Thị trường “săn lỗi bảo mật thuê” trị giá tỷ USD

Trong hơn một thập kỷ qua, bug bounty (chương trình treo thưởng tìm lỗ hổng bảo mật) đã phát triển từ một sáng kiến mang tính cộng đồng thành một ngành công nghiệp thực thụ. Thay vì chỉ dựa vào đội ngũ chuyên gia kiểm thử nội bộ, các tập đoàn công nghệ lớn như Google hay Microsoft đã mở hệ thống cho cộng đồng “hacker mũ trắng” toàn cầu tham gia tìm lỗi, trả thưởng theo mức độ nghiêm trọng của lỗ hổng mà họ phát hiện. Về bản chất, đây là một mô hình crowdsourcing (huy động trí tuệ đám đông), trong đó các tập đoàn công nghệ là “bên mua”, các nền tảng trực tuyến như HackerOne, Bugcrowd làm trung gian, còn giới hacker mũ trắng là bên cung cấp dịch vụ.

Cơ chế này tạo ra một thị trường lao động phi biên giới, nơi những chuyên gia có thể sử dụng kỹ năng “hack” của mình để tạo thu nhập hợp pháp thay vì thực hiện các cuộc tấn công mạng phi pháp.

Từ góc nhìn kinh tế, đây là một thị trường đặc biệt. Sự bùng nổ của điện toán đám mây, IoT (Internet vạn vật) và ứng dụng di động làm gia tăng nhanh chóng số lượng lỗ hổng. Theo các báo cáo thị trường của ResearchIntelo, quy mô thị trường bug bounty đã cán mốc 1,2–1,4 tỷ USD trong năm 2024 và có thể đạt gần 7 tỷ USD vào năm 2033, với tốc độ tăng trưởng trên 20%/năm. Nếu cộng với các dịch vụ crowdsourcing khác trong lĩnh vực an ninh mạng, tổng giá trị thị trường có thể vượt 10 tỷ USD.

Thị trường săn lỗi bảo mật thuê có giá trị hàng tỷ USD. Ảnh:  Shutterstock

Thị trường bug bounty được thúc đẩy bởi ba yếu tố then chốt. Thứ nhất là áp lực từ các mối đe dọa mạng. Các ngành như tài chính, y tế, thương mại điện tử ngày càng phụ thuộc vào dữ liệu số, đồng thời trở thành mục tiêu hấp dẫn của hacker. Thứ hai là sự thay đổi trong hành vi người dùng. Trong bối cảnh giao dịch trực tuyến và làm việc từ xa trở thành tất yếu, người dùng Internet có yêu cầu cao hơn về bảo mật và minh bạch. Thứ ba là yếu tố pháp lý. Các quy định về an ninh mạng ngày càng chặt chẽ buộc doanh nghiệp phải có cơ chế quản lý lỗ hổng. Thậm chí, nhiều chính phủ đã triển khai chương trình “săn lỗi bảo mật thuê” riêng, góp phần thúc đẩy thị trường.

Báo cáo của ResearchIntelo cũng chỉ ra rằng khu vực châu Á – Thái Bình Dương sẽ ghi nhận mức tăng trưởng cao nhất, khoảng 26%/năm. “Sự tăng trưởng mạnh mẽ này được thúc đẩy bởi quá trình số hóa nhanh chóng, sự mở rộng của các lĩnh vực công nghệ tài chính và thương mại điện tử, cùng với nhận thức ngày càng cao về nhu cầu đối với các khuôn khổ an ninh mạng”, báo cáo nêu. Các quốc gia như Ấn Độ, Trung Quốc và Singapore đang ghi nhận làn sóng đầu tư gia tăng vào an ninh mạng, bao gồm cả khu vực công và tư. “Số lượng ngày càng gia tăng của các chuyên gia am hiểu công nghệ và hacker mũ trắng tại châu Á – Thái Bình Dương, cùng với sự gia tăng các vụ tấn công mạng, đang thúc đẩy việc áp dụng các nền tảng săn tìm lỗi bảo mật”, báo cáo cho biết.

Trong khi đó, theo số liệu của HackerOne, các chương trình “săn lỗi thuê” đã giúp doanh nghiệp tránh được khoảng 3 tỷ USD thiệt hại nhờ phát hiện sớm lỗ hổng. Nền tảng này chi trả khoảng 81 triệu USD trong năm 2025 cho các chuyên gia. Riêng Google đã chi 17,1 triệu USD tiền thưởng trong năm 2025, mức cao nhất từ trước đến nay, đồng thời mở rộng chương trình sang các lỗ hổng liên quan đến AI, theo TechRadar.

Tuy nhiên, phía sau sự tăng trưởng ấn tượng đó là những thách thức không nhỏ. Vấn đề đáng kể nhất là chất lượng của các “khuyến nghị” gửi về cho doanh nghiệp. Số liệu từ arXiv cho thấy khi một doanh nghiệp triển khai chương trình săn lỗi, họ thường nhận được số lượng rất lớn báo cáo từ cộng đồng hacker mũ trắng. Tuy nhiên, phần lớn trong số đó không hợp lệ hoặc không có giá trị, gây áp lực lớn cho các nhóm tiếp nhận.

Bên cạnh đó, cấu trúc thị trường mang tính phân hóa cao. Một nhóm nhỏ các chuyên gia có thể liên tục phát hiện các lỗ hổng nghiêm trọng và nhận phần thưởng lớn, trong khi phần đông còn lại chỉ đóng góp các báo cáo giá trị thấp. Nghiên cứu về chương trình của Google cho thấy việc tăng tiền thưởng có thể thu hút thêm các nhà nghiên cứu chất lượng cao và làm gia tăng số lượng lỗi bảo mật được phát hiện.

Tái cấu trúc dưới tác động của AI

Sự xuất hiện của các công cụ trí tuệ nhân tạo (AI), đặc biệt là các mô hình ngôn ngữ lớn, đang tạo ra một bước ngoặt mang tính cấu trúc đối với thị trường săn lỗi bảo mật thuê. Tác động đầu tiên và rõ rệt nhất là sự bùng nổ số lượng hacker mũ trắng. Nhờ sự hỗ trợ của AI, một nhóm đông đảo những người không chuyên đã tham gia săn tìm lỗi với hi vọng nhận thưởng. Các hệ thống AI hiện nay có thể hỗ trợ phân tích mã, phát hiện điểm yếu và thậm chí tạo ra các đoạn mã khai thác từ hệ thống mã gốc.

Các công cụ AI tạo thách thức lớn về chất lượng, cạnh tranh và quản trị. Ảnh: ITN

Một nghiên cứu cho thấy các hệ thống AI còn có thể thực hiện một số tác vụ an ninh mạng nhanh hơn con người từ 11 đến 3.600 lần, giúp người không chuyên đạt hiệu suất gần với chuyên gia, theo arXiv. “Chúng ta đã thấy AI hoạt động như một buồng cộng hưởng và khuếch đại cho những cá nhân tin rằng họ đang nắm bắt được điều gì đó”, Inti De Ceukelaire, giám đốc nền tảng Intigriti nhận định với CSO.

Yếu tố này đang biến thị trường săn lỗi bảo mật từ một “skill economy” (nền kinh tế dựa trên kỹ năng cá nhân) sang “AI-augmented economy” (nền kinh tế được tăng cường bởi AI), trong đó các công cụ AI đóng vai trò ngày càng quan trọng. Gunter Ollmann, Giám đốc công nghệ của Cobalt.io, nhận định việc sử dụng AI đang tạo ra “một lượng lớn thông tin nhiễu, kết quả sai và dữ liệu trùng lặp”, kéo theo áp lực chưa từng có đối với hệ thống tiếp nhận của các doanh nghiệp.

TechRadar gần đây đưa tin nhà phát triển dự án mã nguồn mở cURL đã buộc phải đóng chương trình “săn lỗi bảo mật thuê” từ tháng 1/2026 sau vài năm triển khai do bị “ngập” trong các khuyến nghị và báo cáo giả mạo lạm dụng AI, gây quá tải cho đội ngũ kỹ thuật. Daniel Stenberg, người đứng đầu dự án, cho biết chỉ trong một tuần nhóm đã nhận 7 khuyến nghị, trong đó có nêu một số lỗi nhưng không có khuyến nghị nào mô tả rõ ràng lỗ hổng bảo mật, khiến nhóm mất “khá nhiều thời gian” để kiểm chứng.

Song song với đó, AI cũng làm gia tăng chính số lượng lỗ hổng – yếu tố cốt lõi của thị trường. Khi doanh nghiệp đẩy nhanh việc ứng dụng AI và tự động hóa phát triển phần mềm, nhiều đoạn mã được tạo ra với tốc độ vượt quá khả năng kiểm thử. Đồng thời, các hệ thống AI cũng trở thành mục tiêu mới của các cuộc tấn công, với các dạng lỗ hổng đặc thù như thao túng mô hình, chèn lệnh hay thiết kế plugin không an toàn. Dữ liệu từ HackerOne cho thấy số lượng lỗ hổng liên quan đến AI đã tăng 210% trong một năm, trong khi tổng tiền thưởng cho nhóm lỗi này tăng tới 339%.

Dù vậy, AI không hoàn toàn mang lại tác động tiêu cực. Nhiều chuyên gia nhấn mạnh rằng giá trị thực sự của AI nằm ở việc hỗ trợ những người có kinh nghiệm. Theo Gal Nagli, chuyên gia bảo mật của Wiz, AI đặc biệt hữu ích trong việc phân tích các hệ thống phức tạp, chẳng hạn như các cổng xác thực hoặc mã nguồn quy mô lớn – những lĩnh vực khó có thể xử lý toàn diện trong thời gian ngắn. Trevor Horwitz, Giám đốc An ninh Thông tin (CISO) tại TrustNet, nhận định: “Kết quả tốt nhất vẫn đến từ những người biết cách sử dụng các công cụ. AI mang lại tốc độ và quy mô, nhưng khả năng phán đoán của con người mới là yếu tố biến kết quả đầu ra thành tác động thực tế”.

Bên cạnh đó, AI cũng mở ra những cơ hội mới. Nó giúp giảm chi phí kiểm thử, cho phép nhiều doanh nghiệp, đặc biệt là doanh nghiệp vừa và nhỏ, tiếp cận các giải pháp an ninh mạng hiệu quả hơn. Đồng thời, một thị trường mới đang hình thành xung quanh an ninh AI, với các hoạt động như kiểm thử mô hình hay đánh giá hành vi của hệ thống AI. Trên cơ sở đó, một nhóm nhỏ các chuyên gia hoặc các tập đoàn công nghệ lớn có thể sớm tận dụng AI như một “đòn bẩy” để gia tăng năng lực.

Để thích ứng, các nền tảng trung gian đang tăng cường các cơ chế phân loại và đánh giá. Việc theo dõi hiệu suất của nhà nghiên cứu theo thời gian, kết hợp với các công cụ tự động nhằm phát hiện dấu hiệu phụ thuộc quá mức vào AI, được xem là giải pháp cần thiết để duy trì chất lượng báo cáo và sàng lọc đội ngũ chuyên gia. Các chuyên gia đều thống nhất rằng AI nên được sử dụng như một công cụ hỗ trợ, thay vì thay thế hoàn toàn con người. AI mang lại tốc độ và quy mô, nhưng chính khả năng phán đoán của con người mới là yếu tố quyết định giá trị thực tiễn. Về dài hạn, xu hướng kết hợp giữa con người và AI trong an ninh mạng là khó đảo ngược, khi các hệ thống tự động dù mạnh mẽ vẫn gặp hạn chế trong các tình huống đòi hỏi ngữ cảnh và suy luận.

Thái Hà