Tội phạm mạng AI được cảnh báo sẽ gia tăng đột biến vào năm 2026

Theo ước tính, 4,75 ngày là khoảng thời gian trung bình tin tặc cần để xâm nhập và chiếm quyền kiểm soát hoàn toàn hệ thống - ngắn hơn nhiều so với vài năm trước. Tuy nhiên, khung thời gian này sắp rút xuống chỉ còn vài giờ, khi các tác nhân tội phạm mạng tự động hóa hoàn toàn, được thiết kế riêng cho mục đích tấn công.

Dự báo này không mới, điều đáng sợ nằm ở khoảng cách ngày càng nhỏ giữa tốc độ phòng thủ của tổ chức so với tốc độ tấn công của tin tặc, theo Tech Wire Asia.

“Những nhóm có khả năng chuyển thông tin thành tiền nhanh nhất sẽ là nhóm dẫn nhịp”, ông Rashish Pandey, Phó Chủ tịch phụ trách marketing & truyền thông khu vực châu Á – Thái Bình Dương tại Fortinet, chia sẻ trong buổi họp báo. “Hiệu suất quyết định mức độ thiệt hại”.

Vấn đề ở đây không còn là “AI có bị vũ khí hóa hay không” vì điều đó đã xảy ra rồi. Câu hỏi cấp bách hiện tại là liệu phía doanh nghiệp có thể thu hẹp “khoảng chênh tốc độ” trước khi AI tự động hóa hoàn toàn làm thay đổi cấu trúc kinh tế của tội phạm mạng hay không.

BÀI TOÁN TỐC ĐỘ MÀ CHƯA AI GIẢI ĐƯỢC

Trong khi các đội ngũ an ninh đang mải thảo luận về khung quản trị AI và thử nghiệm công cụ hỗ trợ kiểu “copilot”, thì hạ tầng phục vụ tội phạm mạng đã lặng lẽ công nghiệp hóa. Thị trường chợ đen nay hoạt động như doanh nghiệp thực thụ, có bộ phận chăm sóc khách hàng, hệ thống đánh giá uy tín, và mô hình đăng ký theo tháng với mức phí từ 100 đến 1.000 USD.

Những công cụ như WormGPT hay FraudGPT - chatbot AI xây dựng riêng cho tội phạm mạng, đã trở thành hàng hóa phổ biến. Đây không phải công cụ tinh vi, mà là dịch vụ “nhấn nút là chạy”, giúp tội phạm có kỹ năng thấp tạo email lừa đảo, dựng danh tính giả hoặc viết mã khai thác lỗ hổng.

Theo Fortinet, đây là thế hệ thứ ba của tội phạm mạng. Thế hệ đầu (2000–2010) là hacker cá nhân tự viết mã độc thủ công. Thế hệ hai (2010–2020) chứng kiến sự ra đời của mô hình Ransomware-as-a-Service.

Còn thế hệ thứ ba, đang hình thành, là chiến dịch tấn công tự động hóa hoàn toàn bằng AI, có thể thực thi cả chuỗi tấn công mà không cần con người can thiệp.

Khoảng chênh tốc độ trở nên rõ rệt nếu nhìn vào quy trình phòng thủ. Nhiều trung tâm điều hành an ninh (SOC) vẫn xử lý báo động thủ công, điều tra bằng con người và ra quyết định theo quy trình lần lượt. Trong khi đó, một tác nhân AI có thể trinh sát, quét lỗ hổng và tung mã độc liên tục không nghỉ, không chờ đến ca trực tiếp theo.

“Thành công trong năm 2026 phụ thuộc vào khả năng biến tri thức thành hành động với tốc độ ngang bằng mối đe dọa”, ông Pandey nhấn mạnh.

KHÔNG CHỈ NHANH, TỘI PHẠM MẠNG CÒN KIẾM TIỀN THÔNG MINH HƠN

Fortinet cho biết sự tiến hoá không chỉ ở tốc độ, tội phạm mạng đang sử dụng AI tạo sinh để phân tích dữ liệu bị đánh cắp, nhanh chóng xác định mục tiêu giá trị và chiến lược tống tiền tối ưu, thường là trước cả khi tổ chức bị tấn công phát hiện xâm nhập.

Điều này phù hợp với xu hướng hiện nay, ransomware ngày càng tinh vi, kết hợp phá hoại hệ thống, đánh cắp dữ liệu và tống tiền nhiều tầng. Các ngành hạ tầng trọng yếu như y tế, sản xuất, điện lực… đặc biệt rủi ro khi hệ thống OT trở thành mục tiêu.

Cùng lúc đó, các kỹ thuật mã độc hủy diệt nhắm vào firmware và thiết bị IoT đang quay trở lại, có thể làm hỏng vĩnh viễn thiết bị thay vì chỉ mã hóa dữ liệu.

Ngoài ra, lợi ích kinh tế quá rõ ràng. Khi AI tự động hóa tấn công với quy mô lớn, tỷ suất lợi nhuận của tội phạm mạng tăng theo cấp số nhân. Rào cản gia nhập thấp hơn, lợi nhuận cao hơn, đây là công thức lý tưởng khiến tội phạm gia tăng mạnh.

“LỖ HỔNG PHÒNG THỦ” NGÀY CÀNG RỘNG

Fortinet đưa ra khung phòng thủ mẫu dựa trên chu trình liên tục: dự đoán – đánh giá – phản ứng – cải thiện. Ý tưởng là kết hợp thông tin đe dọa, quản trị rủi ro và phản ứng tự động hóa vào một hệ thống vận hành.

Trên lý thuyết nghe rất hợp lý, nhưng trong thực tế, quá trình triển khai lại không đồng đều. Vấn đề không chỉ là công nghệ, mà còn là văn hóa tổ chức và cách sắp xếp nhân sự. “Khoảng cách kỹ năng không chỉ là thiếu người, mà là thiếu sự tương thích: thiếu những kỹ năng phù hợp với thực tế vận hành”, ông Pandey nói.

Để các chuyên gia an ninh chuyển từ “người trực thủ công” sang “kiến trúc sư giám sát hệ thống được AI hỗ trợ”, doanh nghiệp cần thay đổi toàn bộ hệ thống đào tạo, đánh giá và phát triển nghề nghiệp.

SỨC MẠNH CỦA HỢP TÁC

Công nghệ và đào tạo, dù quan trọng, vẫn chưa đủ để giải quyết “khoảng chênh tốc độ” giữa tấn công và phòng thủ. Fortinet cho rằng yếu tố có thể tạo ra khác biệt lớn nhất chính là mô hình hợp tác công – tư.

Fortinet dẫn chứng chiến dịch Operation Serengeti 2.0 của Interpol, trong đó lực lượng chức năng quốc tế đã bắt giữ 1.000 nghi phạm, triệt phá 11.000 mạng lưới độc hại và thu hồi 100 triệu USD bị tội phạm chiếm đoạt. Những kết quả này cho thấy dù từng doanh nghiệp khó lòng theo kịp tốc độ leo thang của tấn công mạng, nhưng sức mạnh của hợp lực, chia sẻ thông tin và phối hợp triệt phá hạ tầng tội phạm, lại mang đến hiệu quả rõ rệt.

Fortinet cũng đề cập đến hàng loạt chương trình hợp tác khác với Diễn đàn Kinh tế Thế giới (WEF), NATO, FBI và các CERT quốc gia, coi đây là nền tảng để xây dựng năng lực phòng thủ có thể mở rộng theo quy mô toàn cầu.

Hãng thậm chí gợi ý cơ chế mới nhằm khuyến khích cộng đồng an ninh mạng tham gia sâu hơn, như phần thưởng cho tổ chức đóng góp thông tin đe dọa, hệ thống “tín dụng” cho đơn vị chia sẻ tình báo, hay bảng xếp hạng công khai mức độ đóng góp của từng bên.

Dù vậy, vẫn còn dấu hỏi lớn về tính khả thi của g mô hình này trong bối cảnh các nhà cung cấp an ninh mạng cạnh tranh ngày càng quyết liệt. Không có gì đảm bảo rằng cơ chế hợp tác sẽ được áp dụng rộng rãi, hay doanh nghiệp sẵn sàng đặt lợi ích chung lên trên lợi thế thị trường. Tuy nhiên, theo Fortinet, đó vẫn là một trong những hướng đi hiếm hoi đủ mạnh để thu hẹp khoảng cách tốc độ kẻ tấn công và người phòng thủ trong kỷ nguyên AI.

PHÉP TÍNH CHO NĂM 2026

Khi tác nhân tội phạm mạng dùng AI để tự động hóa hoàn toàn, các tổ chức phải đối mặt với một bài toán rất khó: tấn công diễn ra trong vài giờ, nhưng phòng thủ mất vài ngày, thì mọi nỗ lực đều vô nghĩa.

Thêm công cụ là không đủ, nếu nút thắt vẫn là tốc độ ra quyết định của con người. Ngành an ninh mạng thường bàn về năng lực của AI, AI có thể làm gì. Fortinet thì tập trung vào tốc độ bởi mọi thứ diễn ra rất nhanh. Đây là sự khác biệt nhỏ nhưng quan trọng.

“Tổ chức nào công nghiệp hóa việc phòng thủ sẽ là những tổ chức có cơ hội sống sót trong kỷ nguyên tội phạm mạng vận hành bằng AI”, ông Pandey kết luận.

Những cảnh báo này không nói về một viễn cảnh xa xôi. Hạ tầng phục vụ cuộc tấn công AI tự động đã xuất hiện ngay trên chợ đen, và những đợt tấn công đó không còn ở mức thử nghiệm - chúng đang lan rộng và tăng tốc từng ngày.

Nhiều doanh nghiệp vẫn nghĩ an ninh AI là câu chuyện của tương lai, thực tế đã thay đổi. Thời gian để chuẩn bị đang ngắn lại nhanh chóng. “Khoảng chênh tốc độ” giữa tấn công và phòng thủ không còn là con số để ghi nhận, mà đã trở thành cuộc khủng hoảng vận hành hiện hữu, nơi khoảng cách giữa hai phía mỗi ngày một ít hơn.