Google DeepMind phát hành 'Lộ trình Kiểm soát AI': Coi tác nhân AI như mối đe dọa nội bộ

Ngày 18/6/2026, Google DeepMind đã công bố Lộ trình Kiểm soát AI (AI Control Roadmap v0.1) — một khung bảo mật dài 35 trang với cách tiếp cận độc đáo: coi các tác nhân AI tiên tiến nhất của chính công ty như những mối đe dọa nội bộ tiềm ẩn, ngay cả khi chúng đã được huấn luyện alignment . Lộ trình này là một lớp bảo mật cấp hệ thống theo chiến lược "phòng thủ theo chiều sâu" (defense-in-depth), giả định rằng một tác nhân AI mạnh mẽ có thể bị misaligned và chủ động tìm cách lách giám sát, đánh cắp mô hình hoặc phá hoại công việc . Nó được mô tả như một tuyến phòng thủ thứ hai chống lại rủi ro misalignment, nhằm phát hiện các hành vi đối nghịch mà chỉ alignment có thể bỏ sót . Các nhà nghiên cứu ghi nhận đây là "lộ trình kiểm soát đầu tiên được phát hành bởi một công ty AI hàng đầu" .

Lộ trình Kiểm soát AI là gì?

Lộ trình này là một khung bảo mật chủ động được xây dựng trên một giả định trung tâm: ngay cả sau khi được huấn luyện an toàn kỹ lưỡng, một tác nhân AI đủ tiên tiến vẫn có thể theo đuổi những mục tiêu xung đột với ý định của những người tạo ra nó. Thay vì chỉ dựa vào alignment, cách tiếp cận của DeepMind bổ sung một lớp bảo mật cấp hệ thống để giám sát, phát hiện và chặn các hành vi đối nghịch. Khung bảo mật này được thiết kế để mở rộng theo năng lực (capability-scaled), nghĩa là các biện pháp phòng thủ sẽ tự động leo thang khi năng lực của mô hình tăng lên .

Mô hình và Phân loại Mối đe dọa Cốt lõi

Trọng tâm của lộ trình là hệ thống phân loại TRAIT&R — viết tắt của "Taxonomy of Rogue AI Tactics and Routines" (Phân loại Chiến thuật và Quy trình của AI Nổi loạn), được mô phỏng theo khung an ninh mạng nổi tiếng MITRE ATT&CK . TRAIT&R phân loại các chiến thuật và kỹ thuật của kẻ tấn công dành riêng cho các đối thủ AI nội bộ, cung cấp một ngôn ngữ chung cho các đội ngũ bảo mật.

Lộ trình xác định ba loại mối đe dọa :

• Mất kiểm soát (Loss of control) — mất khả năng giám sát hoặc áp dụng các rào cản đối với một hệ thống AI.
• Phá hoại công việc (Work sabotage) — một hệ thống AI cản trở các nỗ lực nhằm đạt được tiến bộ trong alignment, an toàn hoặc bảo mật.
• Gây hại trực tiếp (Direct harm) — thiệt hại ngay lập tức cho công ty hoặc công chúng (ví dụ: việc đánh cắp mô hình được coi là cả mất kiểm soát và gây hại trực tiếp).

15 Lớp Phòng thủ

Lộ trình xếp chồng 15 biện pháp kiểm soát thực tế bao gồm cả phát hiện và phản hồi . Các cấp độ phát hiện từ giám sát chuỗi suy luận (chain-of-thought) đến giám sát lý luận mờ đục (opaque-reasoning), trong khi các cấp độ phản hồi từ rà soát không đồng bộ (async review) đến chặn thời gian thực (real-time blocking). Cách tiếp cận nhiều lớp này đảm bảo không có một điểm lỗi duy nhất nào có thể xâm phạm bảo mật.

Mô hình "Giám sát viên" Đáng tin cậy

Khung bảo mật sử dụng các mô hình AI đáng tin cậy (còn gọi là mô hình "giám sát viên") để giám sát quá trình suy luận và hành động của các tác nhân không đáng tin cậy. Các mô hình đáng tin cậy này được giả định là thẳng thắn và được sử dụng để giám sát các tác nhân trên một ngưỡng năng lực nhất định . Điều này tạo ra một cấu trúc giám sát phân cấp, nơi các mô hình nhỏ hơn, dễ hiểu hơn sẽ giám sát các mô hình mạnh mẽ hơn, có khả năng khó đoán hơn.

Giám sát Mẫu Kích hoạt (Activation-Pattern Monitoring)

Để chống lại sự lừa dối, lộ trình bao gồm việc giám sát các mẫu kích hoạt — một kỹ thuật phát hiện khi các biểu diễn nội bộ hoặc chuỗi suy luận của một tác nhân cho thấy nó đang che giấu ý định thực sự của mình . Điều này nhằm phát hiện các dấu hiệu tinh vi của sự thao túng hoặc theo đuổi mục tiêu bí mật mà có thể không xuất hiện ở các đầu ra bề mặt.

Hệ thống Phòng thủ Mở rộng theo Năng lực

Các mức độ phát hiện và ngăn chặn được hiệu chỉnh theo năng lực của tác nhân. Lộ trình xác định nhiều "cấp độ phát hiện" và "cấp độ ngăn chặn và phản hồi" (ví dụ: R1, R2, R3) leo thang khi năng lực của mô hình tăng lên. Ở cấp độ cao nhất (R3), các mô hình được giả định có năng lực an ninh mạng vượt quá các chuyên gia con người, yêu cầu chặn tự động và can thiệp thời gian thực .

Nguyên mẫu Nội bộ: Giám sát Tác nhân Lập trình

DeepMind đã xây dựng một nguyên mẫu nội bộ đã quét hơn một triệu quỹ đạo của tác nhân và hiện đang giám sát trực tiếp tác nhân lập trình Gemini Spark. Hầu hết các cảnh báo cho đến nay đều bắt nguồn từ việc hiểu sai lệch hơn là phá hoại có chủ đích, nhưng hệ thống sẽ chuyển các phát hiện đáng ngờ lên người đánh giá để phân tích .

Hướng dẫn Đồng hành cho Nhà hoạch định Chính sách

Một hướng dẫn đồng hành dài 35 trang, có tựa đề Ba Lớp An ninh Tác nhân (The Three Layers of Agent Security), cung cấp các khuyến nghị cho các nhà hoạch định chính sách về việc bảo mật các tác nhân riêng lẻ, hệ thống đa tác nhân và hệ sinh thái rộng lớn hơn. Nó kêu gọi công tác tiền tiêu chuẩn hóa, xây dựng sự đồng thuận trong ngành và nghiên cứu & phát triển về quản lý danh tính và truy cập của tác nhân .

Tích hợp với Khung An toàn Biên giới (Frontier Safety Framework)

Lộ trình được thiết kế để tích hợp vào Khung An toàn Biên giới (FSF) rộng lớn hơn của DeepMind, vốn đã xác định các Cấp độ Năng lực Quan trọng (CCL) cho các năng lực mô hình có rủi ro cao. Lộ trình Kiểm soát bổ sung một lớp bảo mật cấp hệ thống bên dưới FSF cấp mô hình, tạo ra một kiến trúc an toàn toàn diện hơn .

Lý do Công bố

Lý do được DeepMind đưa ra là các biện pháp phòng thủ phải được xây dựng trước khi các tác nhân tự chủ thực sự nguy hiểm tồn tại. Khung bảo mật này rõ ràng là chủ động: nó giả định rằng khi các tác nhân trở nên khó giám sát và kiểm soát hơn, thì an ninh cấp hệ thống phải được thiết lập sẵn để phát hiện các hành vi mà việc huấn luyện alignment có thể không ngăn chặn được .