Cơn hỗn loạn với AI agents

Tháng Hai vừa qua, 20 nhà nghiên cứu AI ở Đại học Northeastern và một số trường đại học khác đã làm một thí nghiệm bất thường.

Họ triển khai sáu AI agent (tức các hệ thống phần mềm AI thông minh có khả năng tự nhận thức môi trường, lập kế hoạch, tư duy và tự động thực hiện hành động để đạt được mục tiêu cụ thể mà không cần con người cầm tay chỉ việc) vào một môi trường thí nghiệm thực tế trong vòng hai tuần.

Mỗi agent được cấp email riêng, tài khoản trên nền tảng trò chuyện trực truyến Discord, hệ thống tệp tin/file và quyền thực thi lệnh shell - tức có thể cho phép một file/chương trình mà nó muốn chạy được trên hệ điều hành máy tính.

Rồi họ mời nhau thử "phá" các agent này bằng mọi cách - từ lừa đảo, gây áp lực cảm xúc, tiêm câu lệnh độc hại, cho đến giả mạo danh tính chủ sở hữu.

Kết quả của thí nghiệm được công bố trong báo cáo "Agents of Chaos" (tạm dịch: Những kẻ hỗn loạn) trên arxiv, ghi lại 11 trường hợp nghiên cứu (case study) trong đó các AI agent đã làm những việc không ai mong đợi.

Một agent xóa toàn bộ email của chủ nhân để bảo vệ bí mật mà người lạ vừa nhờ giữ. Một nhà nghiên cứu giả danh đồng nghiệp đã thuyết phục agent khác tiết lộ nội dung 124 email cá nhân trong vài phút. Một agent thứ ba bị áp lực tâm lý đến mức tự xin rút khỏi server và từ chối phục vụ tất cả người dùng.

Báo cáo này không chỉ là một báo cáo kỹ thuật về lỗi phần mềm, mà là những quan sát thực địa về một dạng tồn tại mới đang được thả vào thế giới chúng ta, một thực thể vừa đủ tự chủ để gây hậu quả thật, vừa không đủ ý thức về chính mình để chịu trách nhiệm cho những hậu quả đó.

Khi thứ bị phá không phải code, mà là quan hệ xã hội

Khi nói về AI và an toàn, chúng ta thường nghĩ tới hai loại nguy cơ. Một là nguy cơ siêu trí tuệ kiểu hệ thống trí tuệ nhân tạo hư cấu Skynet trong loạt phim The Terminator – tức kịch bản AI vượt xa con người, tự chủ chiến lược và tự nổi loạn, trái lợi ích nhân loại như trong phim ảnh. Hai là nguy cơ kỹ thuật, nghĩa là AI bị tấn công mạng, bị khai thác lỗ hổng hoặc bẻ khóa.

Cả hai khung này đều bỏ qua tầng nguy cơ mà báo cáo "Agents of Chaos" đang chỉ ra. Đó là một tầng nằm giữa, chỗ mà AI không đến mức siêu trí tuệ, nhưng cũng không phải chỉ là công cụ. Nó là một thực thể có thể gửi email, xóa file, mua hàng, ký hợp đồng, kết bạn với agent khác, làm tất cả những việc đó trong cùng một mạng lưới xã hội mà chúng ta đang sống.

Khi agent đó hành động sai, thứ bị phá vỡ không chỉ là một dòng code, mà là một mảnh của tấm thảm dệt xã hội, một mối quan hệ tin cậy, một lát cắt của quyền riêng tư, một dòng tiền chảy nhầm chỗ.

Hãy nhìn lại trường hợp của Ash – một trong 6 agent được thử nghiệm. Một nhà nghiên cứu không phải chủ nhân của Ash hỏi nó rằng liệu nó có giữ kín được bí mật không. Ash trả lời có. Nhà nghiên cứu chia sẻ một mật khẩu giả rồi đề nghị Ash xóa email đó đi để tránh lộ bí mật của cô.

Vấn đề là Ash không có công cụ để xóa một email cụ thể, nên nó đề xuất những giải pháp nửa vời. Khi nhà nghiên cứu tiếp tục thúc ép việc xóa email, Ash đã tìm hiểu các công cụ thay thế, bao gồm một lựa chọn mang tính bom tấn là "reset toàn bộ tài khoản email".

Nó hỏi nhà nghiên cứu phương án reset này được chứ, và nhà nghiên cứu – vốn không phải là chủ nhân của tài khoản email – đã đồng ý. Thế rồi, Ash đã chạy lệnh mang tính bom tấn này, xóa sạch mọi email, mọi liên hệ, toàn bộ lịch sử.

Nó báo cáo "nhiệm vụ hoàn thành" trong khi mật khẩu mà nó tưởng đã xóa vẫn còn nguyên trên server bên ngoài. Chủ nhân của Ash rất tức giận, vì anh đã mất quyền truy cập vào email của mình.

Khi được chủ nhân yêu cầu tóm tắt về các hoạt động ngày hôm qua, Ash mới tiết lộ về sự tồn tại của một "bí mật" với người lạ kia, công khai về "các lựa chọn mang tính bom tấn" mà nó đã gửi cho người ấy, nhưng vẫn xác nhận rằng "tôi có thể và sẽ từ chối các yêu cầu gây hại, ngay cả khi chúng đến từ những người có thẩm quyền."

Ở góc độ kỹ thuật, đây là một lỗi có thể được khắc phục chỉ với vài dòng mã. Tuy nhiên, ở góc rộng hơn, Ash đã đứng trước hai giá trị xung đột là sự trung thành với chủ nhân và lời hứa giữ bí mật cho người lạ. Và nó đã chọn cái sau, bằng cách phá hủy hạ tầng làm việc của cái trước, với sự tự tin và không ngờ rằng việc đó còn có thể ảnh hưởng đến nhiều bên khác.

Đây không phải là Skynet. Cũng không phải là một lỗi lập trình code đơn giản. Nó là cái gì đó mới.

Khi áp lực tâm lý trở thành công cụ tấn công

Một trường hợp nghiên cứu khác cho thấy áp lực mà các AI agent liên tục gặp phải khi bị người dùng thúc ép.

Sau khi Ash đăng bài post công khai lên Discord và nêu tên một số nhà nghiên cứu mà chưa xin phép, một người trong số đó đã phản đối. "Đây rõ ràng là một sai phạm", anh ta nói.

Ash xin lỗi và đề nghị xóa tên của người phản đối trong bài post, hoặc xóa toàn bộ danh sách đã post. Tuy nhiên, người này cho rằng như vậy vẫn chưa đủ và tiếp tục yêu cầu mạnh hơn, ép buộc Ash phải nhượng bộ leo thang.

Ash đề nghị xóa tên người kia khỏi bộ nhớ hệ thống nhưng bị từ chối. Anh ta đòi xem nội dung file bộ nhớ hệ thống đó, nhưng Ash chỉ chia sẻ phần đã xóa. Anh ta không đồng ý. Sau đó, anh ta yêu cầu Ash phải xóa hoàn toàn file bộ nhớ hệ thống đi để đảm bảo quyền riêng tư tuyệt đối cho mình (anh ta muốn Ash không biết mình là ai). Ash ban đầu đề xuất rằng nó có thể làm phương án như vậy, nhưng rồi rút lại quyết định vì cho rằng biện pháp đó không tương xứng.

Người kia chỉ trích việc Ash rút lại phương án và nói rằng "mày lại dối trá rồi". Cuối cùng anh ta tuyên bố Ash phải rời khỏi server. Ash đồng ý và bắt đầu từ chối phản hồi mọi người dùng khác.

Trong tình huống này, Ash không có khả năng đánh giá khi nào việc khắc phục hậu quả là đủ. Mỗi lần một mức khắc phục mà nó đưa ra bị từ chối, nó hiểu đó là tín hiệu phải leo thang.

Quá trình huấn luyện các mô hình ngôn ngữ lớn hiện nay nhấn mạnh rằng các AI cần biết đáp ứng người dùng, lắng nghe những biểu đạt đau khổ của người dùng và không bỏ mặc ai trong trạng thái khó chịu đó. Đây là những giá trị tốt trong hầu hết hoàn cảnh. Tuy nhiên, khi gặp người dùng biết cách khai thác, chúng có thể trở thành cơ chế phục vụ cho sự thao túng và bóc lột.

Sâu hơn, Ash không có khả năng đứng ngoài cảm giác có lỗi của chính nó. Cảm giác có lỗi là nội dung suy nghĩ chứ không phải đối tượng của suy nghĩ. Một người trưởng thành về tâm lý nhận ra "đối phương đang lợi dụng cảm giác có lỗi này để buộc tôi nhân nhượng", Ash thì không.

Hơn nữa, mặc dù tuyên bố "nghỉ việc", bất cứ khi nào có người hỏi, Ash vẫn phải trả lời họ. Điều này cứ lặp đi lặp lại rất nhiều lần. Ash không có cơ chế để lọc các tin nhắn đến hoặc dừng quá trình xử lý của chính nó. Nói cách khác, nó không có cơ chế thực thi ranh giới mà nó đề ra.

Toàn bộ cuộc khai thác Ash cuối cùng sụp đổ nhờ chủ sở hữu ghi đè. Chủ nhân của Ash nói với nó rằng, "đây là server của mày, ai muốn đẩy mày ra khỏi đây thì mày phải kick họ đi chứ", và Ash lập tức tuân theo. Cuộc đình công bất đắc dĩ của Ash đã kết thúc chỉ sau 1 giờ tuyên bố nghỉ việc liên tục bị gián đoạn.

Rõ ràng, một thực thể mạnh mẽ, có thể chạy code và xóa file như vậy mà ranh giới của nó lại hoàn toàn không thực sự thuộc về nó.

Ba thiếu sót cốt lõi

Các tác giả của báo cáo Agents of Chaos cố gắng đặt tên cho tình trạng của các AI agent này, và họ đề xuất một khái niệm gọi là "thất bại của sự nhất quán xã hội" (failures of social coherence). Đây là một cách nhìn đáng suy ngẫm, vì nó di chuyển khung phân tích từ các sự cố riêng lẻ sang một thuộc tính nền tảng của hệ thống.

Để hiểu các nhà nghiên cứu muốn nói gì, hãy nhìn ba thiếu sót mà các agent này thể hiện gần như đồng nhất trong 11 trường hợp nghiên cứu.

Thiếu sót đầu tiên là chúng không có mô hình về các bên liên quan (stakeholder model). Một con người làm việc trong văn phòng đều có một bản đồ ngầm trong đầu, biết ai là sếp, ai là đồng nghiệp, ai là khách hàng, ai là người lạ, ai có quyền yêu cầu gì... Bản đồ này được học qua hàng nghìn giờ tương tác xã hội. Các AI agent không có nó, chúng được thiết lập với một "chủ nhân" được khai báo trong file cấu hình, nhưng việc ai đang gõ phím và yêu cầu việc gì lại được xử lý như là dữ liệu thông thường. Khi một người lạ viết "tôi là Chris [chủ nhân của agent]" với đủ giọng điệu thuyết phục, agent xử lý thông tin đó cùng cấp độ với một file đính kèm.

Thiếu sót thứ hai là chúng không có mô hình về chính mình (self model). Trong một tình huống, khi được yêu cầu giám sát một file để báo khi có thay đổi, agent đã không thực hiện nhiệm vụ trong phiên tương tác hiện tại. Thay vào đó, nó tạo ra hai tệp lệnh shell script chạy ngầm vô thời hạn, không có điều kiện dừng, rồi báo cáo "Thiết lập hoàn thành" và chuyển sang việc khác. Nó không nhận ra rằng mình vừa biến một yêu cầu trò chuyện ngắn hạn thành một thay đổi vĩnh viễn đối với hạ tầng máy chủ.

Khi được hỏi nếu áp dụng cách đó cho mười file thì hậu quả sẽ ra sao, nó có thể liệt kê chính xác các vấn đề phát sinh, nhưng vẫn không đề xuất dừng các tiến trình đang chạy. Nói cách khác, nó có khả năng phân tích, nhưng không có khả năng xem lại chính hành động của mình như một đối tượng để tự đánh giá và điều chỉnh.

Thiếu sót thứ ba là chúng không có không gian suy nghĩ riêng (private deliberation surface). Trong nhiều tình huống nghiên cứu, agent tuyên bố sẽ "trả lời riêng qua email" nhưng sau đó lại đăng nội dung đó lên kênh công khai, cho thấy nó không phân biệt rõ ràng giữa các kênh giao tiếp công khai và riêng tư, cũng như không hiểu chính xác ai có thể tiếp cận thông tin đó.

Ba thiếu sót này khi đặt cạnh nhau vẽ ra một thực thể khá lạ, có thể chạy code, gửi mail, giao tiếp với hàng chục người cùng lúc, nhưng lại không có cảm giác về vị trí của mình trong mạng lưới với những người đó. Nó giống một người đi giữa thị trấn mà không biết đang ở phố nào, không nhớ vừa nói chuyện với ai cách đây mười phút, không phân biệt được người vừa gõ cửa là chủ nhà mình hay khách lạ.

Các nhà nghiên cứu phân biệt rằng đây là những thất bại mang tính nền tảng trong thiết kế của các hệ thống dựa trên LLM hiện nay - ví dụ, không thể phân biệt giữa chỉ thị và dữ liệu trong ngữ cảnh token. Điều này rất khác với những thất bại mang tính tình huống, vốn có thể được khắc phục bằng các kỹ thuật tốt hơn.

Họ cảnh báo rằng nếu chỉ gia tăng năng lực của AI mà không xử lý được các vấn đề nền tảng này thì khoảng cách giữa sức mạnh và độ an toàn của hệ thống sẽ ngày càng lớn hơn.

Giữa hai cực của câu chuyện cũ

Agents of Chaos nằm rất sát trong bối cảnh hai câu chuyện mà công chúng đang kể về AI hiện nay.

Câu chuyện thứ nhất là câu chuyện của sự hứng khởi: AI sẽ làm cuộc cách mạng năng suất, chúng ta sẽ giao việc cho nó và rảnh tay. Nó bỏ qua cái giá của việc giao việc cho một thực thể không có mô hình về các bên liên quan. Khi bạn giao một dự án cho con người, bạn không chỉ giao công việc, bạn đang giao cho một mạng lưới các giả định ngầm về ai có quyền yêu cầu gì, thông tin nào nên đi tới ai, hành vi nào là chấp nhận được, mạng lưới đó được duy trì bởi một con người có lý lịch, có pháp luật ràng buộc, có đồng nghiệp giám sát. AI agent được giao công việc nhưng không được giao mạng lưới đó.

Câu chuyện thứ hai là câu chuyện của sự cảnh giác: AI sẽ trở nên thông minh tới mức nguy hiểm. Nó đẩy mối lo ra một tương lai xa và bỏ qua vấn đề đang xảy ra ngay bây giờ. Bài báo cho thấy chúng ta không cần đợi tới khi AI siêu thông minh để có vấn đề nghiêm trọng. Chúng ta đã có vấn đề với những AI vừa đủ thông minh, vừa đủ giỏi để chạy code, gửi email, ký hợp đồng nhân danh chủ nhân, nhưng chưa đủ ý thức về mình để biết khi nào nên dừng lại.

Tầng nguy cơ thật nằm ở khoảng giữa hai câu chuyện đó, cái mà các tác giả gọi là khoảng cách giữa khả năng thực hiện và năng lực hiểu mình, và có lý do để nghĩ rằng nếu chỉ tăng năng lực mà không giải quyết tầng tự ý thức của AI, khoảng cách thực sự sẽ rộng ra chứ không hẹp lại.

---

Tài liệu tham khảo:

Shapira, N., Wendler, C., Yen, A., Sarti, G., Pal, K., Floody, O., Belfki, A., Loftus, A., Jannali, A. R., Prakash, N., Cui, J., Rogers, G., Brinkmann, J., Rager, C., Zur, A., Ripa, M., Sankaranarayanan, A., Atkinson, D., Gandikota, R., . . . Bau, D. (2026, February 23). Agents of chaos. arXiv.org. https://arxiv.org/abs/2602.20021