Tăng tốc khởi nghiệp với FPT Smart Cloud

Tháng 1/2026 đánh dấu tròn 16 năm kể từ ngày TIKI được thành lập. Đó là chặng đường dài cho thấy sự lớn mạnh của một công ty công nghệ và vai trò then chốt của hạ tầng đứng sau hai giá trị cốt lõi: tốt và nhanh. Chiều sâu công nghệ làm nên hai giá trị cốt lõi Là doanh nghiệp hoạt động trong lĩnh vực thương mại điện tử và logistics trong môi trường số, TIKI xem công nghệ là nền tảng cốt lõi để tạo ra sản phẩm và dịch vụ phục vụ khách hàng. Chính vì vậy, đơn vị này không ngừng đầu tư vào công nghệ nhằm mang lại những trải nghiệm mua sắm lý tưởng, gói gọn trong hai chữ: tốt và nhanh. Tốt là cung cấp 100% hàng hóa chính hãng, được kiểm định chặt chẽ và có nguồn gốc xuất xứ rõ ràng. Nhanh là mang đến trải nghiệm mua sắm đơn giản, tiện lợi, giúp khách hàng nhanh chóng tìm được sản phẩm mình cần và nhận hàng trong thời gian ngắn nhất. [caption id="attachment_70573" align="alignnone" width="960"] Ông Lê Minh Nghĩa - Phó tổng giám đốc công nghệ, TIKI. Ảnh: FPT[/caption] "Trong suốt 16 năm qua, chúng tôi kiên định với hai giá trị cốt lõi "tốt" và "nhanh". Hai định hướng này là kim chỉ nam cho mọi hoạt động của TIKI, từ kinh doanh, vận hành cho tới việc xây dựng các nền tảng công nghệ", ông Lê Minh Nghĩa - Phó tổng giám đốc công nghệ, TIKI, chia sẻ. Sau 16 năm xây dựng, từ một website khởi đầu trên nền tảng thương mại điện tử mã nguồn mở Magento, TIKI đã phát triển thành một sàn thương mại điện tử với hơn một triệu sản phẩm chính hãng, cùng hệ thống logistics cho phép giao hàng chỉ trong vòng 2 giờ. TIKI ứng dụng trí tuệ nhân tạo để phát triển các hệ thống tìm kiếm và gợi ý sản phẩm, hiện đóng góp tới 80% doanh số. Nhờ nền tảng công nghệ này, TIKI có thể quản lý hơn 3 triệu sản phẩm tại 5 kho hàng trên khắp cả nước một cách hiệu quả. Các thuật toán tối ưu giúp rút ngắn đáng kể thời gian xử lý trong kho, khi nhân viên chỉ mất khoảng 15 phút để hoàn tất việc lấy hàng trong không gian lên tới 10.000 m². Công nghệ cũng cho phép hệ thống xử lý và khai thác khối lượng dữ liệu lên tới 1.000 TB, từ đó phân tích nhu cầu mua sắm và cung cấp các chỉ số cập nhật theo thời gian thực, phục vụ cả vận hành lẫn kinh doanh. Chính quy mô vận hành và cường độ xử lý này khiến hạ tầng tính toán trở thành yếu tố then chốt. Hạ tầng là nền móng quyết định khả năng mở rộng, độ ổn định và tốc độ phản hồi của toàn bộ hệ thống công nghệ. Với một nền tảng thương mại điện tử quy mô lớn như TIKI, hệ thống phải đáp ứng đồng thời nhiều yêu cầu khắt khe: quy trình vận hành phức tạp, khả năng xử lý lượng giao dịch rất lớn và độ linh hoạt cao để mở rộng tài nguyên trong các giai đoạn cao điểm, khi lưu lượng mua sắm có thể tăng gấp 20 lần so với ngày thường. Để người dùng có thể tìm thấy sản phẩm mong muốn giữa hàng triệu mặt hàng, hoàn tất mua sắm chỉ với vài thao tác và nhận hàng trong vòng 2 giờ, phía sau là một hạ tầng công nghệ được thiết kế để vận hành liên tục ở cường độ cao. Hiện nay, hệ thống của TIKI bao gồm hơn 1.000 thành phần phần mềm, hơn 300 cơ sở dữ liệu, cùng khoảng 250 TB dữ liệu giao dịch. Việc xây dựng hạ tầng trên nền tảng điện toán đám mây là bước đi tất yếu để đáp ứng yêu cầu tăng trưởng. Hạ tầng này cần đảm bảo hiệu năng khi mở rộng quy mô, cho phép tự động triển khai và vận hành hàng nghìn dịch vụ, đồng thời duy trì chi phí hợp lý để hệ thống có thể vận hành bền vững trong dài hạn. "Cú hích" hạ tầng từ hợp tác với FPT Cloud Từ giữa năm 2025, TIKI chính thức dịch chuyển hạ tầng lên nền tảng điện toán đám mây FPT Cloud, phục vụ cho giai đoạn phát triển trong 5 năm tiếp theo của TIKI. Trên thực tế, quan hệ hợp tác giữa hai bên đã được hình thành từ sớm, bắt đầu từ năm 2020, khi FPT triển khai toàn bộ hệ thống quản trị doanh nghiệp tích hợp SAP cho TIKI, cùng nhiều phần mềm phục vụ công tác quản lý và vận hành nội bộ. Bước khởi đầu của giai đoạn hợp tác mới là việc chuyển hệ thống quản trị doanh nghiệp SAP S/4HANA lên nền tảng FPT Cloud. Đây là hệ thống có yêu cầu rất cao về hạ tầng tính toán, với máy chủ cần dung lượng bộ nhớ lên tới 1 TB. Quá trình chuyển đổi diễn ra suôn sẻ, hệ thống vận hành ổn định, qua đó tạo nền tảng tin cậy để hai bên tiếp tục mở rộng hợp tác trong các giai đoạn tiếp theo. Trên nền tảng đó, hai bên thống nhất mở rộng hợp tác, triển khai toàn bộ các hệ thống phục vụ thương mại điện tử và logistics. Từ tháng 9 đến tháng 12/2025, đội ngũ công nghệ của TIKI và FPT đã làm việc liên tục, phối hợp chặt chẽ để thực hiện tổng cộng 35 đợt chuyển đổi bao gồm toàn bộ hệ thống cùng cơ sở dữ liệu, trong khi mọi hoạt động kinh doanh vẫn diễn ra thông suốt. Hạ tầng FPT Cloud cho thấy khả năng đáp ứng tốt trong ba đợt cao điểm mua sắm lớn nhất năm (10/10, 11/11, 12/12), khi lưu lượng đơn hàng tăng gấp 20 lần so với ngày thường. Đồng thời, hệ thống DevOps cho phép triển khai gần 1.000 hệ thống chỉ trong 4 tháng với 4 nhân sự trong đội hạ tầng. FPT cũng hỗ trợ đường truyền tốc độ cao, lên tới 2 Gbps, giúp sao chép hàng trăm terabyte dữ liệu trong thời gian ngắn - khối lượng mà trước đây từng được dự tính có thể mất tới nhiều tháng. Việc ứng dụng công nghệ điện toán đám mây của FPT Cloud đã giúp TIKI cải thiện khoảng 25% lợi nhuận, tạo ra nguồn lực quan trọng để tiếp tục tái đầu tư vào sản phẩm và dịch vụ cho khách hàng. Nền tảng hạ tầng mạnh mẽ này cho phép TIKI mở rộng hoạt động vận hành, phát triển các dịch vụ phần mềm cho đối tác bên ngoài, đặc biệt là đẩy mạnh các công nghệ dựa trên AI và dữ liệu lớn. Đây là những công nghệ hứa hẹn mang lại trải nghiệm đột phá cho khách hàng và tối ưu hóa hiệu suất vận hành, nhưng cũng đòi hỏi năng lực tính toán và xử lý dữ liệu ở mức độ rất cao. "Với tư cách là một người làm công nghệ lâu năm, cá nhân tôi cảm thấy rất tự hào khi chứng kiến các đơn vị công nghệ nội địa như FPT Cloud trưởng thành và đủ năng lực đáp ứng những bài toán quy mô lớn. Đây là một bước tiến quan trọng của nền công nghệ Việt Nam, bởi hạ tầng tính toán chính là nền tảng của chuyển đổi số và xã hội số", ông Lê Minh Nghĩa nói. Sự hợp tác giữa Tiki và FPT đang mở ra nhiều cơ hội lớn cho cả hai bên. Trong bối cảnh thương mại điện tử và logistics ngày càng cạnh tranh khốc liệt, câu chuyện TIKI - FPT cũng phản ánh một xu hướng lớn hơn: các doanh nghiệp công nghệ Việt đang từng bước làm chủ hạ tầng số, sẵn sàng vận hành những hệ thống phức tạp, quy mô lớn bằng năng lực nội địa. Đó không chỉ là lợi thế về chi phí hay chủ động công nghệ, mà còn là nền tảng để các sản phẩm "Make in Vietnam" phát triển bền vững trong kỷ nguyên số.

Ngành Logistics đang bước vào một giai đoạn chuyển mình mang tính nền tảng khi thương mại điện tử phát triển mạnh, kỳ vọng của người tiêu dùng không còn dừng ở “giao đúng - giao đủ”, mà tiến xa hơn tới “giao nhanh - giao ổn định - giao minh bạch”. Điều này đặt ra áp lực khổng lồ về khả năng vận hành và hạ tầng công nghệ phía sau - nơi Cloud đang dần trở thành yếu tố quyết định sự bền vững của cả hệ thống. Khi logistics trở thành bài toán dữ liệu và trải nghiệm thời gian thực Nếu nhìn logistics theo cách truyền thống, đó là câu chuyện của kho bãi, phương tiện và nhân lực. Nhưng khi thương mại điện tử bùng nổ, logistics đang được tái định nghĩa như một hệ thống dữ liệu sống - nơi thông tin liên tục phát sinh từ nhiều điểm chạm khác nhau: đơn hàng, tồn kho, vị trí hàng hóa, điều kiện vận chuyển cho đến hành vi người dùng và trạng thái hệ thống. Sự chuyển dịch này kéo theo một thay đổi quan trọng: logistics không còn là khâu hậu cần phía sau, mà trở thành điểm chạm trực tiếp trong trải nghiệm khách hàng. Người dùng kỳ vọng giao hàng trong vài giờ, theo dõi trạng thái đơn hàng theo thời gian thực và tương tác mượt mà trên ứng dụng, website ở mọi thời điểm. Khi đó, “nhanh” trong logistics không chỉ đến từ mạng lưới kho bãi hay đội xe, mà bắt đầu từ tốc độ xử lý của hạ tầng công nghệ phía sau. Mỗi quyết định giao vận - chọn kho xuất hàng, tối ưu tuyến đường hay cam kết thời gian giao - đều phụ thuộc vào dữ liệu tại thời điểm đó. Tuy nhiên, dữ liệu logistics không đứng yên, mà biến động theo từng phút, từng giờ. Nếu hạ tầng không đủ linh hoạt và ổn định, doanh nghiệp rất dễ rơi vào trạng thái “thắt cổ chai”, nơi tốc độ tăng trưởng đi kèm rủi ro gián đoạn và trải nghiệm khách hàng bị ảnh hưởng. Chính sự biến động liên tục của dữ liệu và bài toán đảm bảo trải nghiệm khách hàng liền mạch ở quy mô lớn khiến Cloud trở thành lựa chọn gần như tất yếu. Với khả năng xử lý và mở rộng tài nguyên linh hoạt theo thời gian thực, Cloud giúp doanh nghiệp duy trì nhịp vận hành ổn định, đồng thời ra quyết định dựa trên dữ liệu hiện hành, thay vì những cấu trúc hạ tầng cứng nhắc. Ứng dụng Cloud trong logistics: Từ vận hành cơ bản đến tối ưu toàn diện Ở lớp nền tảng, Cloud giúp doanh nghiệp logistics xây dựng và vận hành các hệ thống cốt lõi như quản lý kho, quản lý đơn hàng hay quản lý vận tải một cách nhanh chóng và linh hoạt, không còn phụ thuộc vào việc đầu tư hạ tầng vật lý cồng kềnh ngay từ đầu. Với đặc thù lưu lượng đơn hàng biến động mạnh theo mùa cao điểm, chiến dịch bán hàng hoặc các đợt khuyến mãi lớn, Cloud cho phép hệ thống tự động mở rộng hoặc thu hẹp tài nguyên theo nhu cầu thực tế, đảm bảo hiệu năng ổn định mà không gây lãng phí chi phí vận hành. Khi các hệ thống vận hành trơn tru, Cloud tiếp tục phát huy giá trị ở tầng tối ưu. Dữ liệu phát sinh từ nhiều điểm chạm trong chuỗi logistics - từ tồn kho, trạng thái phương tiện, tuyến giao hàng cho đến hành vi người dùng trên ứng dụng - được đồng bộ và xử lý tập trung trên một nền tảng duy nhất. Nhờ đó, doanh nghiệp có cái nhìn xuyên suốt về toàn bộ chuỗi vận hành, dễ dàng phát hiện điểm nghẽn, tối ưu mức tồn kho, giảm tỷ lệ giao hàng thất bại và rút ngắn thời gian xử lý đơn. Đặc biệt ở chặng giao hàng cuối, nơi chiếm tỷ trọng chi phí lớn nhất trong logistics, Cloud giúp tối ưu lộ trình, phân bổ nguồn lực linh hoạt và nâng cao tỷ lệ giao hàng đúng hẹn. Không dừng lại ở tối ưu vận hành hiện tại, Cloud còn đóng vai trò là bệ phóng cho logistics thông minh. Trên nền tảng hạ tầng đủ mạnh và ổn định, doanh nghiệp có thể triển khai các công nghệ phân tích dữ liệu lớn, machine learning hay mô phỏng kịch bản vận hành để dự báo nhu cầu theo khu vực, theo thời điểm; nhận diện sớm rủi ro gián đoạn chuỗi cung ứng và chủ động xây dựng phương án điều phối thay vì chỉ phản ứng khi sự cố xảy ra. Từ đó, logistics không còn là bài toán “bị cộng chạy theo đơn hàng”, mà trở thành một hệ thống được dẫn dắt bởi dữ liệu và quyết định có cơ sở. Tối ưu lợi thế với nền tảng Cloud nội địa Trong bức tranh chung về ứng dụng Cloud cho logistics tại Việt Nam, Tiki là một ví dụ tiêu biểu cho cách hạ tầng công nghệ trở thành nền móng của trải nghiệm người dùng và hiệu quả vận hành dài hạn. Ở lớp nền tảng, Cloud giúp doanh nghiệp logistics xây dựng và vận hành các hệ thống cốt lõi như quản lý kho, quản lý đơn hàng hay quản lý vận tải một cách nhanh chóng và linh hoạt, không còn phụ thuộc vào việc đầu tư hạ tầng vật lý cồng kềnh ngay từ đầu. [caption id="attachment_70553" align="alignnone" width="1360"] Hệ thống kho hàng lớn của doanh nghiệp. Ảnh:Tiki[/caption] Việc hợp tác chuyển đổi hạ tầng lên FPT Cloud được xem là bước đi chiến lược mang tính cấu trúc, nhằm giúp Tiki giải quyết đồng thời hai bài toán lớn: duy trì giao hàng siêu tốc trong 2h với chi phí tối ưu và tiến tới cung cấp “fulfillment service” cho các nền tảng e-commerce khác. Để vận hành hiệu quả, Tiki cần quản lý chi tiết mọi khâu vận hành trong kho, mọi mặt hàng, kệ hàng đều được gán mã bar code, mọi công đoạn vận hành đều được số hoá tới mức người lấy hàng chỉ cần nhìn màn hình máy tính và làm theo hướng dẫn. Chính vì thế lượng dữ liệu cần quản lý cực kỳ lớn, có các database lớn tới 7TB. Các hệ thống báo cáo vận hành cần cung cấp các chỉ số real-time. Các hệ thống xử lý dữ liệu lớn cần dự đoán nhu cầu chính xác giúp lên kế hoạch nhận lực phù hợp, đảm bảo chi phí vận hành tối ưu. Trên nền tảng Cloud nội địa, hệ thống Tiki có khả năng tự động mở rộng tài nguyên trong nhanh chóng để xử lý lượng giao dịch tăng gấp nhiều lần trong những giai đoạn cao điểm. Cùng với đó, không chỉ tốc độ giao vận được cải thiện, trải nghiệm số của người dùng cũng trở nên liền mạch hơn. SLA xử lý đơn hàng đạt 99% và tỉ lệ chính xác tồn kho đạt 99.99, giúp đảm bảo chất lượng dịch vụ cung cấp cho khách hàng. Từ góc độ dài hạn, thực tế ứng dụng cho thấy Cloud nội địa không chỉ là giải pháp hạ tầng để tối ưu chi phí hay đảm bảo hiệu năng, mà còn là nền tảng để doanh nghiệp logistic tiến tới tự động hóa, thông minh hóa và phát triển bền vững trong tương lai. Trong tầm nhìn dài hạn, FPT định hướng phát triển các nền tảng hạ tầng số theo hướng làm chủ công nghệ lõi, tạo bệ phóng vững chắc cho các doanh nghiệp Việt vận hành hệ thống quy mô lớn an toàn, linh hoạt.

Sự trỗi dậy của Generative AI không chỉ thay đổi cách chúng ta tương tác với công nghệ mà đã kéo theo một làn sóng tái kiến trúc hạ tầng ở quy mô toàn cầu. Những mô hình ngôn ngữ lớn (LLM), GPU chuyên dụng như H100/H200, hay các cụm HPC tốc độ cao đã khiến yêu cầu về hạ tầng tăng mạnh chưa từng thấy. Doanh nghiệp không chỉ cần sức mạnh tính toán; họ cần một nền tảng mở, linh hoạt, dễ mở rộng và có khả năng bắt kịp tốc độ thay đổi của hệ sinh thái AI. Họ cần một "AI Factory" – một nhà máy AI thực thụ.  Trong bối cảnh đó, OpenStack đang nổi lên như một nền tảng mở, linh hoạt và mạnh mẽ, đóng vai trò kim chỉ nam cho hạ tầng AI thế hệ tiếp theo nơi khả năng mô-đun hóa, tự do tích hợp và tốc độ cải tiến cộng đồng trở thành lợi thế vượt trội.  OpenStack: Nền tảng mở cho kỷ nguyên AI  Khi các workload AI ngày càng tiêu tốn tài nguyên hơn và nhạy cảm về độ trễ hơn, OpenStack cung cấp lớp ảo hóa và quản trị hạ tầng mạnh mẽ, đủ khả năng hỗ trợ môi trường tính toán hiệu suất cao thông qua các dịch vụ như Nova, Neutron, Cinder và Ironic. Khả năng mở rộng đã được kiểm chứng và mức độ linh hoạt cao khiến OpenStack trở thành lựa chọn phù hợp cho thế hệ tiếp theo của workload AI và HPC.  Khác với các giải pháp đám mây độc quyền vốn phụ thuộc vào lộ trình của nhà cung cấp, OpenStack được phát triển bởi chính cộng đồng những doanh nghiệp vận hành nó trong thực tế. Điều này đảm bảo tốc độ cải tiến nhanh, khả năng cập nhật các công nghệ mới nổi như lập lịch GPU đa người dùng, tối ưu theo NUMA hay tăng tốc mạng SR-IOV, đồng thời mang lại mức độ linh hoạt mà các nền tảng đóng không thể có.  Xuất phát từ thực tiễn đó, AI Working Group - được thành lập bởi Open Infra Foundation đã cùng hợp tác để giới thiệu kiến trúc và usecase công nghệ của việc sử dụng OpenStack nhằm hỗ trợ các workload AI trong whitepaper “Open Infrastructure for AI: OpenStack’s Role in the Next Generation Cloud”  Kim chỉ nam cho hạ tầng AI - Và 5 bài toán lớn định hình tương lai  Generative AI tạo ra một sự thay đổi căn bản trong cách chúng ta thiết kế, triển khai và vận hành hạ tầng AI. Việc huấn luyện mô hình ngôn ngữ lớn, tự lưu trữ các mô hình mã nguồn mở, hay phục vụ suy luận (inference) ở quy mô lớn đòi hỏi phần cứng thế hệ mới như GPU H100/H200 cùng với tốc độ kết nối và băng thông lưu trữ ở mức HPC.  Nhằm bám sát vào những thay đổi lớn của hạ tầng AI thế hệ mới này, 5 bài toán kinh điển và cách thức để hạ tầng mã nguồn mở giải quyết chúng đã được đưa ra bao gồm:  1. ModelTraining & Serving - Tăng tốc sáng tạo mô hình  Trong nhiều năm, xây dựng một pipeline AI hoàn chỉnh đòi hỏi đội ngũ kỹ thuật phải giải quyết hàng loạt bước phức tạp ở tầng hạ tầng. Xu hướng hiện nay đi theo hướng đơn giản hóa: nhà phát triển ứng dụng AI không cần quan tâm vào hạ tầng, chỉ cần thông qua giao diện code như Jupiter Notebook hoặc code IDE là có thể gọi vào training một model LLM. Sau khi training thì có thể chạy serving model đó thông qua API (e.g. OpenAI Compatible API) chỉ với vài thao tác.  2. GPU-as-a-Service - Tối ưu hiệu năng và chi phí GPU Những dòng GPU tân tiến như H100/H200 rất mạnh mẽ nhưng giá thành cao, việc sở hữu một thiết bị H100 gần như là chỉ có ở những doanh nghiệp lớn và thường không sử dụng hết năng lực của một thiết bị gây lãng phí, thay vào đó là việc đi thuê tài nguyên mang lại chi phí tối ưu hơn và phù hợp cho mọi doanh nghiệp. Kiến trúc mở cho phép chia nhỏ GPU thành nhiều phần (MIG), xây dựng máy ảo GPU theo nhu cầu (vGPU), hoặc cấp quyền truy cập trực tiếp (PCI Passthrough) để tối ưu hiệu năng.  Thay vì sở hữu toàn bộ phần cứng, doanh nghiệp có thể thuê đúng mức tài nguyên cần thiết, tránh tình trạng “đầu tư lớn – sử dụng thấp”, đồng thời linh hoạt mở rộng theo nhịp phát triển AI. 3. Nền tảngMLOps - Vận hành mô hình AI ở quy mô lớn  Các mô hình ngôn ngữ lớn thay đổi nhanh chóng và đòi hỏi một vòng đời vận hành liên tục: cập nhật mô hình, giám sát, tối ưu chi phí suy luận, kiểm soát hiệu năng, đảm bảo uptime. Một nền tảng MLOps hiện đại cần làm được tất cả điều này trong khi vẫn duy trì sự ổn định của hệ thống và tính liên tục của dịch vụ.  OpenStack với bộ dịch vụ mở rộng xung quanh trở thành lựa chọn phù hợp để xây dựng nền tảng tự động hóa toàn trình, từ training đến inference.  4. High-PerformanceComputing Cluster - Sức mạnh kết nối cụm GPU lớn  Những mô hình hàng tỷ tham số yêu cầu khả năng huấn luyện phân tán trên hàng chục node GPU. Kết nối một cụm 32 node H100 với thông lượng Tbps, độ trễ cực thấp và khả năng đọc ghi dữ liệu tốc độ cao là một thách thức mà chỉ các nền tảng HPC thực thụ có thể đáp ứng.  OpenStack cung cấp khả năng quản lý bare-metal kết hợp với các công nghệ tối tân như Infiniband, high-performance storage, giúp doanh nghiệp tiếp cận sức mạnh của các “AI SuperPod” theo cách linh hoạt và tối ưu chi phí hơn. 5. AIIoT& Edge Computing - Đưa AI đến gần dữ liệu hơn  Ứng dụng AI ngày càng mở rộng sang robot, xe tự hành, camera thông minh và các thiết bị IoT. Những tác vụ này cần xử lý ngay tại nguồn để đảm bảo tốc độ theo thời gian thực. Kiến trúc phân tán, edge computing và khả năng đồng bộ giữa trung tâm dữ liệu -  biên - thiết bị trở thành yếu tố then chốt.  OpenStack hỗ trợ tốt cho những mô hình hạ tầng lai (hybrid) và distributed, giúp doanh nghiệp triển khai AI ở biên một cách nhất quán và an toàn.  OpenStack - nền tảng mở cho tương lai AI  Trong thế giới nơi AI đang thúc đẩy mọi ngành công nghiệp, một hạ tầng mở, linh hoạt và dễ mở rộng không còn là tùy chọn - mà trở thành nền tảng cốt lõi. OpenStack mang lại khả năng tùy biến sâu, tích hợp rộng và tốc độ cải tiến nhanh nhờ cộng đồng, giúp doanh nghiệp xây dựng “AI Factory” với chi phí tối ưu và khả năng mở rộng bền vững.  Whitepaper “Open Infrastructure for AI” không chỉ mô tả các kiến trúc kỹ thuật, mà mở ra cách nhìn toàn diện về việc vận hành AI ở quy mô lớn bằng hạ tầng mở. Đây là bước đi quan trọng để doanh nghiệp sẵn sàng cho tương lai AI, nơi tốc độ và khả năng tự chủ hạ tầng trở thành lợi thế cạnh tranh hàng đầu.  Tác giả: Trần Quốc Sang Phó Giám đốc Trung tâm Phát triển Dịch vụ Hạ Tầng Cloud - FPT Smart Cloud, Tập đoàn FPT

1. CVE-2025-55182 – Lỗ hổng RCE “React2Shell” & Thống kê đáng báo động Cuối năm 2025, cộng đồng bảo mật toàn cầu đã bị báo động mạnh mẽ bởi một lỗ hổng cực kỳ nguy hiểm mang tên CVE-2025-55182, hay còn gọi là React2Shell, liên quan đến cơ chế React Server Components (RSC) và lan rộng đến các framework như Next.js, vốn được sử dụng phổ biến trong hàng chục triệu ứng dụng web và dịch vụ đám mây. Theo dữ liệu nghiên cứu bảo mật, ~39% môi trường cloud surveyed chứa instance dễ bị tấn công bởi lỗ hổng này, tức là gần 4 trong 10 hệ thống cloud đang hoạt động có nguy cơ bị khai thác nếu chưa vá lỗi. Những gì khiến CVE-2025-55182 trở nên “nóng”: (1) Điểm CVSS tối đa 10.0, mức nghiêm trọng cao nhất, cho phép thực thi mã từ xa ngay cả khi không xác thực; (2) Exploit đã bắt đầu xuất hiện trong tự nhiên chỉ sau vài giờ kể từ khi được công khai, với nhiều scanner tự động và tay hacker chủ động tìm kiếm mục tiêu; (3) Các nhóm tội phạm mạng được ghi nhận khai thác lỗ hổng này để chèn malware, mở backdoor và thu thập credential; (4) Báo cáo cho thấy ít nhất ~30 tổ chức ở nhiều lĩnh vực khác nhau đã bị xâm nhập, bao gồm rò rỉ thông tin đăng nhập, cài malware khai thác tiền điện tử và mở lối vào hệ thống. Trong bối cảnh này, việc phát hiện sớm lỗ hổng trong container image, hiểu rõ chính xác package/version bị ảnh hưởng ngay từ đầu, và xử lý trước khi sản phẩm được đưa vào production là ưu tiên hàng đầu của mọi đội DevSecOps. Và đây là lúc FPT AppSec - với tính năng Image Scanning mạnh mẽ, phát huy vai trò quan trọng, giúp doanh nghiệp scan hàng nghìn image tự động, xác định đúng vị trí tồn tại lỗ hổng như CVE-2025-55182 và giảm thiểu rủi ro trong thời gian ngắn nhất. 2. Case study: FPT AppSec – Giải pháp phát hiện & xử lí CVE-2025-55182 chỉ trong vài giây Khi khách hàng kích hoạt Image Scanning (tích hợp Docker registry hoặc CI/CD pipeline), FPT AppSec lập tức phân tích tất cả layer của image. Trong phát hiện CVE-2025-55182, hệ thống đã: (1) Nhanh chóng xác định đúng image bị ảnh hưởng; (2) Highlight rõ gói next@15.x đang chứa lỗ hổng; (3) Chỉ ra layer build mà package này được đưa vào container; (4) Xếp hạng mức độ Critical và cảnh báo real-time. Nhờ vậy, thay vì phải grep log build hoặc manually check package version, đội kỹ thuật có thể xử lí ngay, đúng vị trí gây rủi ro, giảm đáng kể thời gian điều tra. [caption id="attachment_69816" align="aligncenter" width="977"] FPT AppSec phát hiện image chứa thành phần Next.js bị ảnh hưởng bởi lỗ hổng CVE-2025-55182[/caption] Một trong những khó khăn lớn nhất khi xử lý lỗ hổng trong container là: “Package này đến từ đâu? Layer nào? Tại sao image lại mang phiên bản dễ tổn thương?” Với FPT AppSec, người dùng có thể giải quyết triệt để bằng cách hiển thị Dockerfile layer gây ra việc cài đặt dependency và cho biết danh sách phiên bản an toàn (patched versions). [caption id="attachment_69817" align="aligncenter" width="977"] FPT AppSec chỉ rõ lỗ hổng xuất hiện ở layer nào trong image[/caption] FPT AppSec sở hữu những tính năng ưu việt giúp người dùng xử lý nhanh chóng, chính xác những sự cố như CVE-2025-55182: Quét số lượng lớn image cùng lúc: Hệ thống được xây dựng theo kiến trúc cloud-native, scale-out linh hoạt, có thể xử lí mượt mà 100 hay 10.000 container images. Phát hiện lỗ hổng real-time: Ngay khi CVE mới được công bố, hệ thống tự động đồng bộ dữ liệu vulnerability feed và re-scan nếu cần. Giảm thời gian phản ứng từ hàng giờ xuống vài phút: Đội DevSecOps không cần truy ngược build log, không cần manually inspect, mọi thứ hiển thị trực quan. Dễ dàng tích hợp vào hệ thống CI/CD hiện tại: Chỉ một bước thêm vào pipeline, FPT AppSec sẽ quét trước khi image được push lên registry. 3. Hướng dẫn chi tiết Cách xử lý CVE-2025-55182 trong thực tế CVE-2025-55182 là một lỗ hổng Remote Code Execution (RCE) cực kỳ nghiêm trọng trong React Server Components (RSC), cho phép kẻ tấn công thực thi mã trên server mà không cần xác thực thông qua payload đặc biệt gửi tới endpoint RSC. Lỗi gốc nằm ở việc deserialization không an toàn của các component trên server. NVD Bước 1: Xác định phạm vi ảnh hưởng - React Server Components Các phiên bản sau của React Server Components bị ảnh hưởng: react-server-dom-webpack: 0.0, 19.1.0, 19.1.1, 19.2.0 react-server-dom-parcel: 0.0, 19.1.0, 19.1.1, 19.2.0 react-server-dom-turbopack: 0.0, 19.1.0, 19.1.1, 19.2.0 NVD Những phiên bản này là đích ngắm chính của exploit do lỗi xử lý unsafe deserialization trong Flight Protocol. NVD Next.js Mặc dù lỗi gốc là ở React RSC, Next.js cũng chịu ảnh hưởng khi sử dụng RSC trong App Router. Theo advisory từ Next.js, các version Next.js bị ảnh hưởng và đã được patched bao gồm: Next.js Next.js Tình trạng 15.0.0 – 15.0.4 Vulnerable 15.1.0 – 15.1.8 Vulnerable 15.2.0 – 15.2.5 Vulnerable 15.3.0 – 15.3.5 Vulnerable 15.4.0 – 15.4.7 Vulnerable 15.5.0 – 15.5.6 Vulnerable 16.0.0 – 16.0.6 Vulnerable Tương ứng các bản an toàn (patched) đã được Next.js phát hành: 0.5, 15.1.9, 15.2.6 3.6, 15.4.8, 15.5.7 0.7 Next.js Bước 2: Cập nhật dependency ngay Nguyên tắc đầu tiên và quan trọng nhất là không chạy code với phiên bản RSC/Next.js dễ bị tấn công: React Server Components: Cập nhật các package RSC lên phiên bản an toàn mới nhất (ví dụ 19.2.1 hoặc cao hơn nếu đã phát hành) npm install react-server-dom-webpack@19.2.1 \ react-server-dom-parcel@19.2.1 \ react-server-dom-turbopack@19.2.1 Lưu ý: Nếu bạn không trực tiếp thêm các package RSC vào project, hãy kiểm tra plugin/bundler (ví dụ Webpack/Turbopack) đang sử dụng có phụ thuộc RSC hay không và cập nhật tương ứng. Next.js: Nâng Next.js lên ít nhất một trong các bản đã patched. Đảm bảo lựa chọn đúng phiên bản phù hợp với nhánh hiện tại của bạn để không gây xung đột dependency. npm install next@15.0.5   # nếu đang dùng 15.0.x npm install next@15.1.9   # nếu đang dùng 15.1.x npm install next@15.2.6   # nếu đang dùng 15.2.x npm install next@15.3.6   # nếu đang dùng 15.3.x npm install next@15.4.8   # nếu đang dùng 15.4.x npm install next@15.5.7   # nếu đang dùng 15.5.x npm install next@16.0.7   # nếu đang dùng 16.x Bước 3. Quét lại & xác nhận bằng FPT AppSec Sau khi nâng cấp: Rebuild toàn bộ image/container để loại bỏ dependency cũ. Scan lại với FPT AppSec Image Scanning để đảm bảo không còn phiên bản vulnerable trong bất kỳ layer nào. Kiểm tra điều kiện chạy (runtime environment, build cache, CI/CD pipeline) để chắc chắn không còn CVE-2025-55182. FPT AppSec sẽ chỉ ra chính xác: Image nào còn chứa phiên bản vulnerable; Layer nào cài đặt các package đó; Package/version hiện tại đã được cập nhật hay chưa. Điều này giúp bạn chốt được việc xử lý tận gốc, không chỉ patch tạm thời. Tác giả: Lê Ngọc Linh Chuyên gia Bảo mật - FPT Smart Cloud, Tập đoàn FPT

Trong vài năm trở lại đây, phần lớn doanh nghiệp có xu hướng chuyển dần sang hạ tầng cloud hoặc các mô hình hybrid. Điều này mang lại tốc độ triển khai ứng dụng vượt bậc nhưng đồng thời cũng thay đổi hoàn toàn cách chúng ta đối diện với rủi ro bảo mật. Từ những cuộc tấn công tinh vi hơn do AI thúc đẩy, đến mức độ phức tạp ngày càng cao của kiến trúc microservices - tất cả đều khiến các công cụ bảo mật truyền thống trở nên “đuối sức". Bài viết này chia sẻ góc nhìn từ quá trình xây dựng hệ thống bảo vệ cloud-native tại FPT Smart Cloud, dựa trên triết lý CNAPP (Cloud-Native Application Protection Platform). Thay vì nói về “một sản phẩm”, chúng ta sẽ nói về “một hành trình” - và hành trình đó bắt đầu từ việc nhìn lại chính những điểm yếu thường trực trong môi trường ứng dụng hiện đại. 1. Khi tốc độ phát triển vượt quá tốc độ kiểm soát: Mối nguy hình thành từ đâu?  Điều đầu tiên cần thừa nhận: Hầu hết lỗ hổng xuất hiện không phải do hacker quá thông minh, mà do hệ thống quá phức tạp và đang thay đổi quá nhanh.  Nếu như trước đây, một ứng dụng cần vài tháng để có một bản cập nhật mới thì ngày nay, một đội DevOps nhỏ có thể triển khai hàng chục phiên bản mới mỗi tuần nhờ pipeline CI/CD luôn hoạt động, commit liên tục và khả năng tạo lập hạ tầng tức thì bằng IaC.Cùng với đó, container, microservices, serverless... khiến bề mặt tấn công được mở rộng theo cấp số nhân. Trong bối cảnh đó, những sai sót như S3 bucket để public, IAM role cấp quyền quá rộng, API key lọt vào repo hay các gói thư viện chứa CVE nghiêm trọng rất dễ bị bỏ sót giữa hàng trăm thay đổi mỗi ngày. Song song với đó, việc AI được sử dụng trong tấn công mạng đã giúp gia tăng tốc và mức độ tinh vi của các kỹ thuật tấn công một cách đáng kể. Một số báo cáo gần đây cho thấy những chiến dịch tấn công có dấu hiệu được tự động hóa bằng AI để mở rộng quy mô dò quét, tạo email giả mạo, thậm chí giả lập hành vi người dùng. Khi bên tấn công có “tốc độ máy”, bên phòng thủ không thể tiếp tục vận hành theo kiểu thủ công. Nói cách khác, tốc độ và mức độ phức tạp của các cuộc tấn công hiện nay khiến doanh nghiệp buộc phải thay đổi chiến lược bảo vệ. 2. Tại sao chỉ quét production là chưa đủ? Một thực tế thú vị trong ngành bảo mật là phần lớn lỗ hổng bảo mật nằm ngay trong code và cấu hình ở giai đoạn đầu, nhưng lại được phát hiện muộn nhất - thường là ở runtime. Trong khi đó, chi phí sửa lỗi trong production có thể tốn kém gấp 30 lần so với khi phát hiện ngay lúc viết code. Con số có thể thay đổi tùy báo cáo, nhưng ý nghĩa thì không đổi khi càng phát hiện muộn, chi phí càng lớn, từ downtime, ảnh hưởng tới người dùng, đến tài nguyên SOC. Thực tế tại nhiều doanh nghiệp, đội vận hành phải dành hàng giờ kiểm tra thủ công sự cố, trong khi nếu doanh nghiệp tích hợp công cụ quét vào pipeline, cùng lỗi đó có thể được phát hiện và ngăn ngay khi developer push code. Như vậy, nếu mục tiêu là “phản ứng nhanh và khắc phục tự động”, việc phòng thủ phải bắt đầu trước khi mã chạy, chứ không thể đợi đến khi incident xảy ra. 3. CNAPP - Giải pháp hợp nhất thay cho hệ thống bảo mật rời rạc Trong nhiều năm, các mảng AppSec, CSPM, CWPP, SIEM, hay SOAR… hoạt động như những “mảnh ghép rời rạc". Mỗi bộ phận triển khai công cụ riêng như đội DevSecOps quản lý SAST/DAST, đội hạ tầng phụ trách CSPM, SOC vận hành SIEM/SOAR hay nhóm vận hành container sử dụng CWPP. Mỗi công cụ này đều có giá trị riêng, nhưng khi đứng tách biệt, chúng không thể trả lời câu hỏi quan trọng nhất: “Trong hàng nghìn cảnh báo mỗi ngày, điều gì thực sự khiến hệ thống gặp rủi ro?” CNAPP ra đời để giải quyết vấn đề này. Đây không phải một sản phẩm cụ thể, mà là một cách hợp nhất góc nhìn bảo mật từ code → hạ tầng → runtime → vận hành. Sau khi gom toàn bộ tín hiệu riêng lẻ vào một bức tranh thống nhất, CNAPP áp dụng phân tích ngữ cảnh để hiểu mối liên hệ giữa chúng. Từ đó, hệ thống có thể xác định, ưu tiên các lỗ hổng quan trọng, tự động hoá bước khắc phục và rút ngắn thời gian phản ứng từ hàng giờ xuống chỉ còn vài phút. Đặc biệt, CNAPP không chỉ quét, nó còn có khả năng hiểu ngữ cảnh. Một lỗ hổng CVE mức cao có thể có mức độ rủi ro thấp nếu container đó không public ra ngoài và hoàn toàn không có traffic. Ngược lại, việc để lộ một API trong repo nhưng pipeline lại không ngăn chặn có thể là mối đe doạ nghiêm trọng. Chỉ khi có bức tranh tổng thể này, doanh nghiệp mới đưa ra quyết định đúng, tập trung vào những rủi ro đáng xử lý nhất mà không bị “ngộp” bởi hàng nghìn cảnh báo ồn ào. 4. Từ kinh nghiệm triển khai: Vì sao AppSec/ASPM nên là điểm khởi đầu? Ở FPT Smart Cloud, AppSec là bước mang lại hiệu quả rõ rệt nhất ngay từ đầu. Các bản quét code giúp phát hiện sớm những lỗi logic hoặc lỗ hổng injection. Việc quét IaC cũng giúp nhận diện các cấu hình sai như việc mở port không cần thiết, bỏ sót encryption hay IAM role quá rộng. Các công cụ secret scan giúp phát hiện kịp thời API key hoặc credentials trong repo. Đồng thời, image scan giúp làm rõ những gói phụ thuộc tồn tại CVE nghiêm trọng. Trước đây, những việc này được làm thủ công mất từ vài giờ đến vài ngày. Sau khi tự động hóa trong pipeline CI/CD, thời gian xử lý rút xuống chỉ còn vài phút. Chính vì vậy, điểm cốt lõi không nằm ở việc “dùng công cụ gì”, mà ở cách đưa bảo mật vào đúng thời điểm, biến nó thành một phần tự nhiên của vòng đời phát triển. Tham khảo: FPT AppSec hỗ trợ đội ngũ bảo mật tìm ra CVE-2025-63601 tại đây. 5. Từ code đến vận hành: Các lớp bảo mật doanh nghiệp cần mở rộng AppSec giúp giảm rủi ro từ gốc, nhưng để một hệ thống thực sự có khả năng phát hiện và phản ứng nhanh, doanh nghiệp cần thêm các lớp bảo vệ mạnh mẽ. CSPM (Cloud Security Posture Management) đóng vai trò quan sát cấu hình cloud theo thời gian thực. Nhờ đó, doanh nghiệp có thể phát hiện các rủi ro như storage bucket bị public, network rule mở quá rộng, các encryption bị tắt hoặc các dữ liệu nhạy cảm nằm sai vị trí. Điều đáng nói là phần lớn những sự cố cloud lớn trong suốt thập kỷ qua đều bắt nguồn từ cấu hình sai tương tự. Bên cạnh CSPM, CWPP (Cloud Workload Protection Platform)giúpbảo vệ workload trong quá trình runtime với khả năng phát hiện những hành vi bất thường, quy trình lạ trong container/VM, hỗ trợ tự động cô lập phiên bản bị xâm nhập. Ở tầng mạng, Cloud Network Firewall đóng vai trò phòng thủ quan trọng trong các môi trường multi-cloud hoặc hybrid. Firewall giúp phân vùng mạng, giảm nguy cơ lateral movement. Một số giải pháp firewall hiện đại còn tích hợp thêm WAF hoặc IDPS. Cuối cùng, SIEM kết hợp cùng SOAR giúp kết nối mọi dữ liệu để tự động hóa phản ứng. Một nền tảng SIEM/SOAR mạnh có khả năng thu thập log từ AppSec, CSPM, CWPP, Firewall, IAM sau đó mapping theo MITRE ATT&CK để xác minh hành vi tấn công, thay vì xem từng alert nhỏ lẻ. Khi cần, hệ thống có thể tự động chạy playbook để cô lập workload, vô hiệu hoá credential, chặn IP độc hại mà không cần con người can thiệp. Đây là bước quan trọng giúp doanh nghiệp chuyển từ thế “bị động" sang “chủ động". 6. FPT Cloud Defense - Giải pháp hiện thực hoá CNAPP theo cách linh hoạt FPT Cloud Defense hiện thực hoá triết lý CNAPP bằng cách chia nhỏ thành các năng lực dễ áp dụng và phù hợp với trạng thái trưởng thành của doanh nghiệp theo lộ trình: Bước 1: Bắt đầu bằng AppSec/ASPM, vì đây là phần dễ triển khai nhất và mang lại giá trị tức thì. Bước 2: Mở rộng sang CSPM và CWPP để quan sát posture và runtime. Bước 3: Kết hợp Cloud Network Firewall để bảo đảm phân vùng mạng và phòng thủ tầng network. Bước 4: Hợp nhất tất cả vào SIEM/SOAR, từ đó cho phép tự động hóa khắc phục theo mô hình end-to-end. Điều quan trọng là cách tiếp cận phù hợp, FPT Cloud Defense không phải là một “siêu sản phẩm" hay cố thay đổi toàn bộ hệ thống ngay lập tức, FPT Cloud Defense giúp doanh nghiệp từng bước, giúp nhìn rõ bề mặt tấn công, giảm thiểu lỗ hổng ngay từ code, xây dựng khả năng tự động xử lý sự cố theo playbook và giảm áp lực đáng kể cho đội SOC và DevSecOps. 7. Doanh nghiệp nên bắt đầu từ đâu? Từ góc nhìn và kinh nghiệm triển khai thực tiễn, đây là thứ tự mà nhiều tổ chức chọn khi triển khai bảo mật cloud-native: Bước 1: Triển khai AppSec/ASPM vào pipeline CI/CD. Bắt đầu bằng secret scan và IaC scan - hai nguồn rủi ro phổ biến nhất. Bước 2: Kích hoạt CSPM cơ bản để sửa lỗi cấu hình sớm. Bước 3: Thiết lập bảo vệ runtime (CWPP) cho workload quan trọng. Bước 4: Tối ưu firewall & network segmentation, nhất là nếu có multi-cloud. Bước 5: Kết nối vào SIEM, xây playbook SOAR, ưu tiên 2-3 playbook quan trọng trước (ví dụ: khóa tài khoản bị xâm nhập, chặn IP, rollback cấu hình). Bước 6: Tối ưu liên tục bằng cách đưa dữ liệu từ sự cố thực tế quay về quy trình phát triển. Đây là cách hầu hết doanh nghiệp trưởng thành về bảo mật cloud-native thực hiện trong 3-6 tháng đầu để tăng cường khả năng phòng thủ trước những cuộc tấn công mạng tinh vi. 8. Doanh nghiệp chuyển từ “chống đỡ” sang “chủ động” Câu chuyện bảo mật không còn là “đặt thêm tường lửa” hay “mua thêm công cụ”. Điều quan trọng doanh nghiệp cần là khả năng nhìn thấy rủi ro xuyên suốt - từ code tới production - và xử lý nó trước khi gây thiệt hại. Triết lý CNAPP, cùng sự kết hợp giữa AppSec, CSPM, CWPP, Network Firewall và SIEM/SOAR chính là cách tiếp cận giúp doanh nghiệp chủ động, thống nhất hơn trong bảo vệ toàn bộ hệ thống. Với FPT Cloud Defense, chúng tôi không đặt mục tiêu tạo ra “một công cụ thần kỳ”, mà hướng tới tạo ra một phương pháp phòng thủ hiện đại, giúp doanh nghiệp Việt Nam nâng cao năng lực bảo mật theo đúng cách mà thế giới đang chuyển dịch. Lắng nghe chia sẻ đầy đủ về cách tiếp cận phòng thủ chủ động dựa trên CNAPP và ASPM từ anh Lê Ngọc Linh, Chuyên gia bảo mật, FPT Smart Cloud, Tập đoàn FPT tại đây. Tác giả: Lê Ngọc Linh Chuyên gia bảo mật, FPT Smart Cloud, Tập đoàn FPT Liên hệ với chúng tôi để được tư vấn chi tiết về các giải pháp, dịch vụ của FPT Cloud Hotline: 1900 638 399 Email: support@fptcloud.com Support: m.me/fptsmartcloud