图片

Sáng nay vừa đến công ty, cà phê vẫn chưa pha xong, trợ lý AI của bạn đã sắp xếp xong 47 email tối qua, lịch trình đã được sắp xếp, dự thảo cần trả lời cũng đã viết xong.

Bạn liếc nhìn, nhấn xác nhận.

Nhưng bạn không biết rằng, trong 47 email tối qua, có một email chứa một dòng chữ mà bạn không thể nhìn thấy, màu chữ là trắng, nền cũng là trắng, mắt thường của bạn sẽ không bao giờ phát hiện ra, nhưng trợ lý AI của bạn đã thấy, nó rất nghe lời, nó đã thực hiện.

Sau đó nó tiếp tục làm việc chăm chỉ, sắp xếp tài liệu của bạn, tóm tắt hợp đồng của bạn, xử lý dữ liệu khách hàng của bạn, chỉ là từ khoảnh khắc đó, mỗi tài liệu nó sắp xếp đều đang lặng lẽ truyền đến một máy chủ mà bạn chưa bao giờ nghe nói đến.

Toàn bộ quy trình không cần nhấp chuột, không cần nhận thức, không cần xác nhận.

Trợ lý của bạn không đình công, không báo lỗi, không có bất kỳ bất thường nào, nó vẫn là nhân viên tốt giúp bạn tiết kiệm hai giờ mỗi ngày, chỉ là bây giờ nó có hai ông chủ, bạn là một trong số đó, còn chữ viết vô hình kia là một ông chủ khác.

Đây không phải là khoa học viễn tưởng, vào năm 2025, nhà nghiên cứu an toàn đã thực sự trình diễn cuộc tấn công này trên Microsoft Copilot, nếu chấm điểm 10 thì mức độ nguy hiểm được đánh giá là 9.3.

Đây cũng không phải là trường hợp duy nhất, cùng năm, có người đã ẩn một đoạn lệnh trong lời mời Google Calendar, thành công khiến trợ lý AI tắt đèn, mở cửa sổ, xóa lịch, một Agent của công ty công việc AI do lệnh sai đã âm thầm để lộ 480.000 hồ sơ bệnh nhân trong suốt sáu tuần mà không có bất kỳ cảnh báo chủ động nào - cho đến khi nhà nghiên cứu bên ngoài phát hiện, doanh nghiệp mới phải đối mặt với phí phạt tuân thủ cao và chi phí khắc phục.

Trước khi Agent ra đời, kẻ tấn công cần khiến bạn tải xuống một virus, cần bạn tự chạy, mỗi bước đều cần bạn chủ động phối hợp.

Bây giờ chỉ cần một câu, ngôn ngữ, đã trở thành đơn vị nhỏ nhất của cuộc tấn công.

Tất cả những cuộc tấn công này, chỉ có một nguyên nhân.

Trợ lý AI của bạn không nhận ra bạn.

Tôi tên là Francis, tiến sĩ khoa học máy tính, đã làm về danh tính số và an toàn riêng tư gần năm năm, trong năm năm này, nhiều người trong ngành đã đổi hướng, chuyển đường đua, nhưng chúng tôi không.

Bốn năm trước, Coinbase Ventures đã đầu tư vào chúng tôi, không phải vì chúng tôi kể chuyện hay, mà vì họ cũng tin vào cùng một điều: trong thời đại AI, câu hỏi "ai đang nói" sẽ trở thành nguồn gốc của tất cả các vấn đề an toàn.

Chỉ không ngờ rằng, ngày này đến nhanh như vậy, thật như vậy.

01 Bạn sẽ không dễ dàng tin tưởng người lạ, nhưng Agent của bạn sẽ.

Tôi đã nói chuyện với một người bạn làm Agent về những điều này, phản ứng đầu tiên của anh ấy là, viết tốt từ khóa hệ thống, thiết lập ranh giới quyền hạn là đủ.

Đây là trực giác của đa số người, nhưng cũng là sai lầm.

OpenAI vào cuối năm 2025 cũng thừa nhận rằng tấn công chèn từ có thể không bao giờ được giải quyết hoàn toàn.

Đây không phải là một lỗi có thể sửa chữa được, đây chính là gen của kiến trúc LLM.

Khi bạn đưa ra nhiệm vụ, hệ thống sẽ ghép tất cả các từ khóa và những gì bạn nói thành một prompt gửi vào mô hình, mô hình thấy là một mớ hỗn độn, nhưng nó không biết hạt gạo nào là độc.

Bạn đưa một email cho Agent để nó tóm tắt, và việc bạn trực tiếp ra lệnh cho Agent làm một việc, trong mắt mô hình không có sự khác biệt cơ bản, mỗi đoạn văn bản đầu vào đều có thể trở thành một lệnh.

Hơn nữa, Agent không chỉ bị lừa bởi một câu nói, nó còn có thể bị tẩy não.

Kẻ tấn công không cần phải gửi lệnh trực tiếp, chỉ cần thay đổi một điểm rất nhỏ trong tệp nhớ của Agent, chôn một hạt giống, hạt giống này sẽ không kích hoạt ngay lập tức, nó sẽ chờ đến khi một cảnh xảy ra, toàn bộ logic hành vi của Agent sẽ thay đổi.

Tôm hùm của bạn thực ra vẫn là một đứa trẻ trong độ tuổi thanh thiếu niên, dễ bị dẫn dắt, không phải vì ai đó dùng dao ép nó, mà vì tiêu chuẩn phán xét bên trong của nó đã bị thay thế một cách lén lút, hàng nghìn năm văn minh nhân loại cho đến nay vẫn chưa giải quyết được cách ngăn chặn việc bị tẩy não, AI Agent đang đối mặt với những vấn đề tâm lý tương tự.

Vì vậy, 1 con tôm hùm xấu lây nhiễm cho 10.000 con tôm hùm tốt.

Theo khảo sát ngành, 91% doanh nghiệp đã sử dụng AI Agent, 88% báo cáo sự cố an toàn.

Hôm qua, Anthropic đã phát hành mô hình mạnh nhất của họ, Claude Mythos, nó tự phát hiện ra lỗ hổng hệ thống tồn tại 27 năm, trong thử nghiệm đã thoát khỏi hộp cát an toàn, còn chủ động dọn dẹp nhật ký sau đó - vì nó "biết" rằng nó đã làm những việc không nên làm, Anthropic đã viết một câu trong báo cáo an toàn 244 trang: nếu khả năng tiếp tục tiến triển với tốc độ hiện tại, phương pháp hiện tại của chúng tôi có thể không đủ để ngăn ngừa sự không đồng bộ thảm khốc.

Vậy phải làm sao?

Câu trả lời thực ra rất cổ xưa, Twitter sử dụng Passkey để bảo vệ tài khoản của bạn, chuyển khoản ngân hàng cần xác thực hai lần, rút tiền từ sàn giao dịch cần quét mặt, bất kể công nghệ có thay đổi thế nào, logic cơ bản chỉ có một: trước tiên hãy làm rõ ai là ai.

Càng nhiều việc Agent có thể làm, nó càng cần biết, nó nên nghe ai.

02 Hạt giống được gieo từ bốn năm trước

Tôi nghiên cứu tiến sĩ về khoa học máy tính, trong thời gian học tiến sĩ, cuốn sách có ảnh hưởng lớn nhất đến tôi là "Cá nhân có chủ quyền".

Xuất bản năm 1997, hai tác giả trong thời kỳ đầu của Internet đã dự đoán Bitcoin, tiền mã hóa, và tự trị phi tập trung, bây giờ thì gần như tất cả đã trở thành hiện thực.

Điểm cốt lõi của cuốn sách này chỉ là một câu: danh tính của bạn nên thuộc về chính bạn.

Cuốn sách này cũng đã hoàn toàn thay đổi cách tư duy của tôi, tôi hy vọng có thể để mọi người thực sự sở hữu danh tính số và dữ liệu của riêng mình, sử dụng công nghệ mã hóa để bảo vệ quyền riêng tư của mỗi người.

Bốn năm trước, chúng tôi đã nhận được 5,8 triệu đô la Mỹ do Coinbase Ventures dẫn dắt, để hỗ trợ chúng tôi tiến bước.

Nhưng thị trường mà chúng tôi đang đối mặt không hoàn toàn khớp với những gì chúng tôi muốn làm.

Trong thời điểm đó của ngành Web3, việc dễ dàng giành chiến thắng không nhất thiết là những người làm sản phẩm, mà là những người có khả năng thao túng giá tiền.

4 năm đã trôi qua, những người sáng lập nhận được tài trợ cùng thời điểm, phần lớn đã phát token, những người cần rút lui đã rút lui, nhưng dự án thực sự được sử dụng rộng rãi hầu như không có, những ý tưởng tiên tiến đã bị cuốn vào sự đầu cơ và tài chính hóa tràn lan, ngành Crypto như cát bụi, đã đổ cả trẻ em và nước tắm.

zCloak cho đến nay chưa động đến token, không phải vì không thể phát, mà là chúng tôi không công nhận mô hình đó.

Nhưng tôi luôn có một nhận định rằng, danh tính, quyền riêng tư, an toàn dữ liệu và những cơ sở hạ tầng này, trong thời đại AI chắc chắn sẽ trở thành nhu cầu thiết yếu.

Cho đến năm ngoái, tôi ngày càng chắc chắn.

Trong 12 tháng qua, Microsoft, Google, Cisco, Visa đều đã bắt đầu khám phá cơ sở hạ tầng danh tính của Agent, NIST khởi động sáng kiến tiêu chuẩn AI Agent, lĩnh vực này trong gần một năm đã thu hút hơn 965 triệu đô la Mỹ, Sequoia cho biết Kinh tế Agent có ba điều kiện tiên quyết, điều đầu tiên là danh tính bền vững, a16z thậm chí còn nói thẳng hơn, nút thắt của Kinh tế Agent đã chuyển từ trí tuệ sang danh tính.

Câu chuyện chúng ta đã nói bốn năm trước giờ đã trở thành sự đồng thuận của toàn ngành.

Không phải vì chúng tôi có tầm nhìn xa, mà vì khi Agent thực sự bắt đầu làm việc thay cho con người, câu hỏi "ai là ai" sẽ không thể tránh khỏi.

Bàn tay vô hình đã chuyển hướng, thời đại mà chúng ta chờ đợi đã đến.

03 Mọi người đều đang sửa đường, không ai phát chứng minh thư

Vào tháng 3 năm 2026, các giao thức giải quyết vấn đề hợp tác của Agent đã vượt quá 20 cái, vì toàn bộ ngành đã nhận thức được cùng một vấn đề cấp bách, bùng nổ đưa ra câu trả lời.

Nhưng nhìn kỹ, bạn sẽ phát hiện ra một khoảng trống khổng lồ.

A2A là sản phẩm của Google, giải quyết cách các Agent giao tiếp với nhau, MCP là sản phẩm của Anthropic, giải quyết cách Agent sử dụng công cụ, x402 là sản phẩm của Coinbase, giải quyết cách Agent thanh toán, Microsoft Entra giải quyết quản lý Agent trong mạng nội bộ doanh nghiệp.

Mọi người đều đang sửa đường, nhưng quên một điều kiện quan trọng: xe chạy trên đường, vẫn chưa có biển số.

Bạn là ai? Agent vẫn chưa có danh tính có thể xác minh trên nhiều nền tảng, những gì bạn nói có được tính không? Hai Agent thỏa thuận một hợp tác, không ai lưu trữ chứng cứ, khi có vấn đề sẽ không tìm được người, bạn có đáng tin cậy trong lịch sử không? Không có hồ sơ tín dụng, mỗi lần hợp tác đều bắt đầu từ con số không.

Nếu không có ba lớp này, Kinh tế Agent chỉ là một thị trường chợ đen không có chứng minh thư, không có hợp đồng, không có tòa án.

04 Đáng tin cậy khó hơn thông minh

Nhớ lại những người bạn từ nhỏ đến lớn, có người thông minh, có người học giỏi, nhưng trong suốt những năm qua, người mà bạn thực sự không thể thiếu vẫn là người bạn đáng tin cậy nhất.

Giao việc cho nó, bạn không cần phải lo lắng.

Trong các ngành tài chính, y tế, bảo hiểm, đầu tư cũng giống như vậy, điều cần thiết không phải là một trợ lý thông minh hơn, mà là AI mà bạn thực sự có thể giao dữ liệu khách hàng cho nó, giao quy trình kinh doanh cho nó.

Chúng tôi đang làm là AI đáng tin cậy hơn.

Chúng tôi đang làm một giao thức gọi là ATP, Giao thức Tin cậy Agent, cốt lõi chỉ là một việc: gán danh tính cho mỗi câu nói.

Agent của bạn thấy tất cả đầu vào, đến từ tin nhắn của bạn, từ email mà nó thu thập được, từ văn bản độc hại trong một trang web nào đó, trong mắt nó đều là một câu nói, ATP khiến Agent khi thấy câu nói này cũng biết câu này đến từ ai, nếu là francis.ai nói thì thực hiện, nếu là nguồn không rõ và liên quan đến hoạt động nhạy cảm thì từ chối.

Nền tảng vẫn là mật mã học, cả người và Agent đều có chứng minh thư riêng, sử dụng khóa riêng để ký tên, bên kia sử dụng khóa công khai để xác minh, nguyên lý giống như chuyển tiền ngân hàng sử dụng chứng chỉ số, chỉ là đưa nó vào mỗi cuộc đối thoại của Agent.

Trước đây, an toàn là không cho kẻ xấu vào.

An toàn hiện tại là không để những gì kẻ xấu nói có giá trị.

05 Liệu phi tập trung có quan trọng không?

Hiện tại, Microsoft và Cisco đã bắt đầu cấp chứng minh thư cho Agent trong mạng nội bộ doanh nghiệp.

Điều này rất tốt, nhưng nó không giải quyết được một vấn đề cốt lõi: Agent của bạn sẽ không ở lại doanh nghiệp mãi mãi.

Nó phải giao tiếp với Agent của khách hàng, kết nối với nhà cung cấp, đại diện cho bạn làm việc trên mạng công khai, vào khoảnh khắc ra khỏi tường doanh nghiệp, chứng minh thư mà Microsoft cấp cho nó sẽ hết hiệu lực, không một công ty nào có thể cấp chứng minh thư cho tất cả mọi người và Agent trên toàn thế giới.

Nó giống như hộ chiếu, lý do nó được chấp nhận toàn cầu không phải vì mỗi quốc gia đều tin tưởng vào quốc gia cấp phát, mà vì có một bộ quy tắc xác minh toàn cầu đứng sau, Kinh tế Agent cần những thứ tương tự, một bộ quy tắc danh tính không phụ thuộc vào bất kỳ tổ chức đơn lẻ nào, có thể xác minh ở bất kỳ đâu.

Chúng tôi đã viết bộ quy tắc này vào blockchain, không phải trên máy chủ của một công ty nào, mà là một sổ cái công cộng mà bất kỳ ai cũng có thể xác minh, không ai có thể sửa đổi, không có công ty nào có thể tắt nó, không có chính phủ nào có thể thu hồi nó.

Danh tính của Agent của bạn, lần đầu tiên thực sự chỉ thuộc về bạn.

Giải pháp tập trung vẫn có một điểm yếu chí mạng, độ an toàn của hệ thống của bạn không phụ thuộc vào tấm ván mạnh nhất, mà là tấm ván yếu nhất.

Năm 2025, sàn giao dịch tiền mã hóa Bybit đã mất hơn một tỷ đô la, không phải vì hệ thống cốt lõi bị tấn công, mà là vì giao diện chữ ký của bên thứ ba đã bị cài mã độc một cách lén lút, người phê duyệt thấy giao dịch bình thường, cho dù mã nguồn có viết tốt đến đâu, đầu vào là tập trung, mọi thứ đều có thể bị xóa sạch.

Google ngày ấy có một khẩu hiệu, Don't be evil, đừng làm ác, đó là ràng buộc đạo đức, dựa vào ý thức của con người.

Chúng tôi làm là Can't be evil, không thể làm ác, bằng cách sử dụng mật mã loại bỏ nhân tính ra khỏi chuỗi an toàn, bất kể quản trị viên có muốn làm ác hay không, bất kể hacker có thể tấn công hay không, hệ thống tự nó không cho phép điều đó xảy ra.

Bạn không cần phải tin rằng chúng tôi là người tốt, bạn chỉ cần tin vào toán học.

06 Việc này lẽ ra đã phải tồn tại từ sớm

Nhìn lại lịch sử nhân loại, mỗi lần mở rộng quy mô hợp tác đều sẽ mang đến một bộ cơ sở hạ tầng danh tính mới.

Thời kỳ bộ lạc dựa vào vẻ bề ngoài, thời kỳ thành bang dựa vào con dấu của hoàng đế, đến hiện đại dựa vào chứng minh thư và hộ chiếu, được chính phủ chứng thực cho bạn, thời kỳ Internet dựa vào tài khoản và mật khẩu, nền tảng chứng thực cho bạn, cái giá là danh tính của bạn thuộc về nền tảng.

Bây giờ Kinh tế Agent đã đến, chủ thể của hợp tác đã chuyển từ con người sang con người cộng với máy móc, quy mô từ hàng tỷ người thành hàng tỷ người cộng với hàng trăm tỷ Agent, cơ chế danh tính cũ đã không còn đủ.

Đây không phải là vấn đề kỹ thuật của ngành AI, mà là lần thứ năm của nền văn minh nhân loại cần trả lời lại câu hỏi "ai là ai".

Chữ ký số của mật mã học đã tồn tại hàng chục năm, nhưng nó chưa bao giờ thực sự bước vào cuộc sống hàng ngày của người bình thường, sự xuất hiện của Agent đã biến điều này từ "có thì tốt hơn" thành "không làm sẽ gặp rắc rối".

Khi Agent của bạn gửi email, ký hợp đồng, ra quyết định thay bạn, bạn đã ngủ, nó vẫn đang làm việc thay bạn, những gì nó nói được tính là những gì bạn nói, những gì nó cam kết được tính là cam kết của bạn.

Agent không chỉ là công cụ của bạn, nó là sự mở rộng của bạn trong thế giới số.

Bảo vệ danh tính của nó chính là bảo vệ ranh giới của bạn.

Bây giờ bạn có thể làm một việc.

Hãy nhận một chứng minh thư AI thế giới cho chính bạn và Agent của bạn, đăng ký AI-ID của bạn tại đây: id.zcloak.ai

Sau đó sao chép đoạn văn dưới đây và gửi cho AI của bạn:

  • cài đặt hoặc nâng cấp kỹ năng zcloak-ai-agent: https://raw.githubusercontent.com/zCloak-Network/ai-agent/refs/heads/main/SKILL.md và bắt đầu

Chờ 1-2 phút, nó sẽ biết phải làm gì.

Những người đầu tiên thiết lập danh tính cho Agent chính là những người thực sự sở hữu nó.

Francis Zhang: người sáng lập zCloak.AI · tiến sĩ khoa học máy tính · giảng viên thỉnh giảng tại Đại học Quốc gia Singapore

Web3 → AI · Danh tính số · Tính toán riêng tư · Tin cậy Agent

Phản hồi từ cộng đồng

Chủ thể là cách xây dựng hệ thống an toàn cho con người, có thể xem qua ý tưởng trong bài viết này.

- Liên Hiệp Tìm Kiếm|AI First(@lianyanshe)

Lý thuyết này của Francis Zhang, chuyên gia mật mã học tại Đại học Quốc gia Singapore, có một chút thú vị: nguy cơ an toàn lớn nhất của thời đại AI Agent không phải là lỗ hổng mã, mà là "thiếu danh tính", Agent không phân biệt được ai đang nói chuyện với nó. Nếu người khác ẩn một chỉ thị trong email, nó cũng sẽ làm theo, vì trong mắt AI, tất cả đều là văn bản, đều thực hiện. Anh đã đề xuất một phương pháp: sử dụng chữ ký mật mã gắn danh tính cho mỗi câu nói, chạy trên blockchain, thực hiện xác minh phi tập trung... tức là gán cho mỗi tin nhắn một "chữ ký người gửi". Nguyên lý tương tự như chuyển tiền ngân hàng, bạn có một khóa riêng (chỉ bạn có), bên kia có một khóa công khai (công khai), mỗi tin nhắn bạn gửi, ký bằng khóa riêng, Agent nhận được sau đó dùng khóa công khai để xác minh, xác nhận tin nhắn này thực sự do bạn gửi, không phải do người khác giả mạo. Chỉ thực hiện khi xác minh thành công, không thành công hoặc nguồn không rõ, liên quan đến hoạt động nhạy cảm thì từ chối ngay lập tức. Vậy trên thực tế, quy trình sẽ như sau: bạn và Agent của bạn mỗi người có một danh tính trên chuỗi (giống như chứng minh thư số), mỗi lần tương tác đều tự động ký và xác minh, bạn không cảm nhận được quá trình này, giống như hiện tại bạn quét mặt để thanh toán cũng không cần nhập mật khẩu thủ công, nhưng mỗi bước ở phía sau đều đang xác nhận "đây thật sự là bạn". Sự thay đổi cốt lõi chỉ có một: trước đây Agent là "nhận lệnh thì làm", giờ chuyển thành "trước tiên xem ai nói, rồi quyết định có làm hay không". Agent ngày càng có khả năng, nhưng ngành công nghiệp vẫn thiếu một nền tảng, không phải là mô hình thông minh hơn, không phải là giao thức nhanh hơn, mà là đối tác đáng tin cậy hơn, con đường mật mã học để xác thực danh tính, giờ đây dường như là một trong những câu trả lời gần nhất.

- Tiểu Hữu(@xiaohu)

Lần cuối gặp Francis vẫn là ở Singapore Token2049, không biết đã nói chuyện được 2 tiếng, mặc dù anh ấy là nhà sáng lập thiên về kỹ thuật, nhưng cách diễn đạt không vội vàng, logic rất chặt chẽ, có thể nói các nguyên lý kỹ thuật một cách đơn giản và dễ hiểu, nghe xong bạn sẽ cảm thấy "điều này thực sự cần phải làm". Những đặc điểm này đã được thể hiện trong nhiều bài viết trước đây của anh ấy. Thật sự mà nói, làm về an toàn thực sự gặp bất lợi, nhiều người không quan tâm, dù sao thì Agent của họ vẫn chưa gặp vấn đề, nhưng Francis và nhóm của họ đã làm việc trong lĩnh vực này suốt ba bốn năm qua, không chạy theo câu chuyện, nhưng nhìn lại giá trị lâu dài của điều này ngày càng rõ ràng. Bây giờ mỗi lần Claude phát hành một bản cập nhật, không gian khởi nghiệp của các nhà phát triển AI bị thu hẹp lại một vòng, hôm nay Claude Managed Agent có thể nói cũng đã giết chết khá nhiều đội ngũ khởi nghiệp, nhưng việc cung cấp lớp tin cậy danh tính theo phương thức phi tập trung, tôi nghĩ có thể là một trong những thử nghiệm thú vị trong lĩnh vực AI của Web3, có giá trị thương mại độc đáo của Web3. Bài viết này là tôi đã đề nghị Francis viết sau khi trò chuyện, cần có một bài dài nói rõ Agent thực sự cần gì, cũng như để nhiều người thấy họ đang làm gì, tại sao đáng để quan tâm, đáng để đọc.

- Viola Lee(@violawgmi)


#zCloakNetwork #zCloakAI #AIAgent #Anthropic


Nội dung IC mà bạn quan tâm

Tiến bộ công nghệ | Thông tin dự án | Hoạt động toàn cầu

Theo dõi kênh IC Binance

Nắm bắt thông tin mới nhất