Google xác nhận cập nhật gmail – 3 tỷ người dùng cần quyết định

Gmail cần một cuộc cải cách, cũng như Outlook, Apple Mail và các nền tảng email khác. Nguyên nhân là trí tuệ nhân tạo (AI) – nhưng không phải theo cách tích cực. Symantec, Cofense và gần đây nhất là Hoxhunt đã cảnh báo rằng các cuộc tấn công AI gần như không thể đánh bại giờ đây là điều không thể tránh khỏi, khi các mô hình ngôn ngữ lớn (LLMs) nổi tiếng nhất hiện nay có thể thiết kế, phát triển và thậm chí thực hiện các cuộc tấn công. Tuy nhiên, người dùng Gmail cũng phải đối mặt với một quyết định quan trọng, khi mà có vấn đề nghiêm trọng với các bản cập nhật gần đây nhất của Gmail.

Ảnh: Shutterstock

Hoxhunt cho biết “Các tác nhân AI giờ đây có thể vượt qua các đội quân tinh nhuệ, với quy mô lớn”, có nghĩa là các cuộc tấn công spear phishing (lừa đảo qua email nhắm mục tiêu cụ thể) được cá nhân hóa sẽ trở thành xu hướng. Google, Microsoft và các công ty khác nói rằng họ ngăn chặn “hơn 99%” các thư rác, lừa đảo và phần mềm độc hại nhắm vào hộp thư. Nhưng hàng triệu tin nhắn vẫn lọt qua trước khi một làn sóng tấn công AI không thể ngừng được xuất hiện.

Vì vậy, email cần một sự thay đổi cơ bản, không phải những cải tiến tiến hóa. Một sự thay đổi để sao chép tính tức thời và ngắn gọn của các nền tảng nhắn tin đang thu hút người dùng khỏi email, cả trong và ngoài công sở. Một sự thay đổi để tận dụng việc lọc và bảo vệ mối đe dọa an toàn ngay trên thiết bị. Và một sự thay đổi với bảo mật được tích hợp sẵn, không phải được thêm vào. Như chúng ta đã mong đợi từ các nền tảng giao tiếp khác. Email không thể điều chỉnh để phù hợp, nó cần được cải cách. Và mặc dù nhiều cải tiến gần đây của Gmail được hoan nghênh – như xác thực người gửi được cải tiến, lọc AI dựa trên đám mây và (đang phát triển) các địa chỉ được bảo vệ – nhưng hai bản cập nhật gần đây nhất của Gmail cho thấy thách thức trong việc xây dựng dựa trên những gì chúng ta có ngày nay.

Tháng này, Google xác nhận rằng họ đang “làm cho email mã hóa đầu cuối trở nên dễ sử dụng cho tất cả các tổ chức” sử dụng Gmail. Điều này cung cấp mức độ bảo mật cơ bản mà chúng ta kỳ vọng từ các cuộc gọi thoại, video và các nền tảng nhắn tin. Nhưng điều này khó khăn hơn với kiến trúc mở của email. Đó là lý do tại sao thay đổi này sẽ được áp dụng trước tiên cho các doanh nghiệp. Ars Technica và các trang khác đã chỉ ra rằng sự phấn khích nhanh chóng sau thông báo mang tính cách mạng của Google đã không đúng với thực tế: “Gmail công bố tính năng mã hóa email đầu cuối. Tuy nhiên, đó không phải là E2EE thật sự”. Lý do là các khóa bảo vệ lưu lượng email an toàn nằm trong hạ tầng phía khách hàng, chứ không phải trong “đầu cuối” thực sự.

Ảnh: APT

Như Ars Technica cảnh báo, “Tính năng mới này có thể có giá trị đối với các tổ chức phải tuân thủ các quy định yêu cầu mã hóa đầu cuối. Tuy nhiên, nó chắc chắn không phù hợp với người tiêu dùng hoặc bất kỳ ai muốn kiểm soát duy nhất các tin nhắn họ gửi. Các nhà bảo vệ quyền riêng tư, hãy lưu ý”.

Mã hóa đầu cuối thực sự (E2EE) nằm ngay trong thiết bị của người dùng, quản lý việc trao đổi khóa giữa người gửi và người nhận. Cách duy nhất để cung cấp email mã hóa đầu cuối là một “khu vườn đóng”, chẳng hạn như Proton, yêu cầu người dùng bảo vệ email bằng mật khẩu khi gửi ra ngoài hệ thống của họ.

Với các cuộc trò chuyện bên thứ ba của Meta và bản cập nhật E2EE của RCS từ GSMA, chúng ta sẽ thấy (hầu như) mã hóa đầu cuối giữa nền tảng khép kín khác nhau. RCS “sẽ là dịch vụ nhắn tin quy mô lớn đầu tiên hỗ trợ E2EE có thể tương tác giữa các triển khai khách hàng từ các nhà cung cấp khác nhau”. Dĩ nhiên, không thể áp dụng trực tiếp cho email. Nhưng nó nâng cao tiêu chuẩn.

Gmail được bảo mật bằng Mã hóa Bên khách hàng (CSE) của Workspace, điều này giữ dữ liệu của “tổ chức” ở chế độ bảo mật với mã hóa đầu cuối mà các máy chủ Google và bên thứ ba không thể giải mã, mang lại cho [tổ chức] quyền kiểm soát dữ liệu của họ. CSE đặc biệt có lợi cho các tổ chức lưu trữ dữ liệu nhạy cảm hoặc có quy định nghiêm ngặt, như sở hữu trí tuệ, hồ sơ y tế hoặc dữ liệu tài chính, không phải giao tiếp cá nhân.

Và điều này dẫn đến đổi mới thứ hai. Tìm kiếm thông minh dựa trên AI. Mười ngày trước khi Gmail công bố tính năng E2EE giả mạo, Google đã thông báo “Gmail sẽ triển khai tính năng tìm kiếm thông minh hơn, được hỗ trợ bởi AI để hiển thị kết quả phù hợp nhất, nhanh hơn… Các kết quả tìm kiếm giờ đây sẽ tính đến các yếu tố như tính mới nhất, các email được nhấp nhiều nhất và những liên lạc thường xuyên. Với bản cập nhật này, các email bạn đang tìm kiếm sẽ có nhiều khả năng xuất hiện ở đầu kết quả tìm kiếm”.

Việc sử dụng tính năng này cũng là một quyết định đối với người dùng, vì nó cho phép AI tác động đến dữ liệu của bạn. Google cho biết với tôi rằng “ưu tiên của chúng tôi là tôn trọng quyền riêng tư của người dùng trong khi vẫn cho phép họ lựa chọn và kiểm soát dữ liệu của mình. Vì vậy, công cụ này là một trong các ‘tính năng thông minh’ mà người dùng có thể kiểm soát trong cài đặt cá nhân hóa của mình”.

E2EE và tìm kiếm AI không hoạt động cùng nhau, vì cả hai đều là lớp bảo vệ xung quanh một kiến trúc giao tiếp cũ kỹ, thay vì xây dựng cho thế giới mà chúng ta đang sống ngày nay. Google đã xác nhận với tôi rằng các email mã hóa đầu cuối “hoàn toàn không được tính vào tìm kiếm AI”. “Chúng tôi không có khóa để giải mã, vì vậy chúng tôi thực sự không thể đọc được tin nhắn”.

Đó là điều nên làm, nhưng bạn có thể thấy vấn đề từ góc độ người dùng. Hai tính năng nổi bật mới không thể hoạt động cùng nhau. Email là một nền tảng không an toàn về cơ bản và giờ chúng ta đang thêm AI vào đó, trong khi AI lại mang theo những kỳ vọng về quyền riêng tư mà email không thể đáp ứng. Đây là lý do tại sao rất nhiều giao tiếp cá nhân và doanh nghiệp đã chuyển từ email sang các nền tảng nhắn tin. Vậy giờ bạn phải đưa ra quyết định.