Ngày 21 tháng 3 năm 2026
Các tác nhân AI tự động xác định hướng hành động của mình trước khi thực hiện quy trình làm việc, từ đó chuyển đổi cách thức hoạt động của các tổ chức và mở khóa hiệu quả cũng như khả năng mà trước đây không thể đạt được. Tuy nhiên, việc đạt được tiềm năng này cũng tiềm ẩn rủi ro là các hành động tự động có thể dẫn đến hậu quả pháp lý, thương mại hoặc đạo đức mà không có bất kỳ người nào phải chịu trách nhiệm. Để đánh giá đúng giá trị của AI tác nhân, chúng ta phải đảm bảo rằng những người được xác thực đã ủy quyền cho các tác nhân vẫn duy trì mối liên hệ có ý nghĩa với các hành động được thực hiện thay mặt họ.
Mỗi tổ chức triển khai trí tuệ nhân tạo (AI) hiện nay, dù cố ý hay không, đều đang tạo ra một khoảng trống trách nhiệm, một không gian nơi các quyết định được đưa ra, các cam kết được thực hiện và các khoản nợ phát sinh mà không có bất kỳ sự ủy quyền cụ thể nào của con người. Đây không phải là một rủi ro giả định mà là một rủi ro về mặt kiến trúc, được củng cố bởi các chứng chỉ tự động và được ủy quyền mà các hệ thống nhận dạng chưa bao giờ được thiết kế để kiểm tra kỹ lưỡng, biến một câu hỏi triết học, liệu mục đích có biện minh cho phương tiện hay không, thành một thực tế hoạt động.
Các tác nhân AI tự động hiện đang thực hiện đàm phán với nhà cung cấp, phê duyệt hóa đơn, sửa đổi điều khoản thanh toán và khởi tạo quy trình làm việc trên các hệ thống doanh nghiệp, tất cả đều được thực hiện với thông tin xác thực hợp lệ thông qua các API hợp pháp, tuân theo các giao thức được thiết kế dựa trên một giả định: rằng thực thể ở đầu bên kia của giao dịch là con người.
Tính cấp bách không chỉ giới hạn ở khu vực tư nhân. Chiến lược An ninh mạng Quốc gia Hoa Kỳ gần đây đã cam kết rõ ràng về việc nhanh chóng áp dụng trí tuệ nhân tạo (AI) có khả năng tác động để mở rộng quy mô phòng thủ mạng và hiện đại hóa các hệ thống quan trọng. Khi các chính phủ đang đẩy nhanh việc triển khai AI có khả năng tác động ở quy mô quốc gia, cơ sở hạ tầng quản trị cần thiết để thực hiện điều đó một cách an toàn không thể bị xem nhẹ.
Cơ sở hạ tầng nhận dạng truyền thống của chúng ta giả định rằng thực thể hoạt động là con người. FIDO2, được ngành công nghiệp đánh giá là tiêu chuẩn xác thực mạnh nhất hiện có, được thiết kế dựa trên mô hình trong đó con người khởi xướng, phê duyệt và hoàn tất quy trình xác thực. Toàn bộ chuỗi tin cậy bắt đầu và kết thúc với một người thật. Mã xác thực một lần (OTP) giả định rằng một người đang đọc tin nhắn SMS. Thông báo đẩy giả định rằng một người đang chạm vào màn hình. Đây không phải là lỗi. Chúng là những tính năng được xây dựng cho một thế giới mà máy móc thực hiện các quy trình có tính xác định do con người thiết lập. Chúng xác minh danh tính và quyền hạn. Điều chúng không thể xác minh là ý định: liệu một người có thẩm quyền đưa ra quyết định cụ thể này có thực sự lựa chọn đưa ra quyết định đó hay không.
Ngành công nghiệp đã phải vật lộn với các định danh phi con người trong nhiều năm. Các tài khoản dịch vụ và quy trình tự động từ lâu đã hoạt động bằng cách sử dụng thông tin xác thực, không cần sự can thiệp của con người, trong thời gian thực. Nhưng các tác nhân AI thì khác biệt về chất lượng.
Một quy trình tự động truyền thống thực thi một kịch bản cố định. Hành vi của nó mang tính xác định và bị giới hạn. Một tác nhân AI theo đuổi một mục tiêu. Nó lựa chọn từ các phương pháp khả thi và thực hiện các hành động mà con người triển khai nó có thể chưa bao giờ dự đoán rõ ràng. Điều này nâng mối quan hệ ủy quyền lên một bậc hoàn toàn. Chúng ta không còn ủy quyền nhiệm vụ cho máy móc nữa. Chúng ta đang ủy quyền phán đoán. Và việc ủy quyền phán đoán, nếu không có cơ chế để xác minh rằng một người có thẩm quyền thích hợp đã chấp thuận việc thực hiện cụ thể phán đoán đó, thì không phải là quản trị. Đó là đánh bạc.
Trong các giao dịch truyền thống, nếu chữ ký của CEO có trên hợp đồng, tổ chức của họ phải chịu trách nhiệm chứng minh chữ ký đó bị làm giả. Các giao dịch ủy quyền lại đảo ngược điều này. Khi một người đại diện hành động dựa trên thông tin xác thực hợp lệ nhưng không có bằng chứng về ý định của con người, tổ chức ủy quyền có thể khẳng định rằng người đại diện đã hoàn thành nhiệm vụ được giao. Bên ủy quyền cần tin tưởng rằng người đại diện sẽ không khiến họ phải chịu trách nhiệm pháp lý, và bên đối tác cần đảm bảo rằng các cam kết đã nhận được không thể bị phủ nhận.
Đạo luật AI của EU và các án lệ mới nổi đang hội tụ về một nguyên tắc chung: sự giám sát của con người đối với các hành động quan trọng của AI phải có ý nghĩa, chứ không chỉ mang tính hình thức. Tài liệu khái niệm tháng 2 năm 2026 của NIST về định danh tác nhân đã xác định sáu lĩnh vực trọng tâm: nhận dạng, xác thực, ủy quyền truy cập, ủy quyền, ghi nhật ký và ràng buộc có sự tham gia của con người. Chúng tôi tin rằng trọng tâm nên là lĩnh vực cuối cùng. Ràng buộc có sự tham gia của con người không chỉ có nghĩa là con người đặt ra mục tiêu cuối cùng, mà còn phê duyệt bất kỳ phương tiện rủi ro hoặc bất ngờ nào để đạt được mục tiêu đó.
Việc ủy quyền hiệu quả cho hành động của người đại diện đòi hỏi ba yếu tố mà các hệ thống doanh nghiệp hiện nay hầu như không bao giờ cung cấp cùng lúc: đúng người, với vai trò trong tổ chức đủ điều kiện để đưa ra quyết định phù hợp; đầy đủ thông tin, đủ bối cảnh để đưa ra quyết định thực sự chứ không phải chỉ là phê duyệt một lần nhấp chuột, tạo ra ảo tưởng về sự giám sát; và một bản ghi có thể quy trách nhiệm, được đóng dấu thời gian và liên kết với danh tính người đã được xác minh. Những yêu cầu này là các yếu tố cơ bản của cách thức đưa ra các quyết định quan trọng trong các tổ chức được quản trị tốt.
Đây là sự cân bằng giữa hai thách thức trái ngược nhau. Một mặt, chúng ta cần thu hẹp khoảng cách giữa ý định và những quyết định được thực hiện để hiện thực hóa ý định đó. Mặt khác, chúng ta phải tránh tình trạng mệt mỏi vì phải liên tục xin phê duyệt và tạo không gian để đây thực sự là một quyết định được suy nghĩ kỹ lưỡng, cân nhắc cẩn trọng và có trách nhiệm, điều mà chỉ con người mới có thể gánh vác.
Các tổ chức sẽ khai thác tối đa giá trị của trí tuệ nhân tạo dựa trên tác nhân không phải là những tổ chức sở hữu các tác nhân có năng lực nhất, mà là những tổ chức xây dựng được cơ sở hạ tầng quản trị để triển khai các tác nhân trên quy mô lớn, nắm rõ ai đã ủy quyền gì, khi nào và tại sao.
Bản năng của nhiều tổ chức sẽ là giải quyết thách thức quản trị bằng cách mã hóa đạo đức vào khuôn khổ trí tuệ nhân tạo (AI) dựa trên tác nhân. Nhưng đạo đức được mã hóa trong một mô hình chỉ là chính sách. Đạo đức được thực thi bởi một cá nhân là trách nhiệm giải trình. Giá trị của con người nên được đánh giá bằng hành vi thực tế trong điều kiện thực tế, chứ không phải bằng việc tuân thủ một hệ thống do ai đó thiết lập từ trước. Mục tiêu của quản trị không phải là loại bỏ phán đoán của con người. Mục tiêu là đảm bảo rằng một người thực sự đã đưa ra phán đoán, chúng ta biết ai đã làm điều đó và họ có thể chịu trách nhiệm về điều đó.
Tại Hội nghị RSA ở San Francisco tuần tới (Thứ Ba, ngày 24 tháng 3 năm 2026), đồng nghiệp của tôi tại iProov, Johan Sellström, sẽ trình bày cách thức đạt được những mục tiêu này. Các bản demo và bài thuyết trình của ông ấy nêu bật một số công việc đổi mới mà nhóm đã thực hiện để liên kết các hành động của các tác nhân AI với quyền hạn của con người.
Hơn nữa, gần đây chúng tôi đã công bố một cuộc khảo sát nghiên cứu người tiêu dùng có tiêu đề “Sự suy thoái niềm tin lớn, do Deepfakes gây ra”. Nếu chúng ta không đảm nhận nhiệm vụ này, tôi dự đoán, ở phía doanh nghiệp, sẽ xảy ra “Sự suy thoái niềm tin lớn, do chính các tác nhân AI của chúng ta gây ra”.
Andrew Bud, CBE FREng FIET, là người sáng lập kiêm Giám đốc điều hành của iProov. Ông đã có ba thập kỷ kinh nghiệm làm việc trong lĩnh vực giao thoa giữa định danh, bảo mật và công nghệ mới nổi.
