Ngành bán lẻ là một trong những ngành dẫn đầu trong việc áp dụng AI tạo sinh, nhưng một báo cáo mới nhấn mạnh các chi phí bảo mật đi kèm với nó.

Theo công ty an ninh mạng Netskope, ngành bán lẻ đã gần như áp dụng rộng rãi công nghệ này, với 95% tổ chức hiện đang sử dụng các ứng dụng AI tạo sinh. Đây là một bước nhảy vọt lớn từ mức 73% chỉ một năm trước, cho thấy các nhà bán lẻ đang nhanh chóng nỗ lực như thế nào để tránh bị bỏ lại phía sau.

Tuy nhiên, cơn sốt vàng AI này đi kèm với một mặt tối. Khi các tổ chức tích hợp những công cụ này vào hoạt động của mình, họ đang tạo ra một bề mặt mới khổng lồ cho các cuộc tấn công mạng và rò rỉ dữ liệu nhạy cảm.

Các phát hiện của báo cáo cho thấy một lĩnh vực đang trong quá trình chuyển đổi, từ việc áp dụng sớm hỗn loạn sang một cách tiếp cận có kiểm soát hơn, do doanh nghiệp dẫn dắt. Đã có sự thay đổi từ việc nhân viên sử dụng tài khoản AI cá nhân, giảm hơn một nửa từ 74% xuống 36% kể từ đầu năm. Thay vào đó, việc sử dụng các công cụ GenAI được công ty phê duyệt đã tăng hơn gấp đôi, từ 21% lên 52% trong cùng khoảng thời gian. Đây là dấu hiệu cho thấy các doanh nghiệp đang nhận thức được mối nguy hiểm của “AI bóng tối” và cố gắng kiểm soát tình hình.

Trong cuộc chiến giành quyền kiểm soát máy tính để bàn bán lẻ, ChatGPT vẫn là Vua, được 81% tổ chức sử dụng. Tuy nhiên, sự thống trị của nó không phải là tuyệt đối. Google Gemini đã đạt được 60% tỷ lệ áp dụng, và các công cụ Copilot của Microsoft đang bám sát với tỷ lệ 56% và 51% tương ứng. Mức độ phổ biến của ChatGPT gần đây đã chứng kiến ​​lần sụt giảm đầu tiên, trong khi việc sử dụng Microsoft 365 Copilot đã tăng vọt, có thể là nhờ sự tích hợp sâu sắc của nó với các công cụ năng suất mà nhiều nhân viên sử dụng hàng ngày.

Ẩn dưới bề mặt của việc áp dụng AI tạo sinh này của ngành bán lẻ là một cơn ác mộng bảo mật ngày càng tăng. Điều khiến những công cụ này hữu ích – khả năng xử lý thông tin của chúng – cũng là điểm yếu lớn nhất của chúng. Các nhà bán lẻ đang chứng kiến lượng dữ liệu nhạy cảm đáng báo động được đưa vào chúng.

Loại dữ liệu phổ biến nhất bị lộ là mã nguồn của chính công ty, chiếm 47% tổng số vi phạm chính sách dữ liệu trong các ứng dụng GenAI. Xếp sau là dữ liệu được quản lý, như thông tin khách hàng và kinh doanh bí mật, ở mức 39%.

Để phản ứng, ngày càng nhiều nhà bán lẻ đang đơn giản là cấm các ứng dụng mà họ cho là quá rủi ro. Ứng dụng thường xuyên bị đưa vào danh sách đen nhất là ZeroGPT, với 47% tổ chức cấm nó vì lo ngại nó lưu trữ nội dung người dùng và thậm chí đã bị phát hiện chuyển hướng dữ liệu đến các trang web của bên thứ ba.

Sự thận trọng mới này đang thúc đẩy ngành bán lẻ hướng tới các nền tảng AI tạo sinh cấp doanh nghiệp nghiêm túc hơn từ các nhà cung cấp đám mây lớn. Các nền tảng này cung cấp khả năng kiểm soát tốt hơn nhiều, cho phép các công ty lưu trữ các mô hình riêng tư và xây dựng các công cụ tùy chỉnh của riêng họ.

Cả OpenAI thông qua Azure và Amazon Bedrock đều đang dẫn đầu, mỗi nền tảng được 16% công ty bán lẻ sử dụng. Nhưng đây không phải là giải pháp vạn năng; một cấu hình sai đơn giản có thể vô tình kết nối một AI mạnh mẽ trực tiếp với “vương miện” của công ty, tạo ra tiềm năng cho một vi phạm nghiêm trọng.

Mối đe dọa không chỉ đến từ việc nhân viên sử dụng AI trong trình duyệt của họ. Báo cáo cho thấy 63% tổ chức hiện đang kết nối trực tiếp với API của OpenAI, nhúng AI sâu vào các hệ thống phụ trợ và quy trình làm việc tự động của họ.

Rủi ro đặc thù AI này là một phần của mô hình đáng lo ngại hơn về việc vệ sinh bảo mật đám mây kém. Những kẻ tấn công ngày càng sử dụng các tên tuổi đáng tin cậy để phân phối phần mềm độc hại, biết rằng một nhân viên có nhiều khả năng nhấp vào một liên kết từ một dịch vụ quen thuộc. Microsoft OneDrive là thủ phạm phổ biến nhất, với 11% nhà bán lẻ bị tấn công bởi phần mềm độc hại từ nền tảng này mỗi tháng, trong khi trung tâm phát triển GitHub được sử dụng trong 9.7% các cuộc tấn công.

Vấn đề cố hữu về việc nhân viên sử dụng các ứng dụng cá nhân tại nơi làm việc tiếp tục đổ thêm dầu vào lửa. Các trang mạng xã hội như Facebook và LinkedIn được sử dụng trong gần như mọi môi trường bán lẻ (lần lượt là 96% và 94%), cùng với các tài khoản lưu trữ đám mây cá nhân. Chính trên các dịch vụ cá nhân không được phê duyệt này mà các vụ rò rỉ dữ liệu tồi tệ nhất xảy ra. Khi nhân viên tải tệp lên các ứng dụng cá nhân, 76% các vi phạm chính sách phát sinh liên quan đến dữ liệu được quản lý.

Đối với các nhà lãnh đạo bảo mật trong ngành bán lẻ, việc thử nghiệm AI tạo sinh một cách tùy tiện đã kết thúc. Các phát hiện của Netskope là một lời cảnh báo rằng các tổ chức phải hành động dứt khoát. Đã đến lúc phải có được khả năng hiển thị đầy đủ về tất cả lưu lượng truy cập web, chặn các ứng dụng có rủi ro cao và thực thi các chính sách bảo vệ dữ liệu nghiêm ngặt để kiểm soát thông tin nào có thể được gửi đi đâu.

Nếu không có sự quản trị đầy đủ, đổi mới tiếp theo có thể dễ dàng trở thành vụ vi phạm gây chấn động tiếp theo.