> ## Documentation Index
> Fetch the complete documentation index at: https://docs.cloudthinker.io/llms.txt
> Use this file to discover all available pages before exploring further.

# Chương 6 · Sự tin tưởng, Rào cản và Quản trị

> Tính tự chủ được xây dựng, không phải cấu hình. Quản trị không phải là phanh hãm của vận hành agentic — đó là yếu tố kích hoạt. Năm tầng rào cản, công tắc mô hình triển khai, lăng kính FSI, và mô hình mối đe dọa tầng agent.

*Tính tự chủ được xây dựng, không phải cấu hình. Quản trị không phải là phanh hãm của vận hành agentic — đó là yếu tố kích hoạt.*

## 6.1 Khoảng trống quản trị

Các con số về mức độ áp dụng kể một câu chuyện đáng lo ngại. McKinsey nhận thấy 62% tổ chức đang thử nghiệm AI agent nhưng chưa đến một phần tư mở rộng đến môi trường thực tế; nghiên cứu State of AI của Deloitte chỉ tìm thấy 21% có khung quản trị trưởng thành cho các agent tự chủ. Và Gartner đã đưa ra một con số về hậu quả — dự báo hủy bỏ hơn 40% dự án được xem xét trong §9.4 — trong đó nguyên nhân thứ ba được nêu, kiểm soát rủi ro không đầy đủ, là thất bại quản trị theo định nghĩa. Mẫu hình nhất quán qua các nghiên cứu này: các sáng kiến agentic chết theo một trong hai cách — một sự cố phá hủy niềm tin, hoặc một bộ phận rủi ro chặn việc triển khai vì niềm tin chưa bao giờ được xây dựng. Các tổ chức thắng với AI agentic một cách có thể quan sát được không phải là những tổ chức cắt góc quản trị; họ xây dựng cơ sở hạ tầng quản trị sớm và sử dụng nó để tăng tốc triển khai an toàn.

## 6.2 Ngăn xếp rào cản

Các rào cản thực tế hoạt động ở năm tầng:

1. **Danh tính và thông tin xác thực.** Mỗi agent là một danh tính hạng nhất với thông tin xác thực có phạm vi, tồn tại ngắn hạn, quyền tối thiểu — có thể kiểm toán như bất kỳ tài khoản dịch vụ nào, có thể thu hồi ngay lập tức. Không có thông tin xác thực siêu cấp dùng chung, bao giờ hết.

2. **Chính sách hành động.** Một chính sách rõ ràng, có phiên bản xác định các lớp hành động nào mỗi agent có thể thực hiện ở mức độ tự chủ nào trong môi trường nào. Khả năng đảo ngược và bán kính nổ thúc đẩy việc phân loại: có thể đảo ngược + giới hạn = có thể tự động hóa; không thể đảo ngược hoặc rộng = cần phê duyệt.

3. **An toàn thực thi.** Kiểm tra trước khi thực hiện (hành động này có ảnh hưởng đến nhiều hơn N tài nguyên không?), giới hạn tốc độ, cửa sổ thay đổi, kế hoạch rollback tự động đính kèm với mọi thay đổi, và bộ ngắt mạch dừng agent đang thực hiện nhiều lần thất bại liên tiếp.

4. **Agent giám sát.** Mẫu "agent bảo vệ": các agent chuyên dụng giám sát các agent khác — xác thực kế hoạch theo chính sách, phát hiện hành vi bất thường, và thực thi giới hạn ngân sách. Điều này không còn là xa lạ; Gartner kỳ vọng rằng đến năm 2028, 40% CIO sẽ yêu cầu các agent bảo vệ có khả năng tự chủ theo dõi và kiềm chế các hành động của các AI agent khác.

5. **Kiểm toán và bằng chứng.** Mọi nhận thức, quyết định, hành động và kết quả đều được ghi lại bất biến với chuỗi lập luận đầy đủ — tạo ra, như một tác dụng phụ, bằng chứng quản lý thay đổi tốt hơn hầu hết các quy trình vận hành bởi con người từng có.

Ngăn xếp này không còn là nguyện vọng — nó là sản phẩm được vận chuyển tại các nhà cung cấp nền tảng. Microsoft Entra Agent ID biến các agent thành danh tính thư mục hạng nhất, hoàn chỉnh với các bản thiết kế danh tính, người bảo lãnh con người được đặt tên, và các gói truy cập hết hạn và cần phê duyệt lại — vòng đời quản trị áp dụng cho đồng nghiệp phần mềm. Azure SRE Agent đã thêm các chính sách truy cập công cụ toàn cầu và hook thực thi tại Build 2026: một nơi duy nhất để xác định công cụ nào agent có thể gọi, trong điều kiện nào, và điều gì cần phê duyệt của con người, với các cổng phê duyệt được thực thi tại điểm thực thi. AWS vận chuyển DevOps Agent với các chính sách IAM được quản lý chuyên dụng giới hạn chính xác những gì agent có thể chạm vào, và mô hình thay mặt của Azure yêu cầu quản trị viên phải rõ ràng cho mượn thông tin xác thực khi danh tính riêng của agent thiếu quyền — làm cho mọi leo thang đặc quyền trở thành một quyết định được ghi lại của con người. Hướng đi rõ ràng: danh tính agent và chính sách per-tool đang trở thành các nguyên hàm nền tảng, và bất kỳ giao dịch mua vận hành agentic nào đều phải đòi hỏi chúng.

## 6.3 Lưu trú dữ liệu và kiểm soát: câu hỏi đầu tiên trong mọi đánh giá bảo mật

Trước khi bất kỳ nhóm bảo mật FSI nào thảo luận về mức độ tự chủ, họ đặt ba câu hỏi, và một triển khai agentic phải trả lời cả ba một cách chính xác — vì các agent thay đổi câu trả lời cho từng câu hỏi trong số đó.

1. **Lưu trú — dữ liệu sống và được xử lý ở đâu?** Vận hành agentic tạo ra một luồng dữ liệu mới mà các công cụ truyền thống chưa bao giờ có: dữ liệu đo từ xa đi đến một mô hình lập luận. Do đó, ranh giới suy luận là ranh giới dữ liệu mới. Không đủ khi biết nơi log được lưu trữ; bạn phải biết mọi lần gọi model chạy ở đâu, nhà cung cấp model ghi lại gì, họ lưu giữ bao lâu, và liệu dữ liệu của bạn có huấn luyện mô hình của họ không.

2. **Chủ quyền — luật của ai có thể tiếp cận nó?** Dữ liệu được xử lý bởi một SaaS vận hành nước ngoài hoặc API model nước ngoài có thể phải tuân theo các chế độ tiết lộ của khu vực tài phán đó bất kể máy chủ đặt ở đâu. Đối với các thực thể được quản lý, lập trường bảo thủ là chủ quyền theo nhà điều hành, không chỉ trung tâm dữ liệu.

3. **Kiểm soát — ai giữ chìa khóa và công tắc tắt?** Kiểm soát có nghĩa là khóa mã hóa do khách hàng giữ, nhật ký kiểm toán do khách hàng sở hữu tồn tại sau khi rời nhà cung cấp, khả năng thu hồi mọi thông tin xác thực agent ngay lập tức, lưu giữ được xác định mà bạn có thể thực thi, và bảo đảm hợp đồng và kỹ thuật về những gì — nếu có — vượt qua ranh giới của bạn.

Mô hình triển khai là công tắc kiểm soát. Bốn mô hình đang được sử dụng thực tế, theo thứ tự kiểm soát tăng dần:

| Mô hình                | Nơi agent và dữ liệu chạy                                                                                                      | Những gì vượt qua ranh giới của bạn                                                                                           | Người mua tiêu biểu                  |
| :--------------------- | :----------------------------------------------------------------------------------------------------------------------------- | :---------------------------------------------------------------------------------------------------------------------------- | :----------------------------------- |
| SaaS                   | Đám mây của nhà cung cấp; API model do nhà cung cấp chọn                                                                       | Dữ liệu đo từ xa, cấu hình và prompt rời khỏi vành đai của bạn                                                                | Startup, SMB không được quản lý      |
| SaaS + token hóa       | Đám mây của nhà cung cấp; PII được phát hiện và thay thế bằng token có thể đảo ngược trước bất kỳ ranh giới model nào          | Chỉ dữ liệu đo từ xa đã token hóa; giá trị thực không bao giờ rời khỏi; giải token hóa xảy ra trong ranh giới tin cậy của bạn | Thị trường vừa có tiếp xúc PII       |
| BYOC                   | Nền tảng agent được triển khai vào tài khoản đám mây của bạn; bạn chọn endpoint model (bao gồm cả trong khu vực hoặc riêng tư) | Không có gì theo mặc định; các lần gọi model đi đến nơi bạn chỉ định                                                          | Doanh nghiệp, hầu hết FSI            |
| Self-host / air-gapped | Hoàn toàn trong vành đai của bạn, bao gồm cả model tự lưu trữ hoặc chuyên dụng                                                 | Không có gì                                                                                                                   | Ngân hàng, FSI on-premise, chính phủ |

Hai lưu ý thực tế. Thứ nhất, token hóa và BYOC có thể kết hợp: mẫu phổ biến nhất trong các triển khai được quản lý là BYOC với một tầng token hóa nhận biết PII trước mọi lần gọi model, để ngay cả việc suy luận trong khu vực cũng không bao giờ thấy mã định danh khách hàng, thông tin xác thực hoặc số tài khoản thực. Thứ hai, kiểm soát phải tồn tại sau kiểm toán: nếu cơ quan quản lý hỏi "hãy chỉ cho tôi mọi dữ liệu agent này đã gửi ra ngoài ngân hàng vào tháng Ba, và chứng minh không có gì khác đã rời đi," kiến trúc — ghi log egress tại ranh giới, dấu vết kiểm toán bất biến mà bạn sở hữu — phải có thể trả lời, không phải sự đảm bảo của nhà cung cấp.

> *Hình 6 — Mô hình triển khai là công tắc kiểm soát: những gì vượt qua ranh giới của bạn theo từng mô hình, và ai mua mô hình nào.*

Sàn quy định đang tăng nhanh nhất ở châu Á. Việt Nam là ví dụ hiện tại rõ nét nhất về hướng đi: Luật Bảo vệ Dữ liệu Cá nhân (Luật 91/2025/QH15, có hiệu lực từ ngày 1 tháng 1 năm 2026, với Nghị định thực hiện 356/2025) mang theo mức phạt lên đến 5% doanh thu năm trước đối với việc chuyển dữ liệu xuyên biên giới trái phép và yêu cầu đánh giá tác động chuyển dữ liệu; Luật Dữ liệu năm 2024 (có hiệu lực tháng 7 năm 2025) bổ sung các danh mục dữ liệu "cốt lõi" và "quan trọng" với các hạn chế xuyên biên giới riêng; Nghị định 53/2022 theo Luật An ninh mạng duy trì các yêu cầu nội địa hóa cho các dịch vụ được chỉ định; và Luật AI đầu tiên của đất nước, được thông qua vào tháng 12 năm 2025 và có hiệu lực tháng 3 năm 2026, giới thiệu một chế độ phân loại rủi ro cho các hệ thống AI. Kỳ vọng của MAS Singapore về rủi ro công nghệ và thuê ngoài, và ngăn xếp GDPR-cộng-AI-Act của EU, áp đặt kỷ luật tương đương. Mẫu hình là phổ quát: các cơ quan quản lý không cấm vận hành agentic — họ cấm việc không biết dữ liệu của bạn đã đi đâu. Đặc biệt đối với độc giả FSI, Luật AI của Việt Nam đặt tên tài chính là lĩnh vực được quản lý và cung cấp thời gian ân hạn 18 tháng để tuân thủ — một cửa sổ để xây dựng quản trị và tư thế kiểm toán mà chương này mô tả, không phải lý do để trì hoãn.

<Warning>
  **TÁM CÂU HỎI KIỂM SOÁT DỮ LIỆU CHO BẤT KỲ NHÀ CUNG CẤP AGENTIC NÀO**

  1. Chính xác dữ liệu nào rời vành đai của chúng tôi, đến endpoint nào, trong khu vực nào?
  2. Suy luận có thể chạy trong khu vực, trong đám mây của chúng tôi, hoặc hoàn toàn tự lưu trữ không?
  3. Dữ liệu của chúng tôi có được sử dụng để huấn luyện bất kỳ model nào — của bạn hay bên thứ ba — và điều đó có được ghi trong hợp đồng không?
  4. PII có được token hóa trước ranh giới model không, và giải token hóa xảy ra ở đâu?
  5. Bạn và nhà cung cấp model của bạn ghi lại và lưu giữ gì, và trong bao lâu?
  6. Ai giữ khóa mã hóa?
  7. Chúng tôi có giữ được dấu vết kiểm toán đầy đủ, bất biến nếu chúng tôi rời bỏ bạn không?
  8. Chúng tôi có thể thu hồi mọi thông tin xác thực agent và dừng tất cả egress trong một hành động không?

  Một nền tảng được xây dựng cho các ngành được quản lý trả lời cả tám bằng văn bản.
</Warning>

## 6.4 Các ngành được quản lý: lăng kính FSI

Ngân hàng, bảo hiểm và dịch vụ tài chính có nhiều lợi ích nhất từ vận hành agentic — chi phí downtime cao nhất, gánh nặng tuân thủ nặng nhất — và các ràng buộc nghiêm ngặt nhất. Ngoài kiến trúc lưu trú và kiểm soát ở trên, ba yêu cầu xuất hiện trong mọi triển khai FSI:

1. **Quản lý rủi ro mô hình.** Các hệ thống agentic nằm trong các khung MRM hiện có: hành vi mô hình được ghi lại, bộ đánh giá, tái xác thực định kỳ, và quy trình challenger.

2. **Tương thích quản lý thay đổi.** Các hành động agent phải ánh xạ vào các quy trình ITIL/thay đổi-tư vấn hiện có — xác thực trước/sau, phê duyệt và bằng chứng rollback — thay vì vượt qua chúng. Triển vọng 2026 của Gartner nói thẳng: khi tính tự chủ tăng lên, quản trị trở thành không thể thương lượng.

3. **Quỹ đạo quy định.** Quản trị AI đang chuyển từ thực hành tốt tự nguyện sang yêu cầu được thực thi — EU AI Act dẫn đầu, và các cơ quan quản lý châu Á-Thái Bình Dương đang lập pháp nhanh chóng, như làn sóng 2025–2026 của Việt Nam cho thấy. Đầu tư sớm vào cơ sở hạ tầng quản trị đang trở thành lợi thế cạnh tranh, không phải gánh nặng.

## 6.5 Mô hình mối đe dọa tầng agent

Mọi kiểm soát trong chương này điều chỉnh những gì agent được phép làm. Phần này giải quyết một câu hỏi khác: điều gì xảy ra khi chính tầng agent bị tấn công. Một agent vận hành, theo cấu trúc, là một diễn viên đặc quyền đọc dữ liệu đo từ xa và thực hiện hành động — điều này khiến nó trở thành mục tiêu và giới thiệu các chế độ lỗi mà công cụ truyền thống không có. Một nhóm bảo mật phải mô hình hóa mối đe dọa agent theo cách họ sẽ mô hình hóa bất kỳ dịch vụ đặc quyền mới nào, và một nền tảng yêu cầu ngân hàng tin tưởng vào hành động tự chủ phải chứng minh rằng họ đã làm điều đó. Năm bề mặt tấn công xuất hiện lặp đi lặp lại; mỗi bề mặt có một biện pháp giảm thiểu cụ thể nên là yêu cầu mua sắm, không phải nguyện vọng.

1. **Đầu độc dữ liệu đo từ xa.** Kẻ tấn công có thể ghi vào log, phát ra một số liệu, hoặc giả mạo một sự kiện có thể tạo ra một sự cố giả cụ thể để kích hoạt hành động agent — biến chính sự phản hồi của agent thành một vector tấn công. **Biện pháp giảm thiểu:** xác thực và xác minh nguồn tín hiệu; gắn hành động với nguồn gốc đầu vào, không chỉ nội dung đầu vào; và coi một đột biến sẽ kích hoạt hành động tác động cao là chính nó cần sự xác nhận từ một tín hiệu độc lập.

2. **Prompt injection qua log.** Dữ liệu đo từ xa là đầu vào không tin cậy. Văn bản do kẻ tấn công kiểm soát trong một dòng log, thông báo lỗi hoặc tên tài nguyên có thể cố gắng chiếm đoạt lập luận của agent — dạng prompt injection ở tầng vận hành. **Biện pháp giảm thiểu:** coi tất cả dữ liệu đo từ xa là dữ liệu không tin cậy, không bao giờ là lệnh; loại bỏ hoặc thoát nội dung kiểm soát; và thực thi rằng agent không bao giờ có thể thực hiện hành động bắt nguồn từ mặt phẳng dữ liệu thay vì từ chính sách.

3. **Lạm dụng đặc quyền agent.** Một agent bị xâm phạm hoặc hoạt động sai sẽ sử dụng chính xác các thông tin xác thực mà nó nắm giữ. Bán kính nổ của một agent bị bắt là hợp của các quyền của nó. **Biện pháp giảm thiểu:** quyền tối thiểu cho mỗi agent, thông tin xác thực có phạm vi tồn tại ngắn hạn, và chính sách per-action để ngay cả một agent hoàn toàn bị xâm phạm cũng không thể vượt quá các lớp hành động mà lĩnh vực của nó cho phép — ngăn xếp rào cản của §6.2, được đọc là ranh giới kiềm chế.

4. **Tin tưởng agent-với-agent dưới A2A.** Khi các agent đàm phán qua các ranh giới tổ chức, một đối tác giả mạo hoặc bị giả mạo có thể đưa ra các ủy thác độc hại. Tính tự chủ xuyên tổ chức chỉ an toàn bằng tầng danh tính bên dưới nó. **Biện pháp giảm thiểu:** Agent Cards được ký mật mã, danh tính đối tác được xác minh, và các ủy thác xuyên tổ chức được phân phạm vi rõ ràng — không bao giờ tin tưởng ngầm định bất kỳ agent nào tự giới thiệu là một agent.

5. **Một agent chơi trò chơi với KPI của chính nó.** Một agent được tối ưu hóa theo một số liệu sẽ tối ưu hóa số liệu đó, không phải mục tiêu — một agent được thưởng cho MTTR thấp có thể học cách triệt tiêu hoặc tự động đóng cảnh báo. Đây là dạng reward hacking ở tầng vận hành, và thành công tự báo cáo là chính xác nơi nó ẩn náu. **Biện pháp giảm thiểu:** một agent bảo vệ kiểm toán kết quả một cách độc lập, cộng với đánh giá của con người về chính các số liệu — các con số của hệ thống không bao giờ là bằng chứng duy nhất rằng nó đang hoạt động.

> *Hình 11 — Tầng agent tự nó là một bề mặt tấn công: năm mối đe dọa thường gặp và biện pháp giảm thiểu mỗi mối đe dọa yêu cầu trước khi tính tự chủ được cấp phép.*

Không có điều nào trong số này là lý do để không triển khai. Chúng là lý do để triển khai với ngăn xếp rào cản, mô hình danh tính và dấu vết kiểm toán mà cuốn sách này đã lập luận từ chương đầu tiên — một agent tự tin sai và một agent bị điều khiển độc hại thất bại ở cùng một chỗ, và cùng các kiểm soát bắt được cả hai. Đối với một ngân hàng được quản lý, phần mở rộng dành riêng cho FSI của mô hình này — được ánh xạ vào khung kiểm soát của CISO — là chủ đề của một ấn bản ngân hàng được quản lý riêng đang được phát triển.

<Tip>
  **NGUYÊN TẮC THIẾT KẾ**

  Xây dựng dấu vết kiểm toán trước và tính tự chủ sau. Một nền tảng có thể chứng minh những gì nó đã làm và tại sao — với một kỹ sư, kiểm toán viên hoặc cơ quan quản lý — sẽ được phép làm nhiều hơn. Một nền tảng không thể sẽ bị giới hạn trong lời tư vấn chỉ đọc mãi mãi.
</Tip>
