Google tung “đặc vụ AI” săn cảnh báo tấn công mạng

Google vừa công bố bản thử nghiệm công khai của “đặc vụ AI” chuyên xử lý và điều tra cảnh báo an ninh mạng. Công cụ này hứa hẹn thay đổi cách các trung tâm điều hành an ninh vận hành, giảm gánh nặng thủ công và tăng tốc phát hiện các mối đe dọa.

Google chính thức giới thiệu bản public preview cho tác nhân Alert Triage and Investigation - một công cụ trí tuệ nhân tạo (AI) được thiết kế để hỗ trợ các đội ngũ an ninh mạng xử lý cảnh báo nhanh và chính xác hơn.

Đây là bước tiến lớn trong tham vọng xây dựng “Agentic SOC” - mô hình trung tâm điều hành an ninh vận hành chủ yếu bằng tự động hóa thông minh.

Công cụ AI mới hứa hẹn giảm gánh nặng xử lý cảnh báo cho đội ngũ an ninh mạng.

Thay vì các chuyên gia an ninh phải tự tay kiểm tra từng cảnh báo, hệ thống AI mới đảm nhiệm toàn bộ khâu sàng lọc, thu thập thông tin và đánh giá mức độ rủi ro.

Công nghệ này giúp đội ngũ bảo mật tập trung vào những cảnh báo thật sự quan trọng và cần đến sự phân tích của con người, thay vì bị cuốn vào hàng loạt tín hiệu giả hoặc mức nguy cơ thấp.

Trong giai đoạn thử nghiệm kín, tác nhân AI này đã xử lý hàng trăm nghìn cảnh báo từ nhiều tổ chức thuộc các ngành tài chính, bán lẻ và dịch vụ. Phản hồi từ phía người dùng cho thấy, lượng thời gian tiết kiệm được là “đáng kể”, theo mô tả của Google.

Nhiều tổ chức cho biết, các bản tóm tắt điều tra mà AI tạo ra giúp họ đưa ra quyết định nhanh hơn, khi toàn bộ thông tin phức tạp vốn phải truy vấn thủ công nay đã được tổng hợp gọn gàng.

Quy trình điều tra bắt đầu khi hệ thống phát hiện và tạo cảnh báo từ engine giám sát của Google. Tác nhân AI tiếp nhận từng cảnh báo, tự xây dựng kế hoạch điều tra linh hoạt dựa trên thông lệ tốt nhất do đội ngũ chuyên gia của Mandiant phát triển.

Từ đây, công cụ kích hoạt hàng loạt kỹ thuật phân tích: Tìm kiếm YARA-L để xác định sự kiện liên quan, phân tích dòng lệnh nhằm giải mã các chuỗi bị ẩn hoặc làm rối, làm giàu dữ liệu bằng trí tuệ đe dọa từ Google Threat Intelligence, đồng thời dựng lại cây xử lý để xem toàn cảnh hành vi của hệ thống bị tấn công.

Khi hoàn tất quy trình, AI đưa ra kết luận liệu cảnh báo có phải mối đe dọa thật hay không, kèm theo điểm tin cậy phản ánh mức độ chắc chắn của kết luận.

Google cho biết, tính minh bạch là nguyên tắc cốt lõi: Hệ thống luôn dẫn nguồn, mô tả rõ từng bước điều tra để chuyên gia hiểu cách mà AI đưa ra khuyến nghị. Điều này nhằm giải quyết lo ngại phổ biến về “hộp đen AI”, nơi thuật toán đưa ra quyết định nhưng không giải thích được lý do.

Để đảm bảo độ chính xác, Google áp dụng nhiều phương pháp đánh giá chéo, bao gồm so sánh kết quả của AI với chuyên gia con người và các kỹ thuật đánh giá AI chuyên biệt. Mục tiêu là không chỉ kiểm chứng chất lượng mà còn duy trì quá trình cải tiến liên tục.

Tất cả người dùng đủ điều kiện thuộc gói Google Security Operations Enterprise và Enterprise Plus có thể tham gia thử nghiệm công khai chỉ bằng cách nhấn vào biểu tượng Gemini trong giao diện nền tảng an ninh.

Sau khi kích hoạt, hệ thống sẽ tự động bắt đầu điều tra các cảnh báo mới, đồng thời cho phép người dùng chủ động yêu cầu AI phân tích những cảnh báo cụ thể.

Google dự kiến đưa công cụ này phát hành chính thức vào năm 2026, cùng nhiều nâng cấp sâu hơn về khả năng điều tra và tích hợp quy trình làm việc.

Nếu như kỳ vọng, “đặc vụ AI” này có thể trở thành mảnh ghép quan trọng của tương lai ngành an ninh mạng - nơi máy móc đảm nhiệm khối lượng công việc khổng lồ, còn con người tập trung vào phán đoán chiến lược và xử lý tình huống phức tạp./.