#Nist ai rmf

Đây là lần thứ 11 tôi thấy cùng một kịch bản: team build AI feature trong vài sprint, celebrate go-live, rồi 6 tháng sau không ai biết model version nào đang chạy, ai đã approve nó, và dữ liệu nào đã được dùng để train. Governance không phải bureaucracy — đó là cách duy nhất để scale AI mà không mất kiểm soát.

Prompt injection là lỗ hổng #1 theo OWASP LLM Top 10, xuất hiện trong 73% production AI deployment. 77% nhân viên đã paste dữ liệu công ty vào chatbot AI. Và từ ngày 2/8/2026, EU AI Act bắt đầu enforce các hệ thống AI "high-risk" — mức phạt stack lên GDPR, có thể lên đến 11% doanh thu toàn cầu. Bài này là 7-domain checklist để team deploy AI không bị "lỗ" về bảo mật và pháp lý.