Bức thư APRA cảnh báo các tổ chức tài chính đang quá chú trọng vào việc triển khai AI mà bỏ quên các khung quản trị rủi ro tương xứng.

“Vũ khí hóa” AI: Mối đe dọa từ các mô hình tiên tiến

Trong một bức thư vừa gửi đến các ngân hàng, công ty bảo hiểm và các tổ chức quản lý quỹ hưu bổng, APRA đã thẳng thắn chỉ ra một thực trạng đáng ngại: Các hoạt động quản trị, quản lý rủi ro và khả năng phục hồi vận hành hiện nay đang không theo kịp quy mô, tốc độ và tính phức tạp của việc áp dụng AI. Cảnh báo này không phải là suy đoán cảm tính mà dựa trên kết quả của một đợt đánh giá giám sát mục tiêu được thực hiện vào cuối năm ngoái. 

Qua việc kiểm tra toàn diện các ngành thuộc phạm vi quản lý, APRA nhận thấy việc mở rộng sử dụng AI tiên tiến đang tạo ra một loạt "điểm yếu" mới về cả tài chính lẫn vận hành. Trong khi đó, các biện pháp an ninh thông tin truyền thống đang phải vật lộn trong vô vọng để bắt kịp tốc độ thay đổi của công nghệ.

Một trong những điểm đáng chú ý nhất trong bức thư là lời cảnh báo về các mô hình AI tiên tiến, điển hình như Claude Mythos của Anthropic. APRA lo ngại rằng những công cụ này có thể trở thành “cánh tay đắc lực” cho các tác nhân xấu trong việc dò tìm lỗ hổng bảo mật.

Việc lạm dụng các mô hình AI cấp cao này được dự báo sẽ làm gia tăng đột biến xác suất, tốc độ và quy mô của các cuộc tấn công mạng, đặt hệ thống tài chính vào tình thế báo động đỏ.

5 lỗ hổng chí mạng trong quản trị AI tại các tổ chức tài chính

Qua đợt rà soát, APRA đã đúc kết 5 quan sát then chốt cho thấy sự hụt hơi đáng kể trong công tác quản lý rủi ro AI hiện nay. Trước hết, cơ quan này chỉ ra thực trạng “triển khai nhanh nhưng quản trị chậm”, khi các tổ chức tài chính đang ồ ạt chuyển dịch AI từ thử nghiệm sang vận hành thực tế nhưng lại để các khung quản trị dừng lại ở mức sơ khai. 

Sự thiếu hụt này càng trở nên nghiêm trọng do “khoảng trống tri thức” ở cấp thượng tầng, nơi các Hội đồng quản trị dù rất hào hứng với tiềm năng của AI nhưng lại thiếu năng lực chuyên môn để đưa ra những chất vấn phản biện sắc bén đối với ban điều hành.

Bên cạnh đó, hệ thống tài chính đang đối mặt với rủi ro tập trung lớn khi nhiều đơn vị cùng phụ thuộc vào một nhà cung cấp duy nhất cho hàng loạt kịch bản ứng dụng, trong khi các kế hoạch dự phòng vẫn còn rất lỏng lẻo. 

Đáng lo ngại hơn, tính minh bạch của công nghệ đang bị thách thức nghiêm trọng do AI thường được nhúng sâu vào các nền tảng bên thứ ba, biến chúng thành những “hộp đen” khiến tổ chức khó lòng kiểm soát quy trình huấn luyện hay cập nhật dữ liệu.

Cuối cùng, thay vì một chiến lược bảo vệ tổng thể, các phương pháp quản lý hiện nay vẫn còn rất manh mún và bị chia cắt giữa các bộ phận như an ninh mạng, quyền riêng tư hay mua sắm, dẫn đến việc thiếu một hàng rào phòng thủ thống nhất để đối phó với những rủi ro đa chiều từ AI.

Kỳ vọng về một sự thay đổi quyết liệt

Bà Therese McCarthy Hockey, Thành viên Hội đồng APRA, nhấn mạnh rằng các thực thể tài chính phải không ngừng điều chỉnh quy trình an ninh mạng để bảo vệ tài sản trong một môi trường đe dọa biến đổi liên tục. “Cuộc cách mạng AI mang đến cơ hội khổng lồ để nâng cao hiệu quả và dịch vụ khách hàng, và chúng ta đã thấy những lợi ích đó hiện hữu,” bà Hockey chia sẻ. 

“Nhưng chúng ta không thể nhắm mắt làm ngơ trước rủi ro. Hệ thống và quy trình quản trị an toàn hiện không theo kịp tốc độ áp dụng công nghệ. Tốc độ vá lỗ hổng cần phải nhanh hơn nhiều để tương xứng với mối đe dọa đã được AI tiếp sức.”

Dù hiện tại APRA chưa đưa ra thêm các quy định pháp lý bổ sung, nhưng cơ quan này đưa ra thông điệp cứng rắn: Kỳ vọng các tổ chức phải có sự cải thiện đáng kể trong việc thu hẹp khoảng cách giữa sức mạnh công nghệ họ đang dùng và khả năng kiểm soát chúng.

Trong thời gian tới, APRA khẳng định sẽ tiếp tục phối hợp chặt chẽ với các cơ quan chính phủ và các đối tác quản lý quốc tế để giám sát các bước tiến công nghệ này, quyết tâm đảm bảo sự an toàn và khả năng phục hồi bền vững cho hệ thống tài chính Úc.

Lệ Thanh