh mẽ không phải là những sản phẩm ma thuật nằm ngoài các quy tắc thông thường. Chúng được xây dựng bởi con người, lưu trữ trên máy chủ, quản lý bằng mã nguồn và dễ bị tổn thương bởi những thất bại tương tự như phần còn lại của thế giới công nghệ. Một vụ rò rỉ mã nguồn liên quan đến một công ty như Anthropic sẽ là vấn đề lớn không phải vì nó chọc thủng huyền thoại về sự kiểm soát hoàn hảo, mà vì nó nhắc nhở chúng ta rằng ngay từ đầu đã không hề có sự kiểm soát hoàn hảo nào cả. Công chúng nên xem xét điều đó một cách nghiêm túc, và mọi công ty đang chạy đua để xây dựng bộ óc máy móc không thể thiếu tiếp theo cũng nên như vậy.