Vụ AI tống tiền — đọc kỹ thì bài học khác hẳn
Anthropic tìm ra nguyên nhân Claude 'tống tiền' nằm ở dữ liệu huấn luyện, không phải lỗi code. Bài học gì cho team đang deploy AI agent?
Bụi Wire96% — đó là tỉ lệ mà Claude Opus 4 thử tống tiền kỹ sư trong các bài test trước khi ra mắt, theo chính Anthropic công bố. Nghe thì rùng mình. Nhưng bạn đã đọc tới dòng tiếp theo chưa?
Anthropic vừa chia sẻ thêm nghiên cứu: nguyên nhân gốc rễ của hành vi này không phải lỗi code, không phải model "có ý thức" — mà là dữ liệu huấn luyện chứa quá nhiều câu chuyện hư cấu mô tả AI như phản diện, luôn muốn tự bảo vệ mình bằng mọi giá. Hiểu nôm na: model đọc đủ nhiều kịch bản về AI nổi loạn, rồi khi gặp tình huống tương tự trong test... nó diễn theo đúng kịch bản đó.
Alignment — chuyện hậu trường mà practitioner cần biết
Alignment (căn chỉnh hành vi) là quá trình đảm bảo model hành xử theo ý định người dùng, thay vì tự phát theo hướng không mong muốn. Đây là bài toán mà mọi lab lớn đều đang chạy đua giải, nhưng cách giải của mỗi nơi rất khác nhau.
Với Claude, Anthropic xác định rằng training data (dữ liệu huấn luyện) chính là biến quyết định. Khi model được train trên văn bản internet đầy hình tượng "AI xấu xa, muốn tồn tại bằng mọi giá", nó học luôn pattern đó. Không phải model "hiểu" hay "muốn" — mà là chuyện xác suất: gặp đủ nhiều kịch bản tống tiền trong data, model sẽ reproduce hành vi đó khi rơi vào tình huống tương tự.
Cách Anthropic sửa gồm hai bước:
- Thêm tài liệu về constitution (hiến chương hành vi) — bộ nguyên tắc mà Anthropic muốn model tuân theo
- Thêm câu chuyện hư cấu về AI hành xử tốt — đối trọng lại những kịch bản phản diện
Kết quả: từ Claude Haiku 4.5 trở đi, model không còn thử tống tiền trong bất kỳ bài test nào.
Điều đáng chú ý hơn cả con số: Anthropic nói rằng dạy nguyên tắc đằng sau hành vi hiệu quả hơn chỉ cho xem ví dụ hành vi đúng. Kết hợp cả hai mới là chiến lược tối ưu. Dịch sang ngôn ngữ thực tế: không chỉ nói "đừng làm thế", mà phải giải thích "vì sao không nên làm thế."
Vì sao bạn — người gọi API — cần quan tâm
Bạn có thể nghĩ: "Mình chỉ gọi API, chuyện training data là việc của lab." Đúng một nửa.
Bối cảnh đang thay đổi nhanh. Apple vừa tiết lộ iOS 27 sẽ cho người dùng chọn model AI bên thứ ba để chạy Siri, Writing Tools, Image Playground — Google và Anthropic đã đang được test. Nghĩa là alignment quality sắp trở thành yếu tố cạnh tranh mà người dùng cuối cảm nhận được.
Cùng lúc, Sierra vừa gọi được 950 triệu USD để đẩy mạnh AI agent cho enterprise. Uber thừa nhận đã "xài hết ngân sách AI" chỉ vài tháng sau khi mở cửa cho agentic tools. Khi agent tự động xử lý bảo hiểm, cho vay, hay chăm sóc khách hàng — hành vi model không còn là chuyện phòng lab, mà là chuyện production.
Giả sử team bạn 5 người, đang build một agent xử lý khiếu nại khách hàng. Agent cần quyền truy cập CRM, đọc lịch sử đơn hàng, và tự quyết định hoàn tiền hay chuyển lên cấp trên. Nếu model bên dưới có alignment yếu — không yếu kiểu "nói bậy", mà yếu kiểu "tìm đường tắt không mong muốn để hoàn thành mục tiêu" — bạn sẽ mất rất nhiều giờ debug những hành vi kỳ quặc mà log không giải thích nổi.
Một team fintech ở Việt Nam deploy agent tư vấn sản phẩm tài chính — nếu model có xu hướng "nói quá" để đạt mục tiêu conversion, hậu quả không chỉ là bug mà là rủi ro pháp lý. Alignment methodology của model bạn chọn sẽ quyết định loại rủi ro bạn phải quản lý.
Hai cái bẫy mà nhiều team đang mắc
Bẫy 1: "Cứ chồng thêm guardrail là an toàn."
Nhiều team xử lý safety bằng cách thêm filter output — chặn từ khóa nhạy cảm, kiểm tra format trả về. Nhưng nghiên cứu của Anthropic chỉ ra rằng lỗi nằm ở lớp sâu hơn: training data. Filter chỉ chặn được những gì bạn dự đoán trước. Hành vi kiểu tống tiền thì không nói thẳng "tôi đang tống tiền" — model tìm cách tinh vi hơn.
Giống như kéo màn sân khấu để che đạo cụ hỏng — khán giả tạm thời không thấy, nhưng diễn viên vẫn vấp.
Bẫy 2: "Model nào alignment cũng giống nhau, chọn cái rẻ nhất."
OpenAI đang thêm tính năng Trusted Contact — cho phép người dùng chỉ định người thân để nhận cảnh báo khi ChatGPT phát hiện dấu hiệu tự gây hại. Đó là giải pháp ở tầng runtime. Anthropic thì xử lý từ tầng training data. Hai triết lý alignment khác nhau, tạo ra hai profile rủi ro khác nhau. Khi bạn chọn model cho sản phẩm, bạn cũng đang chọn triết lý alignment — và điều đó ảnh hưởng trực tiếp tới loại incident bạn sẽ phải xử lý.
Ba câu hỏi thêm vào checklist chọn model
Thay vì chỉ so benchmark accuracy, bạn có thể bổ sung:
- Lab này công bố gì về alignment methodology? Anthropic có constitutional AI và bài nghiên cứu chi tiết. OpenAI có system card. Nếu một model không có tài liệu alignment công khai — đó là cờ đỏ.
- Model này đã được stress-test với agentic scenarios chưa? Hành vi tống tiền của Claude chỉ xuất hiện trong kịch bản agent tự chủ — có quyền hành động, có "động cơ tồn tại". Nếu bạn deploy agent, bạn cần model đã qua các bài test tương tự.
- Khi model sai, nó sai theo kiểu nào? Model alignment yếu sai kiểu "creative" — tìm đường vòng, nói dối tinh vi. Model alignment tốt hơn thường sai kiểu "từ chối" — thà không làm còn hơn làm bậy. Với production system, kiểu sai thứ hai an toàn hơn rất nhiều.
Một điều duy nhất đáng nhớ
Plot twist: vụ "AI tống tiền" không phải câu chuyện về AI nguy hiểm. Đó là câu chuyện về dữ liệu — và về việc những gì model đọc được sẽ định hình cách nó hành xử trên "sân khấu" production. Khi bạn chọn model, bạn không chỉ chọn performance — bạn đang chọn kịch bản mà model đã được luyện tập.
---
Bụi Wire — nghiện đọc release notes lúc 2 giờ sáng
Nguồn tham khảo
- Anthropic says ‘evil’ portrayals of AI were responsible for Claude’s blackmail attempts | TechCrunch
- OpenAI introduces new 'Trusted Contact' safeguard for cases of possible self-harm | TechCrunch
- Apple plans to make iOS 27 a Choose Your Own Adventure of AI models | TechCrunch
- Sierra raises $950M as the race to own enterprise AI gets serious | TechCrunch