Trong bối cảnh AI tạo sinh đang được ứng dụng rộng rãi ở nhiều doanh nghiệp hiện nay, những vấn đề rủi ro về tính bảo mật về dữ liệu của doanh nghiệp (bao gồm: thông tin liên quan đến khách hàng, sản phẩm sắp ra mắt, chiến lược hoặc ngân sách) đang trở nên đáng lo ngại về vì không được kiểm soát và quản lý chặt chẽ.
Theo báo cáo về An ninh mạng năm 2025 được CISCO công bố cho thấy 62% tổ chức tại Việt Nam gặp vấn đề trong việc kiểm soát nhân viên sử dụng AI, nghĩa là đang gặp tình trạng Shadow AI. Từ khảo sát còn thống kê có 44% nhân viên sử dụng các công cụ Gen AI từ bên thứ ba nhưng 40% đội ngũ CNTT không nắm rõ được cách nhân viên tương tác với Gen AI.
Từ những vấn đề trên, bài viết dưới đây sẽ tìm hiểu chi tiết về thuật ngữ Shadow AI là gì, những rủi ro và tác động tới doanh nghiệp của nó ra sao và đề ra những bước kiểm soát hiệu quả cho Shadow AI.
Định nghĩa về thuật ngữ Shadow AI
Hiện tại có nhiều doanh nghiệp đã cho nhân viên chủ động ứng dụng AI trong công việc, thậm chí mua tài khoản Chat GPT plus cho đội nhóm dùng chung nhưng giờ lại đang hoang mang về việc toàn bộ thông tin nhạy cảm của doanh nghiệp đang bị tiết lộ ra bên ngoài.
Khái niệm về Shadow AI được định nghĩa là việc nhân viên trong các tổ chức sử dụng các công cụ AI cho công việc nhưng không có sự phê duyệt, quản lý và giám sát của bộ phận CNTT hoặc an ninh mạng. Do đó xảy ra các vấn đề về tính bảo mật về dữ liệu của doanh nghiệp. Khái niệm Shadow AI bắt nguồn từ “Shadow IT”, khi nhân viên sử dụng các phần mềm chưa được phê duyệt (1). Các ứng dụng phần mềm AI hoặc Gen AI phổ biến hiện nay bao gồm những nền tảng như (ChatGPT, Midjourney, Synthesia hay Clause AI,…).
Điều đáng lo ngại ở đây các phần mềm AI có khả năng xử lý, học và tái sử dụng dữ liệu theo nhiều cách khác nhau, với việc những thông tin nhạy cảm mà nhân viên vô tình nhập vào (như dữ liệu khách hàng, chiến lược kinh doanh hay tài liệu nội bộ) hoàn toàn có thể trở thành một phần trong quá trình xử lý của mô hình AI. Trường hợp, bị “rò rỉ” thông tin ra bên ngoài là điều chắc chắn xảy ra mà các doanh nghiệp không hề hay biết.
Thực trạng hiện nay về Shadow AI
Trên thế giới:
Theo một khảo sát gần đây, khoảng 75% các nhà quản lý an ninh mạng tại Anh cho biết họ đang dần chuyển trọng tâm từ các cuộc tấn công bên ngoài sang những rủi ro đến từ nội bộ, trong đó Shadow AI là một trong những mối lo lớn nhất. Điều này phản ánh thực tế rằng các công cụ AI đang được nhân viên sử dụng ngày càng phổ biến, nhưng lại thiếu đi sự giám sát và kiểm soát cần thiết từ phía tổ chức.
Không giống như các mối đe dọa truyền thống, rủi ro nội bộ liên quan đến Shadow AI khó nhận diện và dự đoán hơn, đặc biệt khi AI tạo sinh có thể bị lạm dụng hoặc vận hành ngoài tầm kiểm soát. Đáng chú ý, có tới 20% số người được khảo sát cho rằng việc tội phạm mạng tận dụng AI cho các mục đích xấu hiện là mối đe dọa nghiêm trọng nhất đối với doanh nghiệp của họ.
Trong bối cảnh các rủi ro liên quan đến Shadow AI được dự báo sẽ tiếp tục gia tăng trong thời gian tới, doanh nghiệp gần như đang bước vào một “cuộc chiến ngầm” – nơi họ phải nỗ lực giành lại quyền kiểm soát việc sử dụng AI trái phép, đồng thời bảo vệ hệ thống và dữ liệu của mình trước những nguy cơ ngày càng phức tạp (2).
Tại Việt Nam:
Tại Việt Nam, câu chuyện về Shadow AI diễn ra trong một bối cảnh khá đặc thù, khi doanh nghiệp vừa trong quá trình chuyển đổi số, vừa chịu áp lực gia tăng năng suất, đồng thời vẫn bị ảnh hưởng bởi văn hóa làm việc đề cao tính “tự làm” và giữ hình ảnh cá nhân trong tổ chức.
Đáng chú ý, theo khảo sát của Microsoft, có tới 88% người lao động tri thức tại Việt Nam đang sử dụng AI trong công việc, cao hơn mức trung bình toàn cầu (75%). Đồng thời, khoảng 70% người dùng cho biết họ sử dụng các công cụ AI cá nhân thay vì chờ doanh nghiệp triển khai chính thức. Điều này cho thấy việc sử dụng AI “ngoài luồng” thực chất đang diễn ra rất phổ biến và gần như là mặc định trong nhiều môi trường làm việc (3).
Tuy nhiên, trong khi mức độ ứng dụng AI tăng rất nhanh, thì khung quản lý lại chưa theo kịp. Nhiều doanh nghiệp mới chỉ dừng ở các khuyến nghị chung về bảo mật dữ liệu (đặc biệt theo Nghị định số 13/2023/NĐ-CP), nhưng lại thiếu hướng dẫn cụ thể về việc sử dụng AI trong từng loại công việc. Khoảng trống này khiến nhân viên phải tự quyết định: nên dùng hay không, dùng đến mức nào, và đâu là giới hạn an toàn.
Ở nhóm doanh nghiệp vừa và nhỏ hoặc các công ty gia đình, tình trạng này còn rõ rệt hơn. Khi lãnh đạo vẫn đang phân vân giữa việc “phải ứng dụng AI để không tụt hậu” và “lo ngại rủi ro AI”, thì tổ chức thường rơi vào trạng thái không cấm nhưng cũng không quản. Hệ quả là nhân viên chủ động sử dụng AI để tối ưu công việc, nhưng phần lớn diễn ra một cách âm thầm.
Điều này tạo ra một “sức ép kép” cho người lao động Việt Nam: vừa phải tận dụng AI để tăng hiệu suất, vừa phải duy trì hình ảnh cá nhân trong công việc.
Những rủi ro và tác động của Shadow AI trong doanh nghiệp
Sự phát triển nhanh chóng của AI mang lại nhiều lợi ích, nhưng khi bị sử dụng ngoài tầm kiểm soát, Shadow AI lại trở thành một nguồn rủi ro đáng kể đối với doanh nghiệp. Những tác động này không chỉ dừng ở khía cạnh công nghệ mà còn lan rộng sang bảo mật, pháp lý và vận hành.
Rò rỉ dữ liệu và nguy cơ bảo mật
Một trong những rủi ro lớn nhất của Shadow AI là khả năng làm lộ thông tin nhạy cảm. Khi nhân viên nhập dữ liệu nội bộ, thông tin khách hàng hoặc tài liệu chiến lược vào các công cụ AI không được kiểm soát, những dữ liệu này có thể bị lưu trữ hoặc xử lý bên ngoài hệ thống doanh nghiệp. Điều này vô tình mở ra “cánh cửa” cho các cuộc tấn công mạng như phishing, ransomware hoặc social engineering, gây ảnh hưởng nghiêm trọng đến an toàn thông tin.
Vi phạm quy định và chính sách nội bộ
Việc sử dụng AI ngoài luồng cũng có thể khiến doanh nghiệp rơi vào tình trạng không tuân thủ các quy định về bảo vệ dữ liệu như GDPR, HIPAA hoặc các chính sách nội bộ. Trong nhiều trường hợp, chỉ một hành động nhỏ như chia sẻ dữ liệu qua công cụ AI bên thứ ba cũng có thể dẫn đến hậu quả pháp lý, ảnh hưởng đến uy tín và tài chính của tổ chức.
Thiếu kiểm soát và minh bạch trong vận hành
Shadow AI thường nằm ngoài hệ thống quản lý CNTT, khiến doanh nghiệp không thể theo dõi, kiểm soát hoặc đánh giá mức độ rủi ro. Điều này làm giảm khả năng phát hiện sớm các vấn đề bảo mật hoặc sai lệch trong dữ liệu. Không chỉ vậy, các mô hình AI không được kiểm soát có thể tạo ra kết quả thiên vị hoặc thiếu chính xác, ảnh hưởng trực tiếp đến quyết định kinh doanh. Trong trường hợp xảy ra sự cố, việc xác định trách nhiệm cũng trở nên khó khăn do thiếu tính minh bạch trong quá trình sử dụng.
Nguy cơ từ mã độc và tấn công mạng
Một rủi ro ít được chú ý nhưng đặc biệt nguy hiểm là việc sử dụng các công cụ AI không đáng tin cậy. Những nền tảng này có thể chứa mã độc hoặc bị khai thác để xâm nhập vào hệ thống nội bộ. Ngoài ra, tội phạm mạng cũng có thể tận dụng AI để thực hiện các cuộc tấn công ransomware, mã hóa dữ liệu và yêu cầu tiền chuộc. Trong một số trường hợp, các mô hình AI mã nguồn mở hoặc không rõ nguồn gốc còn có thể bị “cài cắm” lỗi hoặc dữ liệu sai lệch, dẫn đến những quyết định kinh doanh thiếu chính xác và gây thiệt hại lâu dài.
Một số ví dụ điển hình về Shadow AI trong doanh nghiệp
Shadow AI không phải lúc nào cũng xuất hiện dưới dạng những rủi ro rõ ràng. Ngược lại, nó thường bắt đầu từ những hành động rất “bình thường” trong công việc hằng ngày – cho đến khi vấn đề thực sự xảy ra.
Ví dụ, một Product Owner có thể sử dụng Claude để tóm tắt một bản kế hoạch chiến lược nội bộ trước khi gửi cho đối tác. Tuy nhiên, tài liệu này lại chứa các thông tin chưa công bố như timeline sản phẩm hay danh sách đối tác. Nội dung sau khi xử lý không được kiểm tra lại, và toàn bộ lịch sử prompt vẫn được lưu trữ trên hệ thống bên ngoài mà doanh nghiệp không hề kiểm soát.
Ở một trường hợp khác, một lập trình viên tự xây dựng chatbot nội bộ để hỗ trợ truy xuất dữ liệu khách hàng. Họ sử dụng OpenRouter để kết nối với các mô hình AI mã nguồn mở thông qua API. Vì dự án không yêu cầu thay đổi hạ tầng chính thức, nó cũng không đi qua quy trình kiểm duyệt bảo mật, vô tình tạo ra một “lỗ hổng” tiềm ẩn trong hệ thống.
Hoặc trong lĩnh vực marketing, một designer có thể sử dụng các công cụ AI của Canva để tạo hình ảnh cho chiến dịch truyền thông dựa trên nội dung thương hiệu. Các prompt có thể chứa tên sản phẩm hoặc thông tin chiến dịch, sau đó được xuất thành tài sản truyền thông và sử dụng rộng rãi. Tuy nhiên, đội ngũ lại mặc định rằng việc này nằm trong phạm vi hợp đồng SaaS tiêu chuẩn mà không hề kiểm tra lại với bộ phận pháp lý hay mua sắm.
Các biện pháp kiểm soát và phòng ngừa rủi ro của Shadow AI
Để giảm thiểu rủi ro từ Shadow AI, doanh nghiệp không thể chỉ “cấm đoán” mà cần xây dựng một chiến lược quản trị AI bài bản và thực tế hơn.
1. Xây dựng chính sách quản lý AI rõ ràng
Doanh nghiệp cần thiết lập một khung chính sách cụ thể về việc sử dụng AI trong tổ chức, bao gồm danh sách các công cụ được phép sử dụng, những trường hợp cần xin phê duyệt và các yêu cầu liên quan đến bảo mật dữ liệu. Việc này giúp tạo ra một “ranh giới an toàn” để nhân viên có thể ứng dụng AI mà không gây rủi ro cho hệ thống.
2. Nâng cao nhận thức và đào tạo nhân viên
Con người vẫn là yếu tố cốt lõi trong bài toán Shadow AI. Vì vậy, việc đào tạo để nhân viên hiểu rõ các nguy cơ (rò rỉ dữ liệu, vi phạm quy định,…) và cách sử dụng AI đúng cách là điều cần thiết. Khi được trang bị kiến thức đầy đủ, họ sẽ chủ động sử dụng AI một cách có trách nhiệm thay vì “dùng lén” như trước.
3. Triển khai hệ thống giám sát và kiểm soát
Bên cạnh chính sách, doanh nghiệp cũng cần các công cụ công nghệ để theo dõi việc sử dụng AI trong nội bộ. Những hệ thống này giúp phát hiện sớm các hoạt động bất thường, từ đó kịp thời xử lý trước khi rủi ro trở thành sự cố nghiêm trọng.
Hiện nay, nhiều doanh nghiệp đã bắt đầu sử dụng các công cụ thuộc nhóm CASB (Cloud Access Security Broker) hoặc DLP (Data Loss Prevention) để giám sát việc truy cập và chia sẻ dữ liệu qua các nền tảng AI. Ví dụ, các giải pháp như Microsoft Defender for Cloud Apps hay Netskope cho phép doanh nghiệp phát hiện nhân viên đang truy cập các công cụ AI như Chat GPT hoặc các nền tảng GenAI khác, từ đó thiết lập cảnh báo hoặc giới hạn hành vi sử dụng.
Ngoài ra, một số nền tảng bảo mật mới còn tích hợp khả năng kiểm soát riêng cho AI, chẳng hạn như Zscaler hoặc Palo Alto Networks Prisma AI Security, giúp theo dõi việc truyền dữ liệu nhạy cảm vào các mô hình AI và ngăn chặn các prompt có chứa thông tin quan trọng của doanh nghiệp.
4. Cung cấp giải pháp AI chính thức
Một trong những cách hiệu quả nhất để hạn chế Shadow AI là “mở đường” thay vì “chặn đường”. Doanh nghiệp nên chủ động cung cấp các công cụ AI đã được kiểm duyệt và tích hợp sẵn vào quy trình làm việc, giúp nhân viên vừa tận dụng được lợi ích của AI, vừa đảm bảo an toàn dữ liệu.
Ngoài ra, nhằm ngăn chặn các mối de dọa và bảo vệ được các ứng dụng AI, giải pháp về tường lửa AI (AI Firewall) là một biện pháp kiểm soát hiệu quả. Tường lửa AI sẽ tự động phân tích hành vi, ngăn chặn vấn đề rò rỉ dữ liệu, và bảo mật thông tin cho doanh nghiệp theo thời gian thực.
Tìm hiểu thêm về: AI Agent là gì? Vì sao đang trở thành xu hướng công nghệ nổi bật
Lời kết
Shadow AI giờ đây không còn là một khái niệm mới, mà đã trở thành một thách thức thực tế đối với nhiều doanh nghiệp trong năm 2025. Khi ranh giới giữa đổi mới công nghệ và rủi ro ngày càng mong manh, việc kiểm soát AI không chỉ là vấn đề kỹ thuật mà còn là bài toán quản trị tổng thể.
Doanh nghiệp muốn tận dụng được sức mạnh của AI một cách bền vững sẽ cần kết hợp đồng thời nhiều yếu tố: từ xây dựng chính sách, triển khai công nghệ giám sát, cho đến đào tạo con người. Chỉ khi đó, tổ chức mới có thể vừa đổi mới hiệu quả, vừa bảo vệ được hệ thống và dữ liệu của mình trước những rủi ro ngày càng phức tạp từ Shadow AI.
SE WHITE hy vọng bài viết này phần nào đem đến cho các bạn góc nhìn chuyên môn và kiến thức xung quanh vấn đề về Shadow AI hiện nay!
Trích nguồn:
- Food and Agriculture Organization of the United Nations. (2017). Shadow AI: Mặt tối của thời dùng AI không kiểm soát. VnExpress.
- Cục An toàn thông tin. (2025). Shadow AI và một số thách thức đối với an ninh mạng trong năm 2025. An toàn thông tin.
- Microsoft. (2024). Rate of using AI to work in Viet Nam is higher than world’s average. Vietnam News.
