[비즈한국] OpenAI, đơn vị vận hành dịch vụ trí tuệ nhân tạo (AI) tạo sinh ChatGPT, năm nay đã lần đầu tiên nằm trong danh sách các đối tượng bắt buộc phải 'công bố thông tin bảo mật' tại Hàn Quốc và đã chính thức tiết lộ hiện trạng bảo mật của mình. Mặc dù công ty đã giải thích tương đối chi tiết về đầu tư an ninh mạng, hệ thống bảo mật dựa trên AI và vận hành tổ chức, nhưng lại không công bố các chỉ số định lượng then chốt như quy mô đầu tư vào công nghệ thông tin (IT) và bảo mật, cũng như số lượng nhân sự chuyên trách. Dù tuân theo logic 'vận hành theo tiêu chuẩn toàn cầu' vốn là điều mà các doanh nghiệp quốc tế thường áp dụng, nhưng đánh giá cho rằng tính minh bạch trong công tác bảo mật vẫn là một thách thức cần giải quyết.

Công bố chi tiết các hoạt động bảo mật xứng tầm doanh nghiệp AI
Vào ngày 30 tháng trước, thông qua bản công bố thông tin bảo mật đầu tiên tại Hàn Quốc, OpenAI đã tiết lộ hệ thống bảo mật dựa trên AI, phương thức vận hành và các hoạt động nghiên cứu an ninh mạng. Ủy ban An toàn và Bảo mật trực thuộc Hội đồng quản trị, Trung tâm điều hành bảo mật (SOC) hoạt động 24/7 và việc đánh giá thường xuyên của đội ngũ Red Team cùng công ty chuyên về bảo mật SpecterOps cũng lần đầu tiên được công bố. Ngược lại, các con số then chốt để người dùng có thể đối chiếu khách quan vẫn rất khó để xác định.
Hệ thống công bố thông tin bảo mật của Cơ quan Internet và An ninh Hàn Quốc (KISA) là quy định dựa trên 'Luật thúc đẩy ngành công nghiệp bảo mật thông tin', yêu cầu các doanh nghiệp phải công khai quy mô đầu tư vào bảo mật, nhân sự chuyên trách và tình hình hoạt động bảo mật. Thông qua đây, người dùng có thể kiểm chứng mức độ bảo mật của doanh nghiệp. Năm nay, có 693 công ty nằm trong danh sách phải công bố thông tin, tăng 27 công ty so với năm ngoái. Các doanh nghiệp này được chọn lựa hàng năm dựa trên tiêu chuẩn pháp định như lĩnh vực kinh doanh, doanh thu và số lượng người dùng.
Một quan chức của KISA giải thích: "Đối tượng phải công bố thông tin bắt buộc được lựa chọn theo các tiêu chuẩn quy định trong luật, và OpenAI cũng đã đáp ứng các tiêu chuẩn này nên nằm trong danh sách năm nay". Theo Mobile Index, tính đến tháng 1 năm nay, số người dùng hoạt động hàng tháng (MAU) của ChatGPT tại Hàn Quốc đạt khoảng 14,3 triệu người. OpenAI cũng nhiều lần nhấn mạnh tầm quan trọng của thị trường Hàn Quốc. Jason Kwon, Giám đốc chiến lược (CSO) của OpenAI, từng phát biểu khi ra mắt chi nhánh tại Hàn Quốc vào tháng 9 năm ngoái rằng: "Hàn Quốc là quốc gia có số lượng người dùng ChatGPT đông đảo nhất khu vực châu Á - Thái Bình Dương".
Các hoạt động bảo mật của OpenAI tập trung vào việc hỗ trợ hệ sinh thái bảo mật AI và tăng cường hệ thống kiểm soát nội bộ. Thông qua chương trình trợ cấp an ninh mạng bắt đầu từ năm 2023, họ hỗ trợ nghiên cứu kỹ thuật bảo mật dựa trên AI, và năm nay đã mở rộng phạm vi hỗ trợ sang các lĩnh vực đặc thù của AI tạo sinh như chống tấn công Prompt Injection (tiêm câu lệnh) và bảo mật tác tử (Agentic Security). Prompt Injection là kỹ thuật tấn công khiến AI thực hiện các lệnh ngoài ý muốn thông qua các đầu vào độc hại. Mức thưởng cho các nhà nghiên cứu báo cáo lỗ hổng bảo mật (Bug Bounty) cũng đã được nâng lên tối đa 100.000 USD (khoảng 150 triệu Won).
Quản trị bảo mật cũng được tăng cường. Công ty cho biết đã thành lập Ủy ban An toàn và Bảo mật trực thuộc Hội đồng quản trị vào năm ngoái để xem xét tính an toàn và bảo mật của các mô hình AI chính, cho phép hoãn phát hành nếu cần thiết. Ngoài ra, họ còn giải thích về việc vận hành hệ thống ứng phó thường trực thông qua trung tâm điều hành bảo mật 24/7 và các đánh giá từ đội Red Team bên ngoài.
Đồng thời, công ty khẳng định vẫn duy trì các chứng chỉ bảo mật quốc tế, thiết kế bảo mật dựa trên mô hình Zero Trust (không tin tưởng bất cứ ai), thực hiện kiểm thử xâm nhập hàng năm và đào tạo bảo mật cho nhân viên. Các hạng mục hoạt động bảo mật còn bao gồm đầu tư vào startup an ninh mạng Adaptive Security, phát hành báo cáo đe dọa (Threat Report) phân tích các trường hợp lạm dụng AI, và nghiên cứu phát hiện/bổ sung lỗ hổng trong phần mềm mã nguồn mở.

Ngược lại, về hiện trạng đầu tư và nhân lực, tất cả đều được thay thế bằng ghi chú đặc biệt: "Đầu tư của công ty chúng tôi được thực hiện theo tiêu chuẩn toàn cầu". Tổng số vốn đầu tư IT, vốn đầu tư bảo mật, tổng số nhân viên, số nhân sự IT và nhân sự chuyên trách bảo mật đều để trống, chỉ công bố chức danh của Giám đốc bảo mật thông tin (CISO) và Giám đốc bảo vệ thông tin cá nhân (CPO), cùng việc họ có phải là lãnh đạo cấp cao hay không và có kiêm nhiệm hay không.
Thông tin định tính tương đối đầy đủ… nhưng thông tin quan trọng lại “theo tiêu chuẩn toàn cầu”
Phương thức công bố với các con số then chốt bị để trống không phải là đặc điểm riêng của OpenAI. Google, Meta, Amazon Web Services (AWS), TikTok, Alibaba, AliExpress, Tencent, X (Twitter cũ) – những đơn vị đã thực hiện công bố thông tin bảo mật trong nhiều năm – cũng thay thế các số liệu về vốn đầu tư IT, đầu tư bảo mật và quy mô nhân sự bằng các ghi chú rằng mọi thứ được “vận hành ở quy mô toàn cầu” hoặc giải thích rằng khó có thể tính toán riêng biệt. Thay vào đó, cách làm phổ biến là tập trung công bố các chính sách bảo mật, chứng chỉ và các hoạt động bảo mật ở quy mô toàn cầu.
Tuy nhiên, không phải doanh nghiệp toàn cầu nào cũng công bố thông tin ở cùng một mức độ. Netflix, mặc dù giải thích rằng khó có thể tính toán số liệu riêng cho chi nhánh Hàn Quốc, nhưng vẫn công bố cụ thể: tổng vốn đầu tư IT của tập đoàn là 4,8264 nghìn tỷ Won, đầu tư bảo mật 258,7 tỷ Won, tổng số nhân viên 16.000 người, nhân sự IT 5.534 người và nhân sự chuyên trách bảo mật 269 người. Họ cũng giải thích rằng tổ chức bảo mật trung ương chịu trách nhiệm thực hiện các công việc bảo mật toàn cầu bao gồm cả dịch vụ tại Hàn Quốc.
Các chi nhánh của Microsoft tại Hàn Quốc cũng cho biết khó tính toán riêng vốn đầu tư, nhưng đã công bố số liệu của công ty mẹ với 228.000 nhân viên toàn thời gian trên toàn cầu, hơn 34.000 kỹ sư an ninh mạng chuyên trách và 81 nhân viên tại chi nhánh Hàn Quốc. Họ cũng giải thích tương đối chi tiết về vai trò CISO của chi nhánh tại Hàn Quốc, hệ thống tổ chức CISO toàn cầu và vai trò của CPO.

Bản công bố đầu tiên của OpenAI nếu xét về thông tin định tính thì tương đối đầy đủ so với các doanh nghiệp toàn cầu khác. Tuy nhiên, quy mô đầu tư và nhân sự chuyên trách – những chỉ số trực tiếp nhất để người dùng so sánh mức độ bảo mật – vẫn rất khó xác định. Việc nhiều doanh nghiệp toàn cầu không công bố các hạng mục này đã liên tục bị chỉ trích là làm hạn chế hiệu quả của chế độ công bố thông tin bảo mật.
Đặc biệt, vì OpenAI có tỷ trọng người dùng tại Hàn Quốc cao và các trường hợp nhập dữ liệu nhạy cảm như tài liệu công việc, mã nguồn, thông tin cá nhân vào AI tạo sinh đang ngày càng tăng, nên đây là đơn vị thu hút sự quan tâm lớn của xã hội về bảo mật hơn cả các nền tảng toàn cầu thông thường. Vì lý do này, có những ý kiến cho rằng thay vì chỉ giải thích bằng cụm từ “tiêu chuẩn toàn cầu” để thay thế cho các chỉ số then chốt, họ cần chủ động công bố thông tin ở mức độ mà người dùng có thể tham khảo.
Mặt khác, với việc OpenAI lần đầu tiên nằm trong diện phải công bố, dư luận cũng quan tâm đến khả năng các nhà cung cấp AI tạo sinh khác có nghĩa vụ công bố trong tương lai hay không. Gần đây, khi thị trường AI tạo sinh trở nên đa dạng hơn, không còn xoay quanh OpenAI, số lượng người dùng Claude của Anthropic và Gemini của Google tại Hàn Quốc cũng đang tăng nhanh. Meta, TikTok, X nằm trong danh sách dựa trên số lượng người dùng trong nước, còn Tencent dựa trên tiêu chuẩn nhà cung cấp dịch vụ điện toán đám mây. Microsoft đang thực hiện công bố thông tin vì đáp ứng cả hai tiêu chuẩn về nhà cung cấp điện toán đám mây và số lượng người dùng.
Theo phân tích dựa trên dữ liệu người dùng của Mindlogic, tỷ trọng sử dụng mô hình GPT đã giảm từ 85,7% vào tháng 9 năm ngoái xuống còn 34,8% vào tháng 5 năm nay, trong khi Claude tăng từ 5,7% lên 36% trong cùng kỳ. Gemini cũng duy trì mức tỷ trọng người dùng khoảng 20%. Cần chú ý liệu trong tương lai, các doanh nghiệp AI khác khi đáp ứng các tiêu chuẩn pháp định như số lượng người dùng có nằm trong diện phải công bố thông tin bảo mật hay không.
Một quan chức của KISA cho biết: "Các doanh nghiệp toàn cầu thường gặp khó khăn trong việc tính toán riêng quy mô đầu tư hoặc nhân lực theo tiêu chuẩn chi nhánh trong nước". Họ nói thêm: "Thông qua trao đổi với Bộ Khoa học và CNTT, chúng tôi đang hướng dẫn các doanh nghiệp toàn cầu tập trung công bố các hoạt động bảo mật. Dù khó xác định quy mô đầu tư định lượng của các doanh nghiệp toàn cầu, nhưng các thông tin định tính như chứng chỉ bảo mật và hoạt động an ninh vẫn có thể được xác nhận thông qua bản công bố".