Anthropic vừa công bố dự án Glasswing, sử dụng mô hình AI Claude Mythos, đã phát hiện hơn 10.000 lỗ hổng bảo mật nghiêm trọng trong các phần mềm quan trọng trên toàn cầu, cho thấy tiềm năng to lớn của AI trong việc tăng cường an ninh mạng.
AI Claude Mythos Phát Hiện Hơn 10.000 Lỗ Hổng Nghiêm Trọng Trong Phần Mềm Phổ Biến
Anthropic vừa công bố một thông tin đáng chú ý: dự án Glasswing của họ đã giúp phát hiện hơn 10.000 lỗ hổng bảo mật ở mức độ nghiêm trọng cao hoặc cực kỳ nghiêm trọng trong các phần mềm được sử dụng rộng rãi trên toàn cầu. Sáng kiến an ninh mạng này được triển khai từ tháng trước, cho thấy tiềm năng to lớn của trí tuệ nhân tạo (AI) trong việc củng cố hạ tầng phần mềm quan trọng.
Project Glasswing là một nỗ lực phòng thủ do Anthropic khởi xướng nhằm bảo vệ hạ tầng phần mềm toàn cầu. Dự án này cung cấp quyền truy cập sớm, độc quyền cho khoảng 50 đối tác vào Claude Mythos Preview – một mô hình AI tiên tiến có khả năng tự động xác định các vulnerability trong phần mềm phổ biến trước khi các tác nhân độc hại có thể khai thác chúng.
Trong số các lỗ hổng được phát hiện, 6.202 lỗ hổng được phân loại là nghiêm trọng hoặc cực kỳ nghiêm trọng, ảnh hưởng đến hơn 1.000 dự án mã nguồn mở. Sau khi phân tích sâu hơn, 1.726 trong số này đã được xác nhận là true positives (lỗ hổng thực sự tồn tại), trong đó 1.094 lỗ hổng được đánh giá là nghiêm trọng hoặc cực kỳ nghiêm trọng.
Một ví dụ điển hình là lỗ hổng nghiêm trọng trong WolfSSL (CVE-2026-5194, điểm CVSS: 9.1), cho phép kẻ tấn công giả mạo chứng chỉ và mạo danh dịch vụ hợp pháp. Nhờ những nỗ lực này, 97 phát hiện đã được vá (patch) ở cấp độ upstream và 88 cảnh báo (advisories) đã được phát hành.
Anthropic thừa nhận rằng: “Việc tìm kiếm vulnerability tương đối dễ dàng so với việc khắc phục chúng tạo ra một thách thức lớn cho an ninh mạng. Đối mặt thành công với thách thức này sẽ giúp phần mềm của chúng ta an toàn hơn rất nhiều.”
Sự phát triển này diễn ra trong bối cảnh các nhà cung cấp phần mềm đang phát hành nhiều bản vá hơn bao giờ hết, được thúc đẩy bởi sự gia tăng của việc phát hiện vulnerability có sự hỗ trợ của AI. Microsoft cũng đã lưu ý rằng số lượng bản vá mới mà họ dự kiến phát hành hàng tháng sẽ “tiếp tục tăng trong một thời gian”.
Nền tảng bảo mật tấn công tự động XBOW đã mô tả Mythos Preview là “một bước tiến lớn”, “tốt hơn đáng kể so với các mô hình trước đây trong việc tìm kiếm các ứng cử viên vulnerability” và “thành thạo trong việc phân tích mã nguồn với tư duy bảo mật”. Các phân tích gần đây cũng cho thấy mô hình này xuất sắc trong việc biến các vulnerability thành các chuỗi tấn công (attack chains) từ đầu đến cuối.
Anthropic cho biết thêm, tiện ích của Mythos Preview không chỉ dừng lại ở việc tìm kiếm các lỗ hổng bảo mật. Trong một trường hợp, một ngân hàng đối tác của Glasswing đã tận dụng mô hình AI này để phát hiện và ngăn chặn một giao dịch chuyển khoản gian lận trị giá 1,5 triệu USD, sau khi một tác nhân đe dọa không xác định đã xâm nhập tài khoản email của khách hàng và thực hiện các cuộc gọi điện thoại giả mạo.
Với việc các mô hình có khả năng tương tự Mythos có thể sớm được phổ biến rộng rãi, Anthropic đang kêu gọi các nhà phát triển phần mềm rút ngắn chu kỳ vá lỗi và cung cấp các bản vá bảo mật nhanh nhất có thể. Đáng chú ý, Oracle gần đây đã chuyển sang chu kỳ vá lỗi hàng tháng để giải quyết các vấn đề bảo mật nghiêm trọng.
Anthropic khuyến nghị: “Các nhà phòng thủ mạng nên rút ngắn thời gian thử nghiệm và triển khai bản vá của họ. Điều này bao gồm các bước như tăng cường cấu hình mặc định của mạng, thực thi xác thực đa yếu tố (multi-factor authentication) và duy trì nhật ký toàn diện để phát hiện và phản ứng.”
Công ty AI này cũng cho biết họ đã ra mắt Chương trình Xác minh An ninh mạng (Cyber Verification Program), cho phép các chuyên gia bảo mật sử dụng các mô hình của họ mà không có giới hạn (guardrails) cho các mục đích hợp pháp như nghiên cứu vulnerability, kiểm thử xâm nhập (penetration testing) và red teaming. Điều này tương tự như Daybreak của OpenAI, cũng cho phép các nhà phòng thủ tận dụng GPT-5.5-Cyber cho các quy trình làm việc chuyên biệt.
Các mô hình như Mythos Preview và GPT-5.5-Cyber vẫn chưa được phát hành rộng rãi ra công chúng do lo ngại rằng hiện tại chưa có các biện pháp bảo vệ đầy đủ để ngăn chặn việc lạm dụng chúng ở quy mô lớn.
Anthropic nhấn mạnh: “Glasswing giúp các nhà phòng thủ mạng quan trọng nhất đạt được lợi thế không đối xứng. Tuy nhiên, có một nhu cầu cấp bách là càng nhiều tổ chức càng tốt phải củng cố hệ thống phòng thủ mạng của họ. Chúng tôi hy vọng rằng các mô hình có sẵn rộng rãi của chúng tôi, cùng với các công cụ, tài nguyên và nghiên cứu mới mà chúng tôi đang cung cấp, sẽ hỗ trợ các tổ chức đó cải thiện tư thế an ninh mạng của họ.”
Nguồn tham khảo: The Hacker News
