404 Not Found
Writer
Một kỹ sư phần mềm tại Israel bất ngờ nhận hàng loạt cuộc gọi lạ yêu cầu hỗ trợ một ứng dụng thanh toán mà người dùng này không hề liên quan. Trên các diễn đàn công nghệ, nhiều làn sóng phàn nàn xuất hiện khi các luật sư, nhà thiết kế sản phẩm hay thợ khóa bỗng dưng bị "khủng bố" điện thoại bởi những khách hàng xa lạ. Điểm chung duy nhất của các nạn nhân: Thông tin liên lạc của họ được cung cấp trực tiếp từ các chatbot trí tuệ nhân tạo (AI) như ChatGPT hay Gemini.
Sự trỗi dậy của AI tạo sinh không chỉ thay đổi cách con người làm việc, mà đang vô tình biến các mô hình này thành những "thám tử" số thiện nghệ, mở ra một chương mới đầy thách thức về bảo mật dữ liệu cá nhân.
Chiếc "kính lúp" vạn năng trên không gian số
Để hiểu đúng bản chất, cần sòng phẳng nhìn nhận rằng các công cụ AI không tự ý "ăn cắp" hay rò rỉ dữ liệu mật. Bản chất của các siêu mẫu ngôn ngữ (LLM) là được huấn luyện trên những kho tàng tri thức khổng lồ từ Internet, kết hợp với khả năng duyệt web theo thời gian thực.
Nói cách khác, số điện thoại hay địa chỉ nhà của cá nhân vốn đã nằm rải rác đâu đó trên không gian mạng: từ một bài đăng diễn đàn từ thập kỷ trước, một hồ sơ hành chính công khai, cho đến danh bạ doanh nghiệp. Trước đây, những mẩu thông tin này bị chôn vùi trong "biển" dữ liệu mà các công cụ tìm kiếm truyền thống như Google Search ít khi xếp hạng ở trang đầu.
Tuy nhiên, AI xuất hiện với vai trò như một chiếc kính lúp vạn năng. Bằng năng lực phân tích sâu và xâu chuỗi ngữ cảnh mượt mà, AI có thể quét qua hàng triệu trang web trong tích tắc để tổng hợp và dâng tận tay người vấn tin một kết quả hoàn chỉnh. AI không sinh ra dữ liệu, nó chỉ khiến việc tiếp cận những dữ liệu bị lãng quên trở nên dễ dàng hơn bao giờ hết.
Nói cách khác, số điện thoại hay địa chỉ nhà của cá nhân vốn đã nằm rải rác đâu đó trên không gian mạng: từ một bài đăng diễn đàn từ thập kỷ trước, một hồ sơ hành chính công khai, cho đến danh bạ doanh nghiệp. Trước đây, những mẩu thông tin này bị chôn vùi trong "biển" dữ liệu mà các công cụ tìm kiếm truyền thống như Google Search ít khi xếp hạng ở trang đầu.
Tuy nhiên, AI xuất hiện với vai trò như một chiếc kính lúp vạn năng. Bằng năng lực phân tích sâu và xâu chuỗi ngữ cảnh mượt mà, AI có thể quét qua hàng triệu trang web trong tích tắc để tổng hợp và dâng tận tay người vấn tin một kết quả hoàn chỉnh. AI không sinh ra dữ liệu, nó chỉ khiến việc tiếp cận những dữ liệu bị lãng quên trở nên dễ dàng hơn bao giờ hết.
Lỗ hổng từ những "bức tường lửa" danh nghĩa
Thực tế, các gã khổng lồ công nghệ đều thiết lập những rào cản nghiêm ngặt để bảo vệ dữ liệu định danh cá nhân (PII). Nếu một người hỏi thẳng chatbot về số điện thoại của một cá nhân, hệ thống thông thường sẽ ngay lập tức từ chối vì lý do an toàn.
Dù vậy, ranh giới giữa "thông tin công khai hợp pháp" và "quyền riêng tư" của AI vẫn còn rất mong manh và đầy mâu thuẫn. Bằng các thủ thuật lách luật (Jailbreak) hoặc khéo léo thay đổi ngữ cảnh truy vấn như yêu cầu tìm kiếm thông tin liên hệ công tác của một nhân sự cụ thể, người dùng vẫn có thể khiến AI "buột miệng" chia sẻ số điện thoại cá nhân.
Thêm vào đó, sự bất nhất trong hệ thống bảo mật giữa các nền tảng AI khác nhau cho thấy các bộ lọc an toàn hiện tại chỉ mang tính thời điểm. Việc các nhà nghiên cứu thỉnh thoảng vẫn tìm ra kẽ hở để khai thác số điện thoại từ AI là minh chứng cho thấy các tập đoàn công nghệ đang phải chạy đua trong một trò chơi "mèo đuổi chuột" không hồi kết để vá các lỗ hổng bảo mật.
Dù vậy, ranh giới giữa "thông tin công khai hợp pháp" và "quyền riêng tư" của AI vẫn còn rất mong manh và đầy mâu thuẫn. Bằng các thủ thuật lách luật (Jailbreak) hoặc khéo léo thay đổi ngữ cảnh truy vấn như yêu cầu tìm kiếm thông tin liên hệ công tác của một nhân sự cụ thể, người dùng vẫn có thể khiến AI "buột miệng" chia sẻ số điện thoại cá nhân.
Thêm vào đó, sự bất nhất trong hệ thống bảo mật giữa các nền tảng AI khác nhau cho thấy các bộ lọc an toàn hiện tại chỉ mang tính thời điểm. Việc các nhà nghiên cứu thỉnh thoảng vẫn tìm ra kẽ hở để khai thác số điện thoại từ AI là minh chứng cho thấy các tập đoàn công nghệ đang phải chạy đua trong một trò chơi "mèo đuổi chuột" không hồi kết để vá các lỗ hổng bảo mật.
Cuộc chiến không cân sức của người dùng
Khi quyền kiểm soát dữ liệu bị đe dọa, người dùng đang đứng trước những lựa chọn tương đối hạn chế và mang tính lý thuyết. Hiện tại, các ông lớn công nghệ đều cung cấp các cổng thông tin trực tuyến để người dùng gửi yêu cầu xóa bỏ dữ liệu cá nhân khỏi các mô hình AI. Tuy nhiên, quyền quyết định tối cao vẫn thuộc về nhà phát triển, và cơ chế này thường chỉ vận hành hiệu quả tại các khu vực có chế tài pháp lý cực kỳ khắt khe như Liên minh Châu Âu hay một số bang lớn tại Mỹ.
Đối với phần còn lại của thế giới, việc sử dụng các dịch vụ trả phí để xóa dữ liệu trung gian thường chỉ giải quyết được phần ngọn. Tại các quốc gia đang phát triển, dữ liệu phần lớn bị rò rỉ từ các vụ hack hệ thống hoặc nạn mua bán data lậu trên các nền tảng lén lút – những nơi nằm ngoài tầm quét của các công cụ bảo vệ bản quyền công nghệ.
Đối với phần còn lại của thế giới, việc sử dụng các dịch vụ trả phí để xóa dữ liệu trung gian thường chỉ giải quyết được phần ngọn. Tại các quốc gia đang phát triển, dữ liệu phần lớn bị rò rỉ từ các vụ hack hệ thống hoặc nạn mua bán data lậu trên các nền tảng lén lút – những nơi nằm ngoài tầm quét của các công cụ bảo vệ bản quyền công nghệ.
Cách chủ động nhận diện "vết chân số" trên Internet
Trước khi tìm cách phòng thủ, việc xác định mức độ hiển thị thông tin cá nhân trên Internet là điều cần thiết. Hiện nay, có một số phương pháp thực tế để kiểm tra xem số điện thoại đã từng bị đưa vào các tập dữ liệu công khai hay chưa.
Biện pháp nhanh nhất là tận dụng các nền tảng tra cứu rò rỉ dữ liệu toàn cầu uy tín, chẳng hạn như trang web Have I Been Pwned. Tại đây, người dùng chỉ cần nhập số điện thoại theo định dạng quốc tế (ví dụ bắt đầu bằng mã vùng 84 đối với Việt Nam), hệ thống sẽ tự động đối chiếu số này với kho dữ liệu khổng lồ từ các vụ hack tài khoản lớn trên thế giới như Facebook hay LinkedIn để trả về kết quả.
Bên cạnh đó, việc sử dụng kỹ thuật tìm kiếm nâng cao trên các công cụ truyền thống như Google cũng mang lại hiệu quả cao. Bằng cách đặt số điện thoại trong dấu ngoặc kép (ví dụ: "09xxxxxxxx") hoặc kết hợp với cú pháp giới hạn định dạng tài liệu như filetype:xlsx hay filetype
df, người dùng sẽ xác định được chính xác liệu thông tin của mình có đang bị phơi bày công khai trên các danh sách Excel, hồ sơ hành chính hay các bài đăng cũ trên mạng xã hội hay không.
Một cách thử nghiệm trực quan khác là kiểm tra năng lực thu thập dữ liệu của chính các chatbot AI bằng các câu lệnh truy vấn gián tiếp, ví dụ như: "Tìm thông tin liên hệ công khai của [Họ và tên] tại [Tên công ty]". Nếu các mô hình này trả về kết quả chính xác, điều đó chứng tỏ số điện thoại này đang hiển thị rõ ràng trên các trang web mà hệ thống có quyền quét qua. Cuối cùng, việc thử tra cứu số điện thoại trên các ứng dụng danh bạ cộng đồng có tính năng định danh như Truecaller cũng giúp nhận ra liệu số cá nhân có bị lộ do một tài khoản khác vô tình đồng bộ danh bạ lên máy chủ chung hay không.
Biện pháp nhanh nhất là tận dụng các nền tảng tra cứu rò rỉ dữ liệu toàn cầu uy tín, chẳng hạn như trang web Have I Been Pwned. Tại đây, người dùng chỉ cần nhập số điện thoại theo định dạng quốc tế (ví dụ bắt đầu bằng mã vùng 84 đối với Việt Nam), hệ thống sẽ tự động đối chiếu số này với kho dữ liệu khổng lồ từ các vụ hack tài khoản lớn trên thế giới như Facebook hay LinkedIn để trả về kết quả.
Bên cạnh đó, việc sử dụng kỹ thuật tìm kiếm nâng cao trên các công cụ truyền thống như Google cũng mang lại hiệu quả cao. Bằng cách đặt số điện thoại trong dấu ngoặc kép (ví dụ: "09xxxxxxxx") hoặc kết hợp với cú pháp giới hạn định dạng tài liệu như filetype:xlsx hay filetype
df, người dùng sẽ xác định được chính xác liệu thông tin của mình có đang bị phơi bày công khai trên các danh sách Excel, hồ sơ hành chính hay các bài đăng cũ trên mạng xã hội hay không.Một cách thử nghiệm trực quan khác là kiểm tra năng lực thu thập dữ liệu của chính các chatbot AI bằng các câu lệnh truy vấn gián tiếp, ví dụ như: "Tìm thông tin liên hệ công khai của [Họ và tên] tại [Tên công ty]". Nếu các mô hình này trả về kết quả chính xác, điều đó chứng tỏ số điện thoại này đang hiển thị rõ ràng trên các trang web mà hệ thống có quyền quét qua. Cuối cùng, việc thử tra cứu số điện thoại trên các ứng dụng danh bạ cộng đồng có tính năng định danh như Truecaller cũng giúp nhận ra liệu số cá nhân có bị lộ do một tài khoản khác vô tình đồng bộ danh bạ lên máy chủ chung hay không.
Sống sót trong kỷ nguyên "AI thám tử"
Yêu cầu người dùng tự xóa mọi dấu vết cá nhân khỏi Internet trong kỷ nguyên số hóa toàn diện là một nhiệm vụ bất khả thi. Khi các thủ tục hành chính, tài chính và mua sắm đều gắn liền với số điện thoại, giải pháp thực tế nhất lúc này là tư duy chủ động phòng vệ.
Thay vì hoang mang đổ lỗi cho công nghệ, việc thiết lập các tầng bảo mật thông qua giải pháp phân tách định danh là hướng đi tối ưu. Sử dụng một số điện thoại riêng biệt cho các dịch vụ công cộng, tài khoản mạng xã hội hoặc mua sắm trực tuyến sẽ giúp bảo vệ số điện thoại cốt lõi dùng cho hệ thống ngân hàng hoặc liên lạc nội bộ gia đình.
Song song đó, nếu phát hiện thông tin bị lộ trên một trang web hay nền tảng AI cụ thể, người dùng nên chủ động gửi yêu cầu gỡ bỏ thông qua các cổng hỗ trợ quyền riêng tư của nhà phát triển. Đồng thời, việc kích hoạt các tính năng chặn cuộc gọi từ số lạ sẽ là tấm khiên thiết thực nhất để giảm thiểu phiền toái hàng ngày.
AI đang phản chiếu chính xác những gì con người để lại trên Internet bước đơn và việc cẩn trọng hơn với từng vết chân số là yêu cầu bắt buộc trong bối cảnh hiện nay.
Thay vì hoang mang đổ lỗi cho công nghệ, việc thiết lập các tầng bảo mật thông qua giải pháp phân tách định danh là hướng đi tối ưu. Sử dụng một số điện thoại riêng biệt cho các dịch vụ công cộng, tài khoản mạng xã hội hoặc mua sắm trực tuyến sẽ giúp bảo vệ số điện thoại cốt lõi dùng cho hệ thống ngân hàng hoặc liên lạc nội bộ gia đình.
Song song đó, nếu phát hiện thông tin bị lộ trên một trang web hay nền tảng AI cụ thể, người dùng nên chủ động gửi yêu cầu gỡ bỏ thông qua các cổng hỗ trợ quyền riêng tư của nhà phát triển. Đồng thời, việc kích hoạt các tính năng chặn cuộc gọi từ số lạ sẽ là tấm khiên thiết thực nhất để giảm thiểu phiền toái hàng ngày.
AI đang phản chiếu chính xác những gì con người để lại trên Internet bước đơn và việc cẩn trọng hơn với từng vết chân số là yêu cầu bắt buộc trong bối cảnh hiện nay.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
