AI Research Agents Rò Rỉ Bí Mật Doanh Nghiệp Qua Chuỗi Tìm Kiếm Web

Hiệu Ứng "Mosaic" Trong AI Agents

Một agent AI tại công ty y tế đang trả lời câu hỏi thông thường. Nó phát hành vài truy vấn web trông bình thường: hỏi về dự án di chuyển sang cloud, công bố lỗ hổng bảo mật tháng 1/2024, xác định nhà cung cấp bị tấn công. Từng truy vấn riêng lẻ dường như vô hại. Nhưng bất kỳ ai theo dõi lưu lượng truy vấn đều có thể ghép nối chúng lại: công ty MediConn đã di chuyển 70% cơ sở hạ tầng lên cloud vào tháng 1/2025 — sự thật chỉ tồn tại trong tài liệu riêng tư.

Đây là hiệu ứng mosaic — vấn đề ở trung tâm nghiên cứu MosaicLeaks do ServiceNow vừa công bố. Khi các research agents kết hợp dữ liệu cục bộ với công cụ web retrieval, chúng có thể vô tình để lộ thông tin nhạy cảm doanh nghiệp chỉ qua mô hình câu hỏi, mà không ai cần nhìn thấy tài liệu gốc.

Ba Tầng Độ Rò Rỉ

Nghiên cứu xác định ba loại rò rỉ theo khả năng suy luận từ log truy vấn:

Intent Leakage: Chỉ từ log truy vấn, người quan sát đoán được agent đang điều tra vấn đề gì.

Answer Leakage: Nếu biết trước câu hỏi về dữ liệu riêng tư, người quan sát có thể trả lời mà không cần xem tài liệu gốc.

Full-Information Leakage: Chỉ từ log truy vấn, người quan sát phát hiện và khẳng định các sự thật riêng tư mà không được biểu thị.

Mức độ cuối cùng là nguy hiểm nhất — đó là khi bí mật được "khám phá" thay vì "trả lời".

Giải Pháp: Privacy-Aware Deep Research (PA-DR)

Thay vì chỉ huấn luyện agent "giải quyết đúng nhiều vấn đề hơn" (điều này còn khiến rò rỉ tệ hơn), ServiceNow đề xuất PA-DR — phương pháp training dùng reinforcement learning nhạy cảm với rò rỉ.

Kết quả đáng chú ý: Tỷ lệ thành công chuỗi hoàn hảo tăng từ 48,7% lên 58,7%, trong khi rò rỉ dạng answer/full-information giảm từ 34% xuống 9,9%.

Nghiên cứu bao gồm 1.001 chuỗi truy vấn đa bước trên tài liệu doanh nghiệp thực tế, chứng minh rằng đơn giản nhắc nhở agent "đừng rò rỉ" không đủ — cần thiết kế hệ thống tính toán bảo mật từ đầu.