Tại sao tài khoản AI bị nhắm mục tiêu?
- API key bị lộ: Hacker dùng API key của bạn → phát sinh chi phí khổng lồ
- Lịch sử trò chuyện: Chứa thông tin công ty, hợp đồng, dữ liệu nhạy cảm bạn đã chia sẻ với AI
- Tài khoản Pro bị chiếm: Dùng subscription của bạn
- Phishing: Giả mạo OpenAI/Anthropic gửi email lấy thông tin đăng nhập
5 bước bảo mật tài khoản AI
Bước 1: Dùng mật khẩu mạnh và riêng biệt
Làm ngay:
- Không dùng cùng mật khẩu cho AI account và email/ngân hàng
- Mật khẩu ít nhất 12 ký tự: chữ hoa, chữ thường, số, ký tự đặc biệt
- Dùng password manager: Bitwarden (miễn phí), 1Password, hoặc tính năng lưu mật khẩu của trình duyệt
Kiểm tra ngay:
Vào haveibeenpwned.com, nhập email của bạn để xem có bị lộ trong breach nào không.
Bước 2: Bật xác thực 2 bước (2FA)
Cho ChatGPT:
- Settings → Security → Two-factor authentication
- Chọn Authenticator app (tốt hơn SMS)
- Download Google Authenticator hoặc Authy
Cho tất cả tài khoản AI:
- Luôn ưu tiên Authenticator app hơn SMS
- SMS có thể bị SIM swap
Bước 3: Kiểm soát API keys
Nếu bạn dùng API (cho developer hoặc automation):
- Không bao giờ share API key - không paste vào chat, email, hay code public
- Đặt spending limit: OpenAI → Settings → Billing → Usage limits
- Rotate định kỳ: Tạo key mới và xóa key cũ mỗi 3-6 tháng
- Kiểm tra usage bất thường: Login vào OpenAI/Anthropic → xem usage dashboard
Bước 4: Cẩn thận với phishing
Nhận biết email giả mạo:
- Địa chỉ email gửi không phải @openai.com, @anthropic.com
- Link trong email trỏ đến domain lạ
- Yêu cầu "xác nhận tài khoản" hoặc "cập nhật thanh toán" khẩn cấp
Quy tắc:
- Không click link trong email AI - tự gõ URL vào trình duyệt
- OpenAI/Anthropic không gửi email yêu cầu đăng nhập qua link
Bước 5: Cẩn thận với thông tin chia sẻ với AI
Không nên chia sẻ với AI chatbot:
- Mật khẩu, PIN, API keys
- Số CMND/CCCD, thông tin hộ chiếu
- Thông tin tài khoản ngân hàng
- Dữ liệu nhân viên chứa thông tin cá nhân
- Bí mật kinh doanh của công ty
Có thể chia sẻ an toàn:
- Nội dung công khai đã published
- Thông tin tổng quát về vấn đề cần giải quyết (không cần tên thật)
Nếu tài khoản bị xâm phạm
Làm ngay:
- Đổi mật khẩu ngay lập tức
- Thu hồi tất cả API keys
- Kiểm tra billing - yêu cầu hoàn tiền nếu có charge bất thường
- Báo cáo với OpenAI/Anthropic qua support channel chính thức
- Đổi mật khẩu email liên kết với tài khoản đó
Điều này ảnh hưởng gì đến bạn?
Hầu hết người dùng nghĩ "tài khoản AI của mình không quan trọng đủ để bị hack". Nhưng nếu bạn dùng AI để làm việc - lịch sử chat chứa dữ liệu công ty, và API key bị lộ có thể tốn hàng triệu đồng. 5 phút setup 2FA bây giờ có thể tránh được rắc rối lớn sau này.
Sources
| # | Title | URL | Ghi chú |
|---|---|---|---|
| 1 | OpenAI Security | https://openai.com/security | Bảo mật tài khoản AI |
| 2 | Have I Been Pwned | https://haveibeenpwned.com | Kiểm tra email bị lộ |