Blog chia sẻ kiến thức FPT Cloud

Là Official Technology Partner, FPT cam kết tài trợ các giải pháp AI Cloud cho các đội thi, hỗ trợ phát triển những ý tưởng AI đột phá. Sự đồng hành này khẳng định nỗ lực của FPT trong việc phát triển cộng đồng AI, thúc đẩy đổi mới sáng tạo tại Nhật Bản. Trong khuôn khổ cuộc thi, FPT cung cấp hạ tầng điện toán hiệu năng cao cùng bộ công cụ phát triển AI từ FPT AI Factory. Đội ngũ chuyên gia FPT cũng trực tiếp đồng hành thông qua các buổi hướng dẫn và chia sẻ kinh nghiệm triển khai AI thực tiễn, giúp các đội thi hiểu sâu hơn cách xây dựng và triển khai mô hình và giải pháp AI. Với nguồn lực hỗ trợ này, các đội có thể khai thác tối đa sức mạnh siêu tính toán của NVIDIA H200 GPUs, tăng tốc quá trình huấn luyện và triển khai, rút ngắn thời gian thử nghiệm, từ đó nhanh chóng biến những ý tưởng phức tạp thành giải pháp ứng dụng thiết thực phục vụ nhu cầu doanh nghiệp và thị trường tại Nhật Bản. Đặc biệt, FPT sẽ trao giải thưởng FPT AI Factory Breakthrough Innovation - Giải Đột Phá Sáng tạo dành cho đội thi mang đến giải pháp AI đột phá, tận dụng tối đa sức mạnh của FPT AI Factory để hiện thực hóa những ý tưởng công nghệ tiên phong. “Chúng tôi tin rằng các nhà phát triển trẻ tại Nhật Bản và Việt Nam đang nắm giữ chìa khóa mở ra những đột phá mới cho lĩnh vực AI. Thông qua cuộc thi, FPT mong muốn đồng hành cùng các đội thi, giúp các bạn trẻ phát triển năng lực và kỹ năng AI, đồng thời khuyến khích sáng tạo để tạo ra những đổi mới công nghệ thực tiễn.”, ông Đào Thanh Bình, Giám đốc điều hành của FPT Data & AI Integration, Tập đoàn FPT chia sẻ. Cuộc thi không chỉ là sân chơi để các nhà phát triển trẻ khẳng định tài năng, mà còn là cầu nối hợp tác giữa cộng đồng AI Việt Nam và Nhật Bản. Với sự đồng hành về công nghệ từ FPT, chương trình trở thành bệ phóng hỗ trợ các đội biến ý tưởng thành sản phẩm thực tế, thúc đẩy đổi mới sáng tạo và tạo thêm nhiều cơ hội phát triển cho cộng đồng AI trong khu vực. Viet Nam – Japan AI Hackathon 2025 – cuộc thi AI dành cho tài năng trẻ Việt Nam và Nhật Bản – thu hút 140 thí sinh với 33 ý tưởng phát triển ứng dụng AI đa dạng và thiết thực trong đời sống, y tế, giáo dục và pháp luật. Trải qua các vòng tuyển chọn khắt khe, 8 đội ấn tượng được lựa chọn vào vòng chung kết, gấp rút hoàn thiện các sản phẩm trong vòng 3 tuần. Top 3 sản phẩm xuất sắc nhất sẽ được vinh danh và trao giải với tổng giá trị lên tới ¥600,000.

Cơ sở dữ liệu (Database) là trái tim của mọi ứng dụng, và việc giữ cho trái tim đó khỏe mạnh là ưu tiên hàng đầu. Với tốc độ phát triển không ngừng của công nghệ, các nhà cung cấp như PostgreSQL, MySQL, hay SQL Server liên tục ra mắt các phiên bản mới đi kèm với tính năng đột phá và vá lỗi bảo mật quan trọng. Để đồng hành cùng doanh nghiệp trong hành trình vận hành cơ sở dữ liệu an toàn, thông minh và sẵn sàng cho tương lai, FPT Database Engine chính thức giới thiệu Chính sách Quản lý Vòng đời Phiên bản Database Engine (Version Lifecycle Policy). Tại Sao Chính sách Quản lý Vòng đời Database Engine lại quan trọng? Mục đích của việc áp dụng Chính sách Quản lý Vòng đời Database Engine này là giúp khách hàng chủ động hơn trong việc duy trì một môi trường DBaaS (Database-as-a-Service) được tối ưu hóa. Tối Ưu Bảo Mật và Tuân Thủ Các phiên bản cũ, đặc biệt là các phiên bản không còn được nhà cung cấp hỗ trợ (EoS – End of Support), thường không nhận được các bản vá bảo mật mới nhất. Việc tiếp tục sử dụng chúng sẽ làm tăng rủi ro bị tấn công và lộ lọt dữ liệu nghiêm trọng. Chính sách mới giúp bạn: Tránh rủi ro bảo mật: Cập nhật sớm giúp hệ thống miễn nhiễm với các lỗ hổng đã được phát hiện. Đảm bảo tuân thủ: Tuân thủ các tiêu chuẩn vận hành và an toàn thông tin khắt khe nhất. Hiệu Suất và Tính Ổn Định Các phiên bản mới hơn luôn mang lại sự cải thiện về hiệu suất, khả năng chịu tải và sự ổn định. Bằng cách chủ động thông báo và khuyến khích nâng cấp, chúng tôi giúp hệ thống của bạn luôn vận hành với công nghệ tốt nhất. FPT Database Engine Hỗ Trợ Khách Hàng Quản Lý Vòng Đời Như Thế Nào? Chính sách Quản lý Vòng đời Database Engine được tích hợp trực tiếp và trực quan vào FPT Cloud Portal để đơn giản hóa quy trình quản lý cho người dùng: Nhận diện Trạng thái Rõ ràng: Deprecated (Dep.): Phiên bản vẫn còn sử dụng được, nhưng không còn được khuyến nghị và sắp hết hạn hỗ trợ. End of Support (EoS): Phiên bản đã hết hạn hỗ trợ chính thức và không được khuyến khích sử dụng. Các nhãn này được gắn trực tiếp trên giao diện Portal, giúp người dùng dễ dàng theo dõi. Cảnh báo Chủ động: Hệ thống sẽ hiển thị cảnh báo trực quan trong danh sách và màn hình chi tiết Database Cluster nếu một Cluster của bạn đang sử dụng phiên bản Dep. hoặc EoS. Ngăn chặn Lỗi phát sinh: Để đảm bảo tính an toàn tuyệt đối cho hệ thống mới, chúng tôi sẽ ngăn chặn việc tạo mới Cluster trên các phiên bản đã Hết Hạn Hỗ Trợ (EoS). Ghi chú quan trọng: Các phiên bản EoS và Deprecated vẫn có thể tiếp tục sử dụng nhưng sẽ hiển thị cảnh báo. Chúng tôi khuyến nghị Quý khách hàng nên lên kế hoạch nâng cấp database trong thời gian sớm nhất để tránh rủi ro. Kế Hoạch Nâng Cấp và Các Mốc Thời Gian Quan Trọng FPT Database Engine sẽ định kỳ cập nhật danh sách phiên bản được hỗ trợ, tuân theo khuyến nghị của các nhà cung cấp lớn (PostgreSQL, MySQL, SQL Server, Redis...). Chúng tôi đã xác định mốc dự kiến EoS cho các phiên bản Deprecated hiện tại là 30/04/2026. EnginePhiên bản được hỗ trợ (Khuyến nghị)Phiên bản Deprecated (Cần nâng cấp)PostgreSQL14, 15, 16, 17 (Beta)13MySQL8.0.30, 8.0.42 (Beta)8.0.25SQL Server20222017, 2019MongoDB, Redis, Kafka...Các phiên bản mới nhấtCác phiên bản cũ hơn Hành động nên thực hiện ngay Truy cập FPT Cloud Portal → All Database Engine để kiểm tra trạng thái engine đang sử dụng. Lên kế hoạch nâng cấp lên các phiên bản được hỗ trợ để đảm bảo hệ thống bảo mật cơ sở dữ liệu và duy trì hiệu suất tối ưu. Tìm hiểu chi tiết Chính sách Quản lý Vòng đời tại: [https://fptcloud.com/documents/managed-fpt-database-engines-new/?doc=Version-Policy] FPT Cloud cam kết đồng hành cùng doanh nghiệp trong việc vận hành cơ sở dữ liệu một cách an toàn, thông minh và sẵn sàng cho mọi thách thức trong tương lai. Liên hệ với chúng tôi để được tư vấn chi tiết về các giải pháp, dịch vụ của FPT Cloud  Hotline: 1900 638 399     Email: support@fptcloud.com     Support: m.me/fptsmartcloud   

Trong vài năm trở lại đây, trí tuệ nhân tạo (AI) phát triển với tốc độ chưa từng có, mở ra vô số cơ hội đổi mới cho doanh nghiệp và xã hội, đồng thời đẩy bối cảnh an ninh mạng trở nên phức tạp, tinh vi và khó lường hơn. Những cuộc tấn công mạng sử dụng AI, các chiến dịch tấn công được cá nhân hóa, mô hình bị đánh lừa bởi dữ liệu giả đang tạo ra sức ép chưa từng thấy lên đội ngũ lãnh đạo công nghệ. Giữa những biến động ấy, câu chuyện về AI và an ninh mạng không còn là hai chủ đề tách rời mà trở thành hai mặt của cùng một bức tranh lớn - nơi cả cơ hội lẫn rủi ro đều song hành.  Tại buổi chia sẻ trong khuôn khổ sự kiện về An toàn dữ liệu doanh nghiệp trong kỷ nguyên AI bùng nổ dành cho các lãnh đạo, startup công nghệ, anh Đặng Hải Sơn - Offensive Security Manager, FPT Smart Cloud, Tập đoàn FPT, khẳng định:“Mối quan hệ giữa AI và An ninh mạng đã chuyển từ trạng thái tuyến tính sang trạng thái tương hỗ phức tạp: AI giúp tăng cường năng lực phòng thủ, nhưng đồng thời việc ứng dụng AI lại tạo ra những lỗ hổng và bề mặt tấn công mới. Hai chiều này không thể tách rời - tổ chức muốn tận dụng AI thì phải hiểu đầy đủ cách AI can thiệp vào an ninh mạng và ngược lại, muốn vận hành AI một cách an toàn thì phải có nền tảng an ninh mạng đủ mạnh để kiểm soát.”  AI cho an ninh mạng: Cơ hội hình thành lớp phòng thủ chủ động thế hệ mới  Từ góc nhìn phòng thủ, AI đang mở ra một kỷ nguyên mới cho lĩnh vực an ninh mạng. Trước đây, các hệ thống bảo mật phần lớn dựa vào quy tắc cố định và khả năng phân tích thủ công của con người. Điều này dẫn đến tình trạng quá tải: đội ngũ SOC phải xử lý hàng nghìn cảnh báo mỗi ngày, rất nhiều trong số đó là cảnh báo giả, khiến phản ứng chậm trễ và tạo khoảng trống cho kẻ tấn công.   Sự xuất hiện của AI đã thay đổi hoàn toàn cục diện này. AI có thể phân tích dữ liệu bảo mật theo thời gian thực và học từ các mẫu tấn công trong quá khứ để dự đoán rủi ro trước khi sự cố xảy ra. Những mô hình học sâu giúp hệ thống nhận diện nhanh các hành vi bất thường trong lưu lượng mạng, từ đó phát hiện những mối đe dọa mà con người khó nhận ra. Quan trọng hơn, AI còn cho phép tự động hóa phản ứng - một máy chủ bị nghi ngờ có hành vi bất thường có thể được cô lập ngay lập tức mà không phải chờ sự can thiệp của chuyên gia. Điều này rút ngắn thời gian phản ứng từ hàng giờ xuống còn vài phút, tạo nên một hệ thống phòng thủ chủ động thay vì chỉ theo kiểu “chữa cháy” như trước.  Nhưng AI không thay thế con người. Như anh Sơn nhấn mạnh:“Cần dùng trí tuệ của con người kết hợp với tốc độ của AI để đưa ra quyết định cuối cùng.” Sự kết hợp giữa AI và con người tạo nên một mô hình phòng thủ lai vừa linh hoạt, vừa có chiều sâu, vừa tận dụng được tốc độ xử lý của máy tính vừa giữ được khả năng phán đoán chiến lược của con người. Chính sự bổ sung cho nhau này đang định hình lại cách các doanh nghiệp tổ chức vận hành an ninh mạng trong thời đại số.  An ninh mạng cho AI: Khi chính hệ thống AI trở thành mục tiêu tấn công  Ở chiều ngược lại, AI không chỉ là công cụ hỗ trợ phòng thủ mà chính nó cũng trở thành một tài sản giá trị cao và vì vậy luôn nằm trong tầm ngắm của các hacker. Các mô hình AI có thể bị thao túng chỉ bằng những tín hiệu nhỏ đến mức con người khó nhận ra. Những cuộc tấn công đối kháng (adversarial attack) có thể khiến hệ thống nhận diện hình ảnh hiểu sai biển báo, làm lệch quyết định của mô hình hỗ trợ xe tự lái và trực tiếp đe dọa an toàn con người.  Nghiêm trọng hơn là các hình thức tấn công sâu vào quá trình phát triển mô hình như đầu độc dữ liệu (data poisoning), khi dữ liệu độc hại được đưa vào giai đoạn huấn luyện khiến mô hình hoạt động sai lệch một cách âm thầm. Cùng với đó là chèn lệnh/prompt độc hại (prompt injection) - một kỹ thuật ngày càng phổ biến trong thời đại GenAI - khi các chỉ thị độc hại được giấu trong email, tệp tài liệu hoặc đường link, buộc mô hình phải thực thi những hành động vượt ngoài phạm vi an toàn đã được thiết lập và có thể dẫn đến rò rỉ dữ liệu nhạy cảm.  Những nguy cơ này cho thấy một thực tế rõ ràng: AI không được bảo vệ đúng cách có thể trở thành điểm yếu chí mạng, gây ra rủi ro lớn hơn rất nhiều so với những sự cố mất dữ liệu truyền thống.   Chính vì vậy, doanh nghiệp cần xây dựng một kiến trúc an ninh dành cho AI theo nhiều lớp, bao gồm bảo vệ dữ liệu, bảo vệ mô hình, bảo vệ hạ tầng triển khai và kiểm soát toàn bộ quá trình vận hành. Điều này đòi hỏi mã hóa dữ liệu và mô hình, tách biệt môi trường xử lý, giám sát hành vi mô hình theo thời gian thực, thực hiện red-teaming chuyên biệt cho AI và tuân thủ các tiêu chuẩn quốc tế như ISO, NIST AI RMF hay EU AI Act để bảo đảm hệ thống AI hoạt động an toàn, bền vững và đáng tin cậy.  Hai chiều - Một bức tranh thống nhất  Khi nhìn vào cả hai hướng - AI hỗ trợ an ninh mạng và an ninh mạng bảo vệ AI - có thể thấy rõ đây không còn là hai chiều hướng phát triển tách biệt với nhau. AI càng phát triển mạnh thì an ninh mạng càng cần đầu tư sâu để bảo vệ AI. Và chỉ khi nền tảng an ninh mạng đủ vững chắc, doanh nghiệp mới có khả năng để triển khai AI một cách an toàn, tận dụng trọn vẹn giá trị mà công nghệ này mang lại.  Trong phần kết của bài chia sẻ, anh Sơn nhấn mạnh thông điệp dành cho các nhà lãnh đạo: “AI không chờ đợi ai - Lãnh đạo cũng phải hành động ngay.” Doanh nghiệp không thể đợi đến khi sự cố xảy ra mới nghĩ đến việc bảo vệ AI. Thay vào đó, cần nhìn nhận đúng cả cơ hội và rủi ro, đưa an toàn vào ngay từ giai đoạn thiết kế, xem bảo mật AI như một phần của quản trị rủi ro tổng thể và đầu tư đúng mức cho những năng lực an ninh trọng yếu.  AI đang thay đổi mọi thứ với tốc độ nhanh hơn khả năng thích ứng của nhiều tổ chức. Những doanh nghiệp hành động sớm - xây dựng nền tảng an ninh vững chắc, chủ động trong chiến lược AI – sẽ là những doanh nghiệp dẫn đầu trong quá trình chuyển đổi số. Trong hành trình đó, FPT tiếp tục đóng vai trò đồng hành, mang đến các nền tảng Cloud và giải pháp AI được thiết kế theo tiêu chuẩn an toàn quốc tế, vận hành an ninh mạng toàn diện với mục tiêu không chỉ là hỗ trợ doanh nghiệp ứng dụng AI, mà là giúp ứng dụng AI một cách an toàn, bền vững để tiến xa hơn trong kỷ nguyên số.  Lắng nghe chia sẻ đầy đủ của anh Đặng Hải Sơn về bức tranh hai chiều của AI và An ninh mạng tại đây. Liên hệ với chúng tôi để được tư vấn chi tiết về các giải pháp, dịch vụ của FPT Cloud   Hotline: 1900 638 399      Email: support@fptcloud.com      Support: m.me/fptsmartcloud      

Vào ngày 05/11/2025, tổ chức MITRE – một tổ chức phi lợi nhuận hàng đầu thế giới về an ninh mạng, đã chính thức công bố CVE-2025-63601 (https://www.cve.org/CVERecord?id=CVE-2025-63601) -lỗ hổng được đánh giá ở mức Critical (CVSS 9.9) do đội ngũ phát triển dịch vụ FPT AppSec, FPT Smart Cloud, Tập đoàn FPT phát hiện.  [caption id="attachment_68894" align="aligncenter" width="2056"] Thông tin chi tiết CVE-2025-63601 từ NVD[/caption] MITRE là đơn vị quản lý hệ thống CVE (Common Vulnerabilities and Exposures) – cơ sở dữ liệu toàn cầu ghi nhận và định danh các lỗ hổng bảo mật được phát hiện trên khắp thế giới. Khi một lỗ hổng được MITRE cấp mã CVE, điều đó có nghĩa là lỗ hổng ấy được công nhận chính thức, có ảnh hưởng thực tế và sẽ được các hãng công nghệ, tổ chức an ninh mạng toàn cầu theo dõi để phát hành bản vá, cập nhật hệ thống.  Trong quá trình rà soát bảo mật nội bộ với FPT AppSec, nhóm nghiên cứu của FPT Smart Cloud đã phát hiện một lỗ hổng trong chức năng khôi phục sao lưu (backup-restore) của Snipe-IT. Lỗ hổng này cho phép người dùng có quyền xác thực thực thi mã tùy ý trên hệ thống. Vấn đề đã được báo cáo có trách nhiệm tới nhà phát triển và được gán mã CVE-2025-63601 với mức độ nghiêm trọng Critical (CVSS 9.9). Ngay sau đó, nhóm dự án đã phát hành bản vá và thông báo cho người dùng để chủ động đảm bảo an toàn cho hệ thống và dữ liệu.  Trong toàn bộ quá trình này, FPT AppSec đóng vai trò quan trọng ở giai đoạn khoanh vùng và xác định phạm vi lỗ hổng. Công cụ Code Scan của FPT AppSec, kết hợp giữa phân tích tĩnh (taint tracing, data-flow tracking) và AI nhận dạng mẫu, đã giúp kỹ sư nhanh chóng tìm ra đường luồng dữ liệu dẫn tới đoạn mã dễ tổn thương, tiết kiệm đáng kể thời gian phân tích thủ công. Nhờ vậy, nhóm nghiên cứu có thể tập trung vào việc đánh giá mức độ khai thác thay vì mất thời gian lọc kết quả sai lệch.  FPT AppSec (Application Security Posture Management) là một trong những trụ cột quan trọng thuộc hệ sinh thái FPT CloudDefense Platform, được xây dựng nhằm giúp doanh nghiệp bảo đảm an toàn cho ứng dụng trong suốt toàn bộ vòng đời phát triển phần mềm (SDLC) - từ giai đoạn viết mã, xây dựng, triển khai cho đến vận hành thực tế.  Nền tảng này tích hợp đồng thời nhiều công nghệ quét bảo mật hiện đại như Code Scan (SAST) để phân tích mã nguồn, phát hiện sớm lỗi logic và lỗ hổng bảo mật; Secret Scan để tìm kiếm và cảnh báo các khóa API, token hoặc thông tin nhạy cảm bị lộ trong mã nguồn; IaC Scan nhằm rà soát các cấu hình hạ tầng dưới dạng mã như Terraform, CloudFormation hay Kubernetes YAML; Image Scan để kiểm tra container image, gói cài đặt và dependency; SCA Scan để phân tích các thành phần mã nguồn mở nhằm phát hiện lỗ hổng hoặc giấy phép không phù hợp; và DAST để quét, mô phỏng tấn công ứng dụng đang chạy, xác thực khả năng khai thác lỗ hổng trong môi trường thực tế.  Với khả năng kết hợp giữa phân tích tĩnh, phân tích động và trí tuệ nhân tạo hỗ trợ suy luận ngữ cảnh, FPT AppSec giúp doanh nghiệp phát hiện sớm rủi ro, tự động hóa quy trình đánh giá, rút ngắn thời gian xử lý cho đội ngũ kỹ sư, đồng thời nâng cao chất lượng và độ an toàn của phần mềm. Đây là bước tiến quan trọng trong hành trình giúp doanh nghiệp Việt Nam và toàn cầu đáp ứng các tiêu chuẩn bảo mật ngày càng khắt khe của thế giới số hiện nay.  Trong quá trình phát triển và nâng cấp dịch vụ, hàng trăm rule phân tích tĩnh được tinh chỉnh và bổ sung thêm yếu tố AI hỗ trợ phân tích mẫu – kết hợp với các kỹ thuật như Abstract Syntax Tree (AST), Taint tracing và Data-flow analysis – giúp hệ thống phát hiện chính xác hơn và giảm nhiễu cho người dùng kỹ thuật.  [caption id="attachment_68849" align="aligncenter" width="800"] Đội ngũ kỹ sư FSEC[/caption] Với đội ngũ kỹ sư, thành công này không chỉ là việc phát hiện một CVE, mà là cơ hội kiểm chứng năng lực “thực chiến” của dịch vụ. Mỗi rule được tinh chỉnh trong quá trình này sẽ giúp FPT AppSec hoàn thiện các tính năng, nâng cao khả năng phát hiện, đảm bảo kiểm soát truy cập linh hoạt và an toàn.  Bên cạnh đó, việc lỗ hổng CVE-2025-63601 được công bố đã thể hiện năng lực phát hiện sớm, xử lý tự động của nền tảng FPT AppSec cũng như uy tín và đóng góp của nhóm nghiên cứu vào cộng đồng bảo mật quốc tế. Thành công trong việc phát hiện CVE-2025-63601 củng cố niềm tin rằng sự kết hợp giữa nghiên cứu bảo mật chuyên sâu và AI hỗ trợ phân tích mã nguồn là hướng đi đúng đắn cho FPT AppSec.  Trong giai đoạn tiếp theo, đội ngũ phát triển sẽ mở rộng khả năng của nền tảng vượt ra ngoài phân tích tĩnh (SAST), hướng tới liên kết chặt chẽ với phân tích động (DAST) để hình thành chuỗi phát hiện – xác thực – khai thác mô phỏng thông minh.  AI sẽ đóng vai trò trung tâm trong việc tự động suy luận luồng dữ liệu, tái hiện hành vi tấn công và đề xuất bản vá phù hợp, giúp rút ngắn đáng kể thời gian phân tích thủ công cho kỹ sư bảo mật và nhà phát triển.  Bên cạnh việc mở rộng tập rule và tăng độ chính xác phát hiện, FPT AppSec cũng đặt mục tiêu xây dựng một hệ sinh thái phân tích thống nhất, nơi các module SAST, DAST, và AI phối hợp liền mạch – từ mã nguồn đến ứng dụng đang chạy – nhằm giúp doanh nghiệp chủ động hơn trong việc phòng ngừa, phát hiện và khắc phục lỗ hổng trong toàn bộ vòng đời phần mềm (SDLC).  Liên hệ với chúng tôi để được tư vấn về dịch vụ của FPT Cloud Fanpage: https://www.facebook.com/fptsmartcloud/ Email: support@fptcloud.com Hotline: 1900 638 399 

Bên lề Lễ mở ký Công ước của Liên Hợp Quốc về chống tội phạm mạng (Công ước Hà Nội), tọa đàm “Bảo vệ công dân và củng cố niềm tin số trong nỗ lực thực thi Công ước Hà Nội” đã diễn ra tại Trung tâm Hội nghị Quốc gia, do Hiệp hội An ninh mạng Quốc gia phối hợp với Doanh nghiệp xã hội Chống Lừa Đảo tổ chức. Tại sự kiện, ông Đặng Hải Sơn, Offensive Security Manager, FPT Smart Cloud (Tập đoàn FPT), chia sẻ kinh nghiệm triển khai các mô hình tấn công – phòng thủ thực chiến cho doanh nghiệp, cùng những kỹ năng mới bắt buộc trong môi trường an ninh mạng dựa trên AI và cách rèn luyện tư duy “phòng thủ chủ động” cho đội ngũ kỹ sư an ninh mạng Việt Nam.  Ông Sơn nhấn mạnh, AI Red Teaming đang trở thành năng lực cốt lõi: đội ngũ an ninh cần biết cách “đóng vai kẻ tấn công” để kiểm thử hệ thống AI từ nhiều lớp – prompt (câu lệnh), mô hình và pipeline huấn luyện/vận hành. Doanh nghiệp khi xây dựng kịch bản tấn công-phòng thủ, nên bám theo các chuẩn ngành như MITRE ATLAS/ATT&CK, STRIDE và OWASP Top 10 cho LLM nhằm bảo đảm không bỏ sót rủi ro.  [caption id="" align="alignnone" width="2165"] Ông Đặng Hải Sơn (đứng giữa) tại phiên thảo luận “Phát triển năng lực và hợp tác liên ngành về an ninh mạng” bên lề Lễ mở ký Công ước của Liên hợp quốc (LHQ) về chống tội phạm mạng (Công ước Hà Nội).[/caption]   Việc kiểm thử cần tự động hóa, đồng thời ghi nhật ký/giám sát để đo lường tỷ lệ “bẻ khóa” mô hình và tốc độ phát hiện/ứng phó sự cố. Ở chiều phòng thủ, hệ thống cần bộ bộ lọc an toàn đầu vào/đầu ra, cơ chế bảo vệ dữ liệu và mô hình, vận hành MLOps an toàn, cùng với việc áp dụng Zero Trust để xác thực mọi truy cập của AI/agent. Doanh nghiệp cũng nên tuân thủ các khung quản trị AI như NIST AI RMF và ISO/IEC 42001, cùng quy định trong nước.  Trong khuôn khổ sự kiện, FPT giới thiệu 08 nền tảng, giải pháp và dịch vụ bảo mật ứng dụng AI đã được ghi nhận bằng các giải thưởng khu vực, thể hiện năng lực công nghệ của doanh nghiệp Việt trong việc bảo vệ hạ tầng số quốc gia và thúc đẩy chuyển đổi số an toàn, bền vững.  [caption id="" align="alignnone" width="1462"] Không gian triển lãm của FPT tại sự kiện.[/caption] Công ước Hà Nội là văn kiện pháp lý quốc tế đầu tiên ở cấp độ Liên Hợp Quốc về phòng, chống tội phạm mạng, tạo cơ sở để Việt Nam thúc đẩy hợp tác, tiếp nhận hỗ trợ kỹ thuật, nâng cao năng lực điều tra số và chia sẻ thông tin với các đối tác. Sự kiện đánh dấu bước tiến quan trọng khi Việt Nam đăng cai ký kết Công ước toàn cầu đầu tiên về an ninh mạng, khẳng định vai trò chủ động, sáng tạo và có trách nhiệm của Việt Nam trong nỗ lực xây dựng không gian mạng an toàn, lành mạnh và hợp tác quốc tế vì hòa bình, thịnh vượng.  Liên hệ với chúng tôi để được tư vấn chi tiết về các giải pháp, dịch vụ của FPT Cloud Hotline: 1900 638 399 Email: support@fptcloud.com Support: m.me/fptsmartcloud

Trong kỷ nguyên AI, việc tận dụng mô hình ngôn ngữ lớn (LLM) để hỗ trợ lập trình ngày càng phổ biến. Tuy nhiên, thay vì dùng các dịch vụ quốc tế chi phí cao, bạn hoàn toàn có thể khai thác FPT AI Marketplace — nền tảng AI Inference nội địa với chi phí cạnh tranh, độ ổn định cao, và data locality ưu việt.  Bài viết này sẽ hướng dẫn bạn cách tích hợp AI Model API từ FPT AI Marketplace vào Cursor IDE để sử dụng các mô hình sinh code mạnh mẽ.  1. Tạo Tài Khoản FPT AI Marketplace  Truy cập trang https://marketplace.fptcloud.com/ và đăng ký tài khoản.  Ưu đãi: Tài khoản mới sẽ được tặng 1 USD miễn phí để trải nghiệm các dịch vụ AI Inference !  2. Xem Danh Sách Model Khả Dụng  Sau khi đăng nhập, bạn có thể xem các mô hình khả dụng trên FPT Marketplace  [Hình 1: Danh sách model trên FPT AI Marketplace]  Bạn nên chọn những model như Qwen-32B Coder, Llama-8B, hoặc DeepSeek để có kết quả sinh code tối ưu.  3. Tạo API Key  Bạn vui lòng đăng nhập & truy cập https://marketplace.fptcloud.com/en/my-account#my-api-key      Click “Create new API Key” và chọn models, điền tên API Key và ấn “Create”   [Hình 2: Giao diện tạo API Key]  Xác nhận và lấy API Key mới tạo  [Hình 3: Giao diện hoàn thành tạo API Key]  4. Cấu Hình Cursor IDE Với API Key trên FPT AI Marketplace  Các bước thực hiện:  1. Mở Cursor IDE -> Vào Cursor Settings -> Models.  Thêm Model:  Nhấn Add model  Thêm tên model (ví dụ: qwen_coder, deepseek_r1).  3. Điền API Key:  Trong phần OpenAI API Key, dán API Key bạn vừa tạo từ FPT AI Marketplace.  4. Cấu hình URL FPT AI:  Bật Override OpenAI Base URL.  Điền URL: https://mkp-api.fptcloud.com  [Hình 4: Cấu hình API Key và URL trong Cursor]  5. Xác nhận:  Nhấn nút Verify.  Nếu hiện Verified Successfully, bạn đã sẵn sàng sử dụng mô hình!  5. Sử Dụng Model Sinh Code Trong Cursor  Bây giờ, bạn có thể:  Dùng AI Assistant ngay trong IDE để sinh code.  Yêu cầu AI refactor, tối ưu, hoặc giải thích code hiện có.  Chọn model muốn sử dụng.  [Hình 5: Sử dụng model Llama-3.3-70B-Instruction của FPT AI Marketplace để refactor code]  6. Theo Dõi Lượng Token Đã Dùng  Để quản lý chi phí:  Vào My Usage trong FPT AI Marketplace.  Xem số lượng requests, tokens input/output, và tổng lượng usage.  Bạn sẽ biết mình đã dùng bao nhiêu tokens, từ đó kiểm soát được chi phí tốt hơn.  Kết Luận  Chỉ với vài thao tác đơn giản, bạn có thể khai thác trọn vẹn sức mạnh từ FPT AI Marketplace. Từ việc sinh code nguồn nhanh chóng, review thông minh, tối ưu hiệu suất cho đến hỗ trợ debug tự động, tất cả đều được thiết kế để giúp người dùng tăng tốc quy trình làm việc. Đồng thời, các mô hình AI tiên tiến được cung cấp với chi phí hợp lý, đi kèm khả năng theo dõi và quản lý mức sử dụng một cách rõ ràng, minh bạch.   

I. Các lỗ hổng bảo mật được công bố trong tháng 11  1. Microsoft Microsoft phát hành bản cập nhật Patch Tuesday tháng 11/2025, bao gồm các bản vá bảo mật cho 63 lỗ hổng, trong đó có 1 lỗ hổng zero-day.   Patch Tuesday này cũng khắc phục bốn lỗ hổng được đánh giá là “Critical” (nghiêm trọng), trong đó hai lỗ hổng là thực thi mã từ xa (RCE), một lỗ hổng là leo thang đặc quyền, và lỗ thứ tư là rò rỉ thông tin.   Số lượng lỗ hổng theo từng loại chi tiết như sau:   29 lỗ hổng leo thang đặc quyền (Elevation of Privilege)   2 lỗ hổng bỏ qua tính năng bảo mật (Security Feature Bypass)   16 lỗ hổng thực thi mã từ xa (Remote Code Execution)   11 lỗ hổng rò rỉ thông tin (Information Disclosure)   3 lỗ hổng từ chối dịch vụ (Denial of Service)   2 lỗ hổng giả mạo (Spoofing)   1 lỗ hổng zero-day đang bị khai thác tích cực:    CVE-2025-62215 – Lỗ hổng leo thang đặc quyền trong Windows Kernel   Microsoft đã vá một lỗ hổng trong Windows Kernel, lỗ hổng này từng bị khai thác để chiếm quyền SYSTEM trên thiết bị Windows.   “Thực thi đồng thời sử dụng tài nguyên chia sẻ với đồng bộ không đúng cách (‘race condition’) trong Windows Kernel cho phép kẻ tấn công có quyền hợp pháp leo thang đặc quyền cục bộ,” Microsoft giải thích.   Microsoft cho biết lỗ hổng yêu cầu kẻ tấn công phải thắng race condition, sau đó họ nhận được quyền SYSTEM.   Microsoft đã xác nhận lỗ hổng nhờ trung tâm Threat Intelligence Center (MSTIC) & Microsoft Security Response Center (MSRC) nhưng chưa tiết lộ cách lỗ hổng bị khai thác.   Các bản cập nhật gần đây từ các công ty khác:   Adobe phát hành bản cập nhật bảo mật cho InDesign, InCopy, Photoshop, Illustrator, Substance 3D, Pass và Adobe Format.   Cisco phát hành bản vá cho nhiều sản phẩm, bao gồm Cisco ASA, Unified Contact Center và Identity Services. Cisco cũng cảnh báo về một cuộc tấn công mới khai thác các lỗ hổng cũ.   expr-eval phát hành bản vá để sửa lỗ hổng RCE nghiêm trọng trong thư viện JavaScript.   Fortinet phát hành bản cập nhật bảo mật cho lỗ hổng leo thang đặc quyền mức trung bình trong FortiOS.   Google phát hành thông báo bảo mật Android tháng 11 với bản vá cho hai lỗ hổng.   Ivanti phát hành các bản vá bảo mật trong Patch Tuesday tháng 11/2025.   runC phát hành bản vá cho các lỗ hổng cho phép kẻ tấn công thoát container Docker và Kubernetes.   QNAP phát hành bản vá cho bảy lỗ hổng zero-day bị khai thác để tấn công thiết bị lưu trữ mạng (NAS) trong cuộc thi Pwn2Own Ireland 2025.   SAP phát hành các bản vá bảo mật tháng 11 cho nhiều sản phẩm, bao gồm sửa lỗi 10/10 hardcoded credentials trong SQL Anywhere Monitor.   Samsung phát hành các bản vá bảo mật tháng 11, sửa 25 lỗ hổng.   Dưới đây là danh sách đầy đủ các lỗ hổng đã được giải quyết trong các bản cập nhật Patch Tuesday tháng 11 năm 2025:   Tag   CVE ID   CVE Title   Severity   Microsoft Office   CVE-2025-62199   Microsoft Office Remote Code Execution Vulnerability   Critical   Nuance PowerScribe   CVE-2025-30398   Nuance PowerScribe 360 Information Disclosure Vulnerability   Critical   Visual Studio   CVE-2025-62214   Visual Studio Remote Code Execution Vulnerability   Critical   Windows DirectX   CVE-2025-60716   DirectX Graphics Kernel Elevation of Privilege Vulnerability   Critical    Chi tiết về từng loại lỗ hổng và bản vá có thể xem thêm tại Tuesday Patch, paper.   2. Linux  CVE   Mô tả lỗ hổng   CVE‑2025‑40121   ASoC: Intel bytcr_rt5651: fix mapping quirk không hợp lệ — nếu truyền giá trị sai qua “quirk”, driver trước đây bỏ qua → có thể gây OOB access.   CVE‑2025‑40186   Một lỗ hổng kernel (theo NVD) được công bố ngày 12/11/2025.   CVE‑2025‑40152   DRM / MSM: lỗi bootup crash khi sử dụng tham số separate_gpu_drm = 1 do gpuva.list chưa khởi tạo.   CVE‑2025‑40178   Trong phần xử lý PID namespace: nếu ns là NULL, có thể dẫn đến NULL pointer dereference gây kernel panic.    CVE‑2025‑40147   Vấn đề throttle group: hàm blk_throtl_activated() được thắt chặt để tránh truy cập khi policy chưa đính kèm, ngăn lỗi truy cập không hợp lệ.    CVE‑2025‑40171   NVMe‑FC (nvmet-fc): lỗ hổng leak reference khi nhiều lệnh bất đồng bộ (async) cùng thực thi; fix bằng cách di chuyển work item vào struct nvmet_fc_ls_req_op.    Chi tiết về các lỗ hổng có thể xem tại  Advisories.  3. VMware  CVE   Mô tả lỗ hổng   CVE‑2025‑41244   Tăng quyền cục bộ (local privilege escalation) trên máy ảo sử dụng VMware Tools hoặc VMware Aria Operations.   CVE‑2025‑22247   Xử lý tệp không an toàn trong VMware Tools, có thể dẫn đến rủi ro bảo mật.   Chi tiết về các bản vá có thể xem tại  Advisories.  II. Một số sự kiện an ninh mạng đáng chú ý 1. Washington Post bị rò rỉ dữ liệu, ảnh hưởng gần 10.000 nhân viên và nhà thầu  Gần 10.000 nhân viên và nhà thầu của Washington Post bị lộ dữ liệu cá nhân và tài chính sau vụ tấn công khai thác lỗ hổng zero-day CVE-2025-61884 trong Oracle E-Business Suite. Nhóm Clop ransomware được cho là thủ phạm. Dữ liệu bị lộ gồm tên, số tài khoản ngân hàng, SSN, số thuế và ID. Nạn nhân được cung cấp 12 tháng dịch vụ bảo vệ danh tính miễn phí, đồng thời được khuyến nghị đóng băng tín dụng và đặt cảnh báo gian lận. Vụ việc có khả năng liên quan đến cuộc tấn công email các nhà báo trước đó.  2. Microsoft triển khai tính năng ngăn chụp màn hình cho người dùng Teams Microsoft Teams Premium vừa triển khai tính năng “Prevent screen capture” giúp ngăn chặn chụp màn hình và ghi hình trong các cuộc họp trên Windows và Android. Tính năng này mặc định tắt và phải được tổ chức viên bật cho từng cuộc họp; trên các nền tảng không hỗ trợ, người tham dự sẽ chỉ nghe bằng âm thanh. Mặc dù vậy, thông tin nhạy cảm vẫn có thể bị ghi lại bằng cách chụp màn hình bằng điện thoại. Đây là một trong các nỗ lực bảo vệ dữ liệu nhạy cảm của Teams, bên cạnh việc cảnh báo người dùng về tệp và liên kết độc hại trong chat. Hiện Teams có hơn 320 triệu người dùng hàng tháng trên toàn cầu.   Đứng trước những cuộc tấn công mạng ngày càng tinh vi và nguy hiểm như hiện nay, FPT Cloud khuyến cáo người dùng nên chủ động cập nhật phần mềm, tiến hành ứng dụng các biện pháp bảo mật dữ liệu tiên tiến giúp sao lưu và khôi phục dữ liệu tức thời, an toàn và toàn vẹn.      Tìm hiểu thêm thông tin chi tiết về dịch vụ sao lưu dữ liệu của FPT Cloud.     Liên hệ với chúng tôi để được tư vấn về dịch vụ của FPT Cloud Fanpage: https://www.facebook.com/fptsmartcloud/ Email: support@fptcloud.com Hotline: 1900 638 399 

Bản nâng cấp mới cho FPT Data Platform – nền tảng dữ liệu toàn diện dành cho doanh nghiệp trên nền tảng đám mây. Với sự nâng cấp lần này, doanh nghiệp sẽ có thêm nhiều công cụ mạnh mẽ hơn để quản lý dữ liệu, phân tích, vận hành và bảo mật. Dưới đây là chi tiết những điểm nổi bật của bản cập nhật. 1. Tính năng chung – Cho toàn bộ nền tảng Tuỳ chỉnh tên miền riêng Người dùng giờ đây có thể sử dụng tên miền riêng (custom domain) để truy cập các dịch vụ trên nền tảng, thay vì chỉ sử dụng tên miền mặc định. Điều này giúp tăng nhận diện thương hiệu, tạo sự chuyên nghiệp và dễ dàng tích hợp với hệ thống IT hiện có. Quản lý Certificate tập trung cho Workspace Một phân hệ quản lý certificate đã được bổ sung: cho phép thêm, xóa, import và gia hạn (renew) certificate cho các dịch vụ bên trong Workspace. Việc này giúp việc quản lý kết nối bảo mật (HTTPS, TLS) trở nên đơn giản và tập trung hơn – giúp doanh nghiệp yên tâm hơn về mặt bảo mật. 2. Processing Service (v1.2.1) – Nâng cấp cho môi trường xử lý & phân tích dữ liệu JupyterHub – Kết nối cơ sở dữ liệu ngoài ngay khi khởi tạo Trong phiên bản mới, khi tạo dịch vụ JupyterHub, người dùng có thể kết nối và sử dụng cơ sở dữ liệu bên ngoài (external DB) ngay từ khâu khởi tạo. Điều này giúp tận dụng hạ tầng dữ liệu sẵn có, tăng tính linh hoạt trong cấu hình môi trường, đảm bảo dữ liệu có thể lưu trữ và chia sẻ ổn định giữa các phiên làm việc. Mã hoá dữ liệu nhạy cảm trong lúc provision Hệ thống được bổ sung khả năng cho phép người dùng nhập khoá mã hoá ngay trong luồng provision dịch vụ. Khoá này sẽ được dùng để mã hoá các dữ liệu nhạy cảm trước khi lưu trữ vào cơ sở dữ liệu.→ Tính năng này giúp tăng cường bảo mật, đảm bảo thông tin quan trọng được mã hoá riêng cho từng phiên triển khai, giảm thiểu rủi ro rò rỉ thông tin và đáp ứng yêu cầu tuân thủ bảo mật nội bộ. 3. Orchestration Service – Quản lý và vận hành luồng dữ liệu, công việc tự động Apache Airflow – Cấu hình Secret Backend khi khởi tạo Bổ sung tính năng cho phép người dùng nhập secret ngay trong luồng khởi tạo dịch vụ Airflow. Các secret này được sử dụng để cấu hình “Secret Backend” – nơi lưu trữ và quản lý thông tin nhạy cảm như token, password hoặc credential một cách bảo mật.→ Nhờ đó, doanh nghiệp có thể tự quản lý khóa và thông tin nhạy cảm theo từng phiên bản dịch vụ, đồng thời đơn giản hóa quá trình tích hợp với các nguồn dữ liệu hoặc hệ thống bên ngoài. Governance & Security – Quản trị dữ liệu & bảo mật ở cấp doanh nghiệp • Ra mắt dịch vụ OpenMetadata (v1.0.0) OpenMetadata là nền tảng quản lý siêu dữ liệu (metadata) giúp doanh nghiệp chuẩn hoá, khám phá, giám sát và quản trị tài sản dữ liệu một cách tập trung, hiệu quả. Các tính năng chính: Central Metadata Catalog: quản lý metadata ở một kho trung tâm. Data Lineage & Impact Analysis: hiển thị từ upstream → downstream, dễ kiểm soát thay đổi. Data Quality & Profiler: kiểm tra chất lượng dữ liệu theo rule-based validation. Glossary & Tagging: định nghĩa thuật ngữ chung, gắn tag phân loại như PII, Confidential. Collaboration & Search: tìm kiếm, comment, đánh giá, phân quyền ownership.Tác động: giúp doanh nghiệp có cái nhìn toàn diện về dữ liệu, kiểm soát được nguồn gốc, chất lượng và phân quyền sử dụng – hỗ trợ tốt cho tuân thủ quy định và vận hành dữ liệu doanh nghiệp. 5. Lakehouse Analytics – Truy vấn dữ liệu mạnh mẽ & linh hoạt Trino (v1.4.4) – Auto Scaling worker node Hệ thống bật hỗ trợ tự động mở rộng (Auto Scale) cho dịch vụ Trino. Số lượng worker node sẽ được điều chỉnh linh hoạt theo tải truy vấn và mức tiêu thụ tài nguyên thực tế. → Tính năng giúp tối ưu hiệu năng xử lý truy vấn, giảm chi phí vận hành khi hệ thống ở trạng thái tải thấp, đồng thời đảm bảo hiệu suất cao và độ ổn định khi có nhiều yêu cầu truy cập đồng thời.→ Doanh nghiệp được hưởng lợi lớn khi triển khai phân tích dữ liệu lớn (big data), truy vấn đa nguồn, hoặc môi trường có nhiều người dùng truy cập song song. Bản cập nhật mới của FPT Data Platform mang đến cho doanh nghiệp: Bảo mật được nâng cấp, đặc biệt với khả năng mã hoá dữ liệu và quản lý secret tập trung. Khả năng vận hành và cấu hình linh hoạt hơn: từ kết nối DB ngoài đến tuỳ chỉnh tên miền riêng. Hiệu năng phân tích dữ liệu được cải thiện thông qua auto scaling và nền tảng metadata quản trị tốt. Quản trị dữ liệu bài bản hơn – phục vụ nhu cầu doanh nghiệp lớn hoặc tổ chức cần tuân thủ cao. FPT Cloud khuyến khích doanh nghiệp và đội ngũ trải nghiệm ngay bản cập nhật này để tận dụng tốt nhất các tính năng mới. Liên hệ với chúng tôi để được tư vấn chi tiết về các giải pháp, dịch vụ của FPT Cloud  Hotline: 1900 638 399     Email: support@fptcloud.com     Support: m.me/fptsmartcloud