Một mô hình AI đã phát hiện hơn 10.000 lỗ hổng bảo mật cấp cao hoặc cực kỳ nghiêm trọng trong các phần mềm thiết yếu trong khoảng 30 ngày. Một số lỗi đó đã ẩn náu ngay trước mắt gần ba thập kỷ.
Dự án Glasswing, được Anthropic ra mắt vào ngày 7 tháng 4 năm 2026, sử dụng mô hình AI chưa được phát hành có tên Claude Mythos Preview để tự động quét các cơ sở mã nhằm phát hiện lỗ hổng bảo mật.
Các lỗi tồn tại sau khi người tạo ra chúng đã ra đi
Trong số hàng ngàn lỗ hổng được phát hiện, có hai lỗ hổng nổi bật vì quy mô phi lý của chúng. AI đã phát hiện ra một lỗ hổng gây sập từ xa 27 năm tuổi trong OpenBSD, một hệ điều hành được xây dựng xung quanh bảo mật như triết lý cốt lõi. Nó cũng phát hiện ra một lỗ hổng 16 năm tuổi trong FFmpeg, khung công cụ đa phương tiện được sử dụng rộng rãi, vốn đã tránh được phát hiện bởi hơn năm triệu bài kiểm tra tự động.
Dự án cũng không chỉ phát hiện ra các lỗi cũ. Hàng ngàn lỗ hổng zero-day chưa từng được biết đến đã được xác định trên tất cả các hệ điều hành và trình duyệt web chính.
Cloudflare, một trong những đối tác của dự án, đã cung cấp cái nhìn cụ thể về các con số từ sự hợp tác nội bộ của mình. Công ty báo cáo đã phát hiện khoảng 2.000 lỗ hổng thông qua mối quan hệ đối tác, trong đó 400 lỗ hổng được phân loại là mức độ cao hoặc nghiêm trọng. Tỷ lệ báo sai thấp đáng kể so với các phương pháp phát hiện truyền thống.
Cho đến nay, chỉ có một lỗ hổng duy nhất đã được công khai với mã CVE chính thức: CVE-2026-4747.
Liên minh đứng sau hậu trường
Các đối tác liên minh cốt lõi bao gồm AWS, Apple, Microsoft, Google, Cisco, CrowdStrike, NVIDIA, Palo Alto Networks, Broadcom, Linux Foundation và JPMorgan Chase. IBM gia nhập nhóm vào ngày 19 tháng 5 năm 2026.
Anthropic đã phân bổ tới 100 triệu USD tín dụng tính toán cho dự án, cùng 4 triệu USD tài trợ dành cho các nhóm bảo mật mã nguồn mở. Mục tiêu được nêu rõ là mang tính phòng thủ: tìm ra các lỗ hổng trước khi các công cụ tấn công được điều khiển bởi AI làm được điều đó.