Có tin Cục trưởng an ninh mạng Mỹ đã tải tài liệu nhạy cảm của chính phủ lên ChatGPT

 (dexerto.com)
2 điểm bởi GN⁺ 2026-01-30 | 1 bình luận | Chia sẻ qua WhatsApp
  • Có tin quyền giám đốc Cơ quan An ninh mạng và Hạ tầng Mỹ (CISA) đã tải tài liệu hợp đồng chính phủ ở mức nhạy cảm lên ChatGPT
  • Tài liệu này được đánh dấu “For Official Use Only”, làm dấy lên cảnh báo an ninh nội bộ và cuộc điều tra liên bang
  • Được biết ông đã yêu cầu quyền ngoại lệ đặc biệt để truy cập ChatGPT, vốn bị chặn đối với các nhân viên khác của Bộ An ninh Nội địa
  • Người phát ngôn của CISA cho biết việc sử dụng “ngắn hạn và có giới hạn”, đồng thời quy trình đánh giá thiệt hại đã được triển khai sau vụ việc
  • Vụ việc này xảy ra trong bối cảnh chính phủ liên bang mở rộng chính sách sử dụng AI, qua đó làm nổi bật tầm quan trọng của quản lý an ninh AI trong khu vực công

Tổng quan vụ tải lên ChatGPT

  • Politico đưa tin Madhu Gottumukkala, quyền giám đốc CISA, cơ quan an ninh mạng hàng đầu của chính phủ Mỹ, đã tải tài liệu chính phủ nhạy cảm lên phiên bản công khai của ChatGPT
    • Tài liệu được tải lên là tài liệu liên quan đến hợp đồng chính phủ có đánh dấu “For Official Use Only
    • Sự việc xảy ra vào mùa hè năm 2025, và hệ thống giám sát an ninh mạng nội bộ đã phát hiện vào đầu tháng 8
  • Sau khi bị phát hiện, Bộ An ninh Nội địa Mỹ (DHS) đã lập tức khởi động đánh giá thiệt hại (damage assessment) để điều tra liệu có xảy ra lộ lọt thông tin hay không
  • Do phiên bản công khai của ChatGPT chia sẻ dữ liệu người dùng với OpenAI, đã xuất hiện lo ngại về khả năng dữ liệu nhạy cảm bị rò rỉ ra ngoài mạng nội bộ

Phản ứng của CISA và lập trường chính thức

  • Người phát ngôn của CISA, Marci McCarthy, giải thích rằng Gottumukkala “đã được phép sử dụng ChatGPT dưới sự kiểm soát của DHS
    • Bà nhấn mạnh việc sử dụng là “ngắn hạn và có giới hạn
  • Gottumukkala giữ vai trò quyền giám đốc từ tháng 5/2025, trong khi Thượng viện vẫn chưa phê chuẩn Sean Plankey làm giám đốc chính thức
  • Politico cũng đề cập đến các trường hợp có vấn đề khác trong thời gian ông tại nhiệm
    • Ông từng trượt bài kiểm tra phản gián (polygraph) để được tiếp cận thông tin cấp cao
    • Tuy nhiên, tại một phiên điều trần gần đây trước Quốc hội, ông đã bác bỏ và phủ nhận đánh giá này

Chính sách AI của chính phủ liên bang và thời điểm vụ việc

  • Vụ việc xảy ra vào thời điểm chính quyền Donald Trump thúc đẩy việc áp dụng AI trên toàn bộ các cơ quan liên bang
    • Vào tháng 12/2025, Tổng thống Trump đã ký sắc lệnh hành pháp nhằm hạn chế các quy định AI ở cấp bang
    • Lầu Năm Góc (Pentagon) đã công bố chiến lược “AI-first” để mở rộng việc ứng dụng trí tuệ nhân tạo trong lĩnh vực quân sự
  • Trong dòng chảy chính sách đó, vụ việc này được chú ý như một ví dụ cho thấy rủi ro an ninh khi sử dụng AI trong khu vực công

Cảnh báo an ninh nội bộ và quy trình điều tra

  • Ngay sau khi hệ thống giám sát an ninh mạng phát hiện việc tải dữ liệu lên ChatGPT, cảnh báo nội bộ đã được phát đi
    • Sau đó DHS đã mở điều tra chính thức để đánh giá liệu thông tin có bị lộ hay không và mức độ thiệt hại
  • Theo báo cáo, quyền truy cập ChatGPT vốn bị chặn đối với nhân viên DHS thông thường, nhưng Gottumukkala đã có được quyền truy cập thông qua yêu cầu ngoại lệ đặc biệt
  • Trong nội bộ liên bang đã xuất hiện lo ngại rằng cách OpenAI xử lý dữ liệu có thể xung đột với chính sách bảo mật mạng nội bộ của chính phủ

Tác động và ý nghĩa của vụ việc

  • Vụ việc này cho thấy ngay cả các quan chức an ninh cấp cao của chính phủ liên bang cũng có thể đối mặt với rủi ro bảo mật khi sử dụng công cụ AI
  • Điều này làm nổi bật nhu cầu siết chặt hướng dẫn sử dụng AI trong cơ quan công quyềnrà soát lại hệ thống bảo vệ dữ liệu
  • Trong bối cảnh việc triển khai công nghệ AI đang tăng tốc, tầm quan trọng của kiểm soát bảo mật và quy trình sử dụng minh bạch càng được nhấn mạnh

Bài viết liên quan

1 bình luận

 
GN⁺ 2026-01-30
Ý kiến trên Hacker News

  • Nhìn tình huống này lại càng thấy cần một LLM dành riêng cho GovCloud
    Thật bức bối khi chính phủ trông như đang được điều hành bởi kiểu “con cháu của người quen được bổ nhiệm”
    Cứ liên tục nhớ đến miniseries Chernobyl của HBO — như cảnh bộ trưởng khoa học từng xuất thân từ nhà máy giày, cảm giác như giờ đây là thời đại không ai còn cần phải giỏi công việc của mình nữa

    • Theo bài báo, ChatGPT bị chặn với hầu hết nhân viên DHS, và chỉ riêng Gottumukkala được cấp phép đặc biệt để dùng ở mức hạn chế
      Vậy mà vẫn bị phát hiện trong đợt kiểm tra bảo mật, điều đó có nghĩa là chính phủ đã đánh giá việc dùng rộng rãi là không an toàn
      Họ cũng đang phát triển mô hình dành riêng cho chính phủ là ChatGPT Gov cùng với OpenAI
    • Đặt người kém năng lực vào vị trí quyền lực là một công cụ chính trị cổ điển để bảo đảm lòng trung thành
      Vì vị trí đó không có được nhờ năng lực nên họ chỉ trung thành với người bổ nhiệm mình, và không còn quan tâm đến chất lượng công việc
      Lãnh đạo càng yếu càng hay dùng cách này, và đáng buồn là nó khá hiệu quả
    • Nói “con cháu của người quen được bổ nhiệm” thì cũng không thể bỏ qua Large Adult Sons
      Có thể xem meme liên quan tại bài báo của The New Yorkertrang KnowYourMeme
    • Có vẻ đây là chiến lược có chủ ý nhằm làm cho chính phủ trông bất tài, để rồi công việc cuối cùng được giao cho các công ty tư nhân do bạn bè hay người thân điều hành
      Làm vậy thì việc rút ruột nguồn lực sẽ hiệu quả hơn nhiều
    • Nhân tiện, Chernobyl của HBO là hư cấu. Thực tế không có cảnh kiểu “giám đốc nhà máy giày” ngồi uống vodka như vậy

  • Mức độ op-sec của chính quyền này lỏng lẻo gần như ở tầm ‘Barney Fife’

    • Đội cận vệ của Maduro ở Venezuela có lẽ sẽ hơi phản đối nhận xét đó
    • Dù sao thì Fife vẫn là một người có ý tốt. Hơn nữa cấp trên của ông ta còn không cho mang súng
    • Sự thiếu năng lực nói chung của chính quyền này cứ như trình độ của một ‘đứa trẻ dùng keo dán thủ công’
    • Có khi sự bất tài này không phải lỗi mà là tính năng
    • Tôi cũng làm trong mảng mua sắm và bán hàng 10 năm rồi, đọc chuyện này chỉ thấy buồn cười
      Một người không hiểu quy trình mua sắm mà định giải quyết bằng cách tìm trên mạng thì cũng chẳng khác gì vị lãnh đạo năm 2007 đi tìm “RFP là gì?”

  • Thật lạ khi ai đó đã có thể dùng ChatGPT Pro bảo mật trên nền Azure mà lại đi dùng 4o công khai
    Chính phủ vốn đã có môi trường bảo mật tách biệt
    Cuối cùng ông ta chỉ được cấp phép để dùng ở mức “tài liệu không chính thức”, nhưng một sai sót cơ bản như vậy khó có thể chấp nhận ở cương vị lãnh đạo CISA

    • Nhưng nếu ông ta chỉ là con rối được cài vào, thì có lẽ ông ta cũng chẳng biết rõ về các công cụ như thế

  • Tốt nhất nên đọc nguyên văn ở bài Politico

  • Người ở trên lúc nào cũng là người phá luật
    Tôi biết vài người từng làm trong mảng liên lạc quân sự, họ nói các sĩ quan cấp cao thường phớt lờ quy trình bảo mật chỉ vì thấy phiền

  • Trước giờ người ta vốn đã bất cẩn trên mạng xã hội công khai rồi
    Khi có LLM, xu hướng này có lẽ sẽ còn tệ hơn

    • Nguy cơ thực sự nằm ở đây. Hiện giờ thậm chí còn không có cách nào yêu cầu xóa dữ liệu khỏi LLM

  • Trong các ngành chịu quy định ITAR/EAR (hàng không vũ trụ, quốc phòng, v.v.), việc chặn truy cập ChatGPT.com là bắt buộc
    Thật sốc khi chuyện đó trước đây lại chưa được áp dụng

    • Đồng ý. Nhưng quy định ITAR và EAR đặc biệt mơ hồ trong lĩnh vực giáo dục đại học
    • Theo báo cáo, Gottumukkala đã yêu cầu miễn trừ đặc biệt để được truy cập ChatGPT

  • Mức năng lực trong vụ này đúng như người ta dự đoán

    • Ông ta là người được Kristi Noem trực tiếp bổ nhiệm
      Theo hồ sơ Wikipedia, ông được bổ nhiệm làm phó bộ trưởng DHS vào tháng 4/2025 và bắt đầu làm quyền giám đốc CISA từ tháng 5

  • Ngồi tắt từng thiết lập cookie một cũng khá thú vị
    Trong số 1668 công ty đối tác, một phần ba tự nhận là có ‘lợi ích hợp pháp’
    Thấy Privacy Badger chỉ chặn 19 cái thì có khi một số bên đang lấp chỗ trống bằng cookie giả
    Cuối cùng tôi lại quên mất là mình định đọc bài báo

    • Cũng có thể cùng một cookie được chia sẻ giữa nhiều đối tác, hoặc dữ liệu thu thập được bị chuyển tiếp đi
      Đây không đơn thuần là ‘luật cookie’ mà là luật về chia sẻ dữ liệu cá nhân
      Ví dụ, nếu muốn bán SSN và email của tôi cho 1668 công ty thì phải có sự đồng ý của tôi với từng bên

  • Có vẻ cuối cùng chính phủ sẽ cố tích hợp ép buộc thứ này vào Grok để giải quyết vấn đề

    • Có lẽ DOGE đã lấy được hết dữ liệu họ cần rồi, nhưng chắc họ vẫn sẽ muốn nhiều hơn nữa