💡 Việc AI có khả năng phát hiện lỗ hổng bảo mật với tốc độ và quy mô như Claude Mythos cho thấy một bước tiến lớn trong lĩnh vực an ninh mạng. Tuy nhiên, RetroLab nhận thấy rằng sự phát triển này cũng đặt ra thách thức về việc làm thế nào để đối phó với tốc độ vá lỗi, và cần có các biện pháp bảo vệ mạnh mẽ hơn trước khi các công nghệ này được phổ biến rộng rãi.
Chương trình Project Glasswing của Anthropic đã đạt được một cột mốc đáng kinh ngạc: phát hiện hơn 10.000 lỗ hổng bảo mật có mức độ nghiêm trọng cao hoặc nghiêm trọng nhất trong các phần mềm quan trọng toàn cầu kể từ khi ra mắt vào tháng trước.
Project Glasswing là một nỗ lực bảo mật mang tính phòng thủ, do công ty trí tuệ nhân tạo (AI) Anthropic khởi xướng nhằm mục đích bảo vệ cơ sở hạ tầng phần mềm quan trọng trên toàn thế giới. Chương trình này cung cấp cho một nhóm nhỏ khoảng 50 đối tác độc quyền quyền truy cập sớm vào Claude Mythos Preview, một mô hình AI tiên tiến có khả năng tự động xác định các lỗ hổng trong các phần mềm phổ biến trước khi các tác nhân độc hại có thể khai thác chúng.
Trong số các lỗ hổng được phát hiện, có tới 6.202 được phân loại là lỗi nghiêm trọng hoặc cực kỳ nghiêm trọng, ảnh hưởng đến hơn 1.000 dự án mã nguồn mở. Phân tích sâu hơn đã xác nhận 1.726 là các báo cáo chính xác. Đáng chú ý, 1.094 trong số này được đánh giá là các lỗ hổng nghiêm trọng hoặc cực kỳ nghiêm trọng.
Một trong những điểm yếu được xác định là một lỗi nghiêm trọng trong WolfSSL (CVE-2026-5194, điểm CVSS: 9.1). Lỗi này có thể cho phép kẻ tấn công giả mạo chứng chỉ và lừa người dùng tin rằng họ đang kết nối với một dịch vụ hợp pháp. Nhờ những nỗ lực này, 97 vấn đề đã được khắc phục và 88 cảnh báo bảo mật đã được ban hành.
"Việc phát hiện lỗ hổng tương đối dễ dàng so với sự khó khăn trong việc khắc phục chúng, đây là một thách thức lớn đối với an ninh mạng", Anthropic thừa nhận. "Đối mặt với thách thức này thành công sẽ làm cho phần mềm của chúng ta an toàn hơn rất nhiều so với trước đây."
Diễn biến này diễn ra trong bối cảnh các nhà cung cấp phần mềm đang phát hành nhiều bản vá lỗi hơn bao giờ hết, một phần là do sự gia tăng trong việc phát hiện lỗ hổng bằng AI. Microsoft đã ghi nhận số lượng bản vá mới dự kiến phát hành hàng tháng sẽ "tiếp tục có xu hướng tăng trong một thời gian tới".
Nền tảng an ninh tấn công tự động XBOW đã mô tả Mythos Preview là "một bước tiến lớn", "tốt hơn đáng kể so với các mô hình trước đây trong việc tìm kiếm các ứng viên lỗ hổng" và "có khả năng phân tích mã nguồn với tư duy bảo mật". Các phân tích gần đây cũng cho thấy mô hình này rất xuất sắc trong việc biến các lỗ hổng thành các chuỗi tấn công đầu cuối.
Anthropic cũng cho biết thêm, tiện ích của Mythos Preview không chỉ dừng lại ở việc tìm kiếm các lỗi bảo mật. Trong một trường hợp, một ngân hàng đối tác của Glasswing đã sử dụng mô hình AI này để phát hiện và ngăn chặn một vụ chuyển tiền gian lận trị giá 1,5 triệu USD, sau khi một đối tượng đe dọa không xác định xâm nhập vào tài khoản email của khách hàng và thực hiện các cuộc gọi giả mạo.
Với việc các mô hình có khả năng tương tự như Mythos có thể sớm trở nên phổ biến, Anthropic đang kêu gọi các nhà phát triển phần mềm rút ngắn chu kỳ vá lỗi và phát hành các bản sửa lỗi bảo mật càng nhanh càng tốt. Đáng chú ý, Oracle gần đây đã chuyển sang chu kỳ vá lỗi hàng tháng để giải quyết các vấn đề bảo mật nghiêm trọng.
"Các chuyên gia phòng thủ mạng nên rút ngắn thời gian thử nghiệm và triển khai bản vá của họ", Anthropic khuyến cáo. "Điều này bao gồm các bước như tăng cường cấu hình mặc định của mạng, thực thi xác thực đa yếu tố và duy trì nhật ký toàn diện để phát hiện và phản ứng."
Công ty AI này cũng thông báo đã ra mắt Chương trình Xác minh An ninh mạng (Cyber Verification Program), cho phép các chuyên gia bảo mật sử dụng các mô hình của họ mà không có các giới hạn an toàn (guardrails) cho các mục đích chính đáng như nghiên cứu lỗ hổng, kiểm thử xâm nhập và red teaming. Điều này tương tự như OpenAI's Daybreak, cho phép các chuyên gia phòng thủ tận dụng GPT-5.5-Cyber cho các quy trình công việc chuyên biệt.
Các mô hình như Mythos Preview và GPT-5.5-Cyber vẫn chưa được phát hành công khai do lo ngại rằng hiện tại chưa có các biện pháp bảo vệ đầy đủ để ngăn chặn việc lạm dụng quy mô lớn.
"Glasswing giúp các chuyên gia phòng thủ mạng quan trọng nhất có được lợi thế bất đối xứng", Anthropic nhấn mạnh. "Tuy nhiên, có một nhu cầu cấp thiết đối với càng nhiều tổ chức càng tốt để củng cố khả năng phòng thủ mạng của họ. Chúng tôi hy vọng rằng các mô hình sẵn có của chúng tôi, cùng với các công cụ, tài nguyên và nghiên cứu mới mà chúng tôi cung cấp, sẽ hỗ trợ các tổ chức đó cải thiện tư thế an ninh mạng của họ."
Nguồn: The Hacker News - https://thehackernews.com/2026/05/claude-mythos-ai-finds-10000-high.html
