Bỏ qua tới nội dung chính

Giao Việc Cho AI Mà Vẫn An Toàn: Tách CODE/DATA/BRAIN Và Nguyên Tắc Default-Deny

Giao việc cho AI an toàn không nằm ở chỗ bạn tin nó tới đâu, mà ở ranh giới bạn dựng quanh nó. Mình kể hai bức tường mình mang thẳng từ nghề ngân hàng cũ, giúp mình giao rất nhiều việc cho máy mà tối vẫn ngủ ngon.

Về người viết: Mình là Huỳnh Văn Quy, cựu Phó phòng Công nghệ thông tin ngân hàng (hơn 10 năm với Core Banking, Internet/Mobile Banking, Payment Gateway, ví điện tử). Ở những hệ thống đó, một lỗi nhỏ về quyền hạn có thể thành sự cố với tiền thật của khách. Mình bê nguyên tư duy an toàn đó sang cách giao việc cho đội AI của mình.

Nỗi sợ lớn nhất khi bắt đầu giao việc cho AI, mình để ý, không phải sợ nó làm dở. Làm dở thì mình sửa. Nỗi sợ thật là sợ nó đụng nhầm thứ không được phép đụng: đọc lén dữ liệu khách, hay ghi đè lên kho kiến thức mình gom góp bao năm. Một câu lệnh sai, mất sạch, mà loại mất đó thường không sửa lại được.

Mình hiểu nỗi sợ này tới tận xương, vì mình từng sống với nó mỗi ngày ở một nơi mà sai một dòng có thể chạm tới tiền thật. Và mình cũng biết cách hóa giải nó, không phải bằng cách tin AI nhiều hơn, mà bằng cách dựng đúng vài bức tường. Bài này mình chia sẻ hai bức tường đó, đủ đơn giản để bạn làm được, đủ chắc để bạn yên tâm giao việc.

Một câu để bạn giữ trước khi đọc tiếp: an toàn không đến từ niềm tin, nó đến từ ranh giới. Bạn không cần tin AI tới mức nhắm mắt. Bạn chỉ cần vẽ đúng cái lằn ranh, rồi để nó làm việc trong đó.

I. Nỗi sợ thật khi giao việc cho AI

Hãy gọi tên nỗi sợ cho rõ, vì gọi đúng tên là nửa đường hóa giải. Khi bạn ngại giao việc cho một trợ lý AI, bạn không thật sự sợ một bản nháp xấu. Bạn sợ ba thứ: nó chạm vào dữ liệu nhạy cảm của khách, nó sửa hỏng kiến thức nền của bạn, và nó tự ý làm một việc có hậu quả mà bạn không kịp ngăn. Cả ba đều là nỗi sợ về quyền hạn, không phải về chất lượng.

Đây đúng là kiểu nỗi sợ mình từng đối diện trong ngân hàng, chỉ khác đối tượng. Ở đó, mình không lo nhân viên kém, mình lo ai đó vô tình chạm vào thứ vượt quyền của họ. Cách ngành tài chính trả lời nỗi lo này không bao giờ là "tin cho lành". Nó là phân quyền rạch ròi: mỗi người chỉ chạm được đúng phần việc của mình, hết. An toàn là một thiết kế, không phải một lời hứa.

Mình mang nguyên cách trả lời đó sang AI. Thay vì cố tin con AI nhiều hơn, mình thiết kế để kể cả khi nó hiểu sai ý mình, thiệt hại vẫn nằm trong vùng mình đã khoanh sẵn. Hai bức tường dưới đây là cách mình khoanh vùng đó. Cái thứ nhất chặn nó đụng nhầm chỗ, cái thứ hai chặn nó làm nhầm việc.

II. Bức tường 1: tách CODE, DATA, BRAIN

Bức tường đầu tiên chặn AI đụng nhầm chỗ. Mình chia mọi thứ trong hệ thống làm ba lớp riêng, không trộn lẫn, và đặt ổ khóa riêng cho từng lớp. Hình dung ba căn phòng, chìa phòng nào chỉ mở đúng phòng đó.

Lớp Là gì Quyền của AI
CODEPhần mã, lệnh để máy chạyChỉ đụng khi được giao rõ việc kỹ thuật
DATADữ liệu, gồm thông tin khách nhạy cảmNhư két sắt, mặc định không cho vào
BRAINKho kiến thức công ty bạn tích cópĐược đọc tham khảo, không được tự ghi đè

Lấy một ví dụ cụ thể trong đội mình. Con AI lo viết nội dung được cấp chìa vào phòng kiến thức để tham khảo khi viết, nhưng tuyệt nhiên không có chìa vào phòng dữ liệu khách. Nó không cần, nên nó không được. Riêng phòng dữ liệu nhạy cảm thì như cái két: muốn đụng phải có phép rõ ràng, agent không tự mở được.

Mình để ý nhất tới phòng BRAIN, là kho kiến thức nền. Một con AI hăng máu viết lại kiến thức gốc của bạn còn nguy hơn nó làm sai một việc lẻ, vì việc lẻ thì thấy ngay, còn kiến thức bị bóp méo thì ngấm dần. Nên mình dựng cơ chế nhiều tầng để chặn agent tự ý ghi đè lên bộ não đó. Nó được đọc để học, nhưng tay không chạm được vào việc viết lại.

III. Bức tường 2: nguyên tắc default-deny

Bức tường thứ nhất chặn AI đụng nhầm chỗ. Bức tường thứ hai chặn nó làm nhầm việc. Nguyên tắc mình dùng tên là default-deny, dịch thẳng là mặc định không cho phép. Nghĩa là AI chỉ được làm đúng những gì mình đã mở rõ ràng, còn lại thì coi như cấm.

Nghe thì nhỏ, nhưng nó ngược hẳn cách nhiều người làm. Cách thường gặp là để AI tự do rồi đi cấm từng thứ một khi thấy nguy. Cách đó luôn sót, vì bạn không thể lường hết mọi việc nó có thể làm bậy. Default-deny lật ngược lại: mọi cánh cửa đóng sẵn, bạn mở từng cái một, có chủ đích. Bạn không phải đoán trước mọi điều xấu, bạn chỉ cần liệt kê những điều tốt được phép.

Cách tiếp cận Mặc định Điểm yếu chí mạng
Cấm từng cáiCho phép tất, chặn dầnLuôn sót một lỗ hổng bạn chưa nghĩ tới
Default-denyCấm tất, mở dần có chủ đíchTốn công liệt kê việc được phép lúc đầu

Cách viết ranh giới cụ thể cho một vai, từ phần được tự làm tới phần phải hỏi, mình hướng dẫn ở bài cách giao việc cho AI. Còn cách biến nguyên tắc này thành một bảng phân quyền liếc một cái là hiểu, mình nói ở bài kiểm soát AI agent bằng ma trận thẩm quyền. Hai bức tường này đi cùng nhau mới đủ.

TÀI LIỆU MIỄN PHÍ

Mẫu ranh giới an toàn cho nhân viên AI

Trong ebook, mình đưa sẵn mẫu một trang để bạn dựng ranh giới cho nhân viên AI đầu tiên, cùng 6 bài học mình đã trả học phí, trong đó có một bài về đúng cái ngày mình tặc lưỡi bỏ ranh giới.

TẢI EBOOK (ĐỂ LẠI EMAIL)

NHẬN NGAY

IV. Vì sao mình tin cách này, và một lần mình trả giá

Mình tin hai bức tường này không phải vì đọc ở đâu, mà vì mười mấy năm mình sống trong môi trường mà chúng là luật bất di bất dịch. Trong ngân hàng, an toàn hệ thống tài chính không phải một nút để bật cho yên tâm, nó là điều kiện bắt buộc để được vận hành. Mình đi từ chuyên viên lên Phó phòng, quen với chuyện một phòng ban chạy được là nhờ ai làm gì, ai chạm được gì đều vạch sẵn.

Nhưng để bạn khỏi nghĩ mình lúc nào cũng kỷ luật, mình kể một lần mình trả giá. Có giai đoạn gấp việc, mình tặc lưỡi nới lỏng ranh giới cho nhanh, để agent tự làm một việc lẽ ra phải qua mình. Một lần là đủ để mình thấm: việc sai-thì-sửa-được thì cho máy, nhưng việc sai-một-lần-là-mất thì không bao giờ được nới, nhất là lúc gấp. Vì lúc gấp đúng là lúc người ta dễ phá lệ và trả giá nhất.

Từ đó mình đặt một luật cho riêng mình: ranh giới chỉ bảo vệ bạn khi bạn không tự phá nó vào đúng lúc bận rộn. Cú vấp đó nằm trong số những bài học đắt mình rút ra khi tự dựng đội AI, mình kể đủ trong ebook. Bức tường mạnh tới đâu cũng vô dụng nếu chính tay bạn mở cổng lúc nửa đêm cho kịp việc.

BƯỚC TIẾP THEO

6 bài học đắt mình trả học phí khi tự dựng đội AI

Gồm trọn câu chuyện cái ngày mình tặc lưỡi bỏ ranh giới lúc gấp, và mẫu ranh giới một trang để bạn không vấp đúng chỗ mình từng vấp.

NHẬN BẢN THIẾT KẾ

NHẬN EBOOK

V. Mặt trái: khi nào không cần dựng kỹ tới vậy

Phải nói cho cân bằng, kẻo bạn nghĩ ai dùng AI cũng phải dựng cả một pháo đài. Không. Hai bức tường này đáng công khi bạn giao cho AI những việc đụng tới dữ liệu thật, tiền thật, hay kiến thức nền quan trọng. Còn nếu bạn chỉ thỉnh thoảng nhờ AI viết một email hay tóm tắt một bài báo công khai, thì dựng cả hệ thống phân quyền là quá nặng nề, không cần thiết.

Cái giá thật của cách làm này là công sức và thời gian ở khúc đầu. Ngồi tách bạch ba lớp, liệt kê những việc được phép, viết ranh giới cho từng vai, tất cả tốn công hơn nhiều so với cứ giao đại cho nhanh. Với người nóng ruột muốn thấy kết quả ngay, bước này gây nản. Mình chỉ xin nói thật: chính cái khung dựng trước đó là lý do mình dám giao nhiều mà vẫn ngủ ngon.

Và một điều nữa, cũng quan trọng. Ranh giới giảm rủi ro chứ không xóa được khâu bạn duyệt. Kể cả khi hai bức tường đã đứng vững, những việc đụng tiền, dữ liệu khách hay công bố ra ngoài vẫn nên qua tay bạn gật đầu. Tường giữ cho AI không bước ra ngoài vùng cho phép, còn việc quyết trong vùng đó vẫn là của con người.

VI. Dựng hai bức tường này tối nay

Bạn không cần là dân kỹ thuật để bắt đầu. Bức tường thứ nhất, làm trên máy bằng cách sắp xếp lại: để dữ liệu nhạy cảm, mật khẩu, sổ sách tiền nong vào một nơi riêng có khóa, tách khỏi chỗ trợ lý AI làm việc hằng ngày. Chỉ một thư mục khóa lại đã là một bức tường thật. Đừng ném mọi thứ chung một rổ rồi mới lo.

Bức tường thứ hai, làm trên giấy. Trước khi giao việc cho một vai AI, viết ra hai danh sách: việc nó được tự làm, và việc bắt buộc hỏi bạn. Mặc định, cái gì không nằm trong danh sách được phép thì coi như chưa cho. Đó chính là tinh thần default-deny ở quy mô nhỏ, và bạn làm được bằng đúng một cây bút.

Làm xong hai việc đó, bạn đã có nền an toàn để giao việc cho AI mà không nơm nớp. Phần ghép các vai lại thành một đội, mình vạch trong bài trụ doanh nghiệp một người cộng đội AI, còn nếu bạn còn mơ hồ AI agent là gì thì đọc trước bài AI agent là gì. Bạn sẽ dựng bức tường nào trước tối nay? Kể mình nghe ở phần bình luận.

VII. Câu hỏi thường gặp

Giao việc cho AI thế nào cho an toàn?

An toàn nằm ở ranh giới bạn dựng, không ở chỗ bạn tin AI tới đâu. Hãy dựng hai bức tường: tách dữ liệu nhạy cảm khỏi chỗ AI làm việc hằng ngày, và áp nguyên tắc mặc định không cho phép, tức AI chỉ được làm đúng những việc bạn đã mở rõ ràng. Nhờ vậy kể cả khi AI hiểu sai ý bạn, thiệt hại vẫn nằm trong vùng bạn đã khoanh sẵn.

Tách CODE, DATA, BRAIN nghĩa là gì?

Là chia mọi thứ làm ba lớp riêng có ổ khóa riêng: CODE là phần mã để máy chạy, DATA là dữ liệu gồm thông tin khách nhạy cảm, BRAIN là kho kiến thức công ty bạn tích cóp. AI được đọc kho kiến thức để tham khảo nhưng không được tự ghi đè, và phòng dữ liệu nhạy cảm thì như két sắt, mặc định không cho vào. Hình dung ba căn phòng, chìa phòng nào chỉ mở đúng phòng đó.

Default-deny là gì và vì sao quan trọng?

Default-deny nghĩa là mặc định không cho phép: AI chỉ được làm đúng những gì bạn đã mở rõ ràng, còn lại coi như cấm. Nó ngược với cách cho tự do rồi cấm dần, vốn luôn sót lỗ hổng bạn chưa nghĩ tới. Với default-deny, mọi cánh cửa đóng sẵn và bạn mở từng cái có chủ đích, nên bạn không phải đoán trước mọi điều xấu, chỉ cần liệt kê những việc tốt được phép.

Người làm một mình có cần dựng an toàn kỹ tới vậy không?

Tùy việc bạn giao. Nếu giao cho AI những việc đụng dữ liệu thật, tiền thật hay kiến thức nền quan trọng thì rất nên, vì một lần sai loại đó thường không sửa lại được. Còn nếu chỉ thỉnh thoảng nhờ viết một email hay tóm tắt một bài công khai thì không cần nặng nề. Quan trọng là cân mức an toàn theo mức rủi ro của việc, và luôn giữ khâu bạn duyệt ở những việc quan trọng.

Lưu ý cuối bài: Bài viết chia sẻ tư duy và kinh nghiệm cá nhân về an toàn khi giao việc cho AI, không phải tư vấn bảo mật chuyên sâu cho hệ thống của bạn. Mỗi hệ thống có rủi ro riêng; với dữ liệu hoặc tài sản quan trọng, bạn nên cân nhắc kỹ và tự chịu trách nhiệm cuối. Hãy bắt đầu từ những bước đơn giản và luôn giữ khâu duyệt của con người.

Về tác giả

Huỳnh Văn Quy, cựu Phó phòng Công nghệ thông tin ngân hàng, hơn 10 năm với Core Banking, Internet/Mobile/SMS Banking, Payment Gateway (cổng thanh toán) và ví điện tử, những nơi an toàn hệ thống tài chính là bắt buộc chứ không phải tùy chọn. Tự học công nghệ từ thời chưa có internet ở nhà, ra bưu điện lưu trang web vào USB mang về đọc. Hiện tự thiết kế và vận hành một đội AI theo cơ cấu giám đốc chức năng, với nguyên tắc phân quyền default-deny và tách CODE/DATA/BRAIN mang thẳng từ nghề cũ.

Chia sẻ: