Mô hình AI bị hạn chế của Anthropic đã thực hiện trong vài tuần những gì các chuyên gia bảo mật con người không thể làm trong vài thập kỷ. Dự án Glasswing, liên minh an ninh mạng của công ty, đã cùng nhau xác định được hơn 10.000 lỗ hổng phần mềm mức độ cao và nghiêm trọng, bao gồm hàng ngàn lỗ hổng zero-day đã ẩn náu không bị phát hiện trong các hệ thống được sử dụng rộng rãi trong nhiều năm.
Trong số các phát hiện: một lỗ hổng 27 năm tuổi trong OpenBSD và một lỗi 16 năm tuổi trong FFmpeg. Cả hai đều đã tồn tại qua mọi vòng đánh giá mã nguồn bởi con người và kiểm thử tự động trước đó.
Project Glasswing thực sự là gì
Anthropic đã ra mắt Dự án Glasswing vào ngày 7 tháng 4 năm 2026, được xây dựng xung quanh mô hình frontier chưa được phát hành có tên Claude Mythos Preview. Ý tưởng cốt lõi rất đơn giản: hướng một AI cực kỳ mạnh mẽ vào cơ sở hạ tầng phần mềm quan trọng và để nó tìm kiếm các lỗ hổng bảo mật mà con người vẫn thường bỏ sót.
Claude Mythos Preview rất giỏi trong việc tìm kiếm và khai thác lỗ hổng một cách tự chủ, đến nỗi Anthropic đã quyết định không phát hành nó công khai. Thay vào đó, họ đã thành lập một liên minh gồm các công ty công nghệ và hạ tầng được truy cập độc quyền vào mô hình này chỉ dành cho các công việc bảo mật phòng thủ.
Hiện hơn 40 tổ chức tham gia vào sáng kiến này. Anthropic đã cam kết cung cấp tới 100 triệu USD tín dụng sử dụng mô hình để hỗ trợ nỗ lực này, cùng khoảng 4 triệu USD được dành riêng để nâng cao bảo mật mã nguồn mở.
Bản cập nhật được phát hành vào khoảng ngày 22-23 tháng 5 năm 2026 là lúc các con số trở nên kinh ngạc. Các đối tác cùng báo cáo hơn 10.000 lỗ hổng bảo mật cấp cao và cực kỳ nghiêm trọng, với hàng ngàn lỗ hổng được phân loại là zero-day, nghĩa là chúng trước đây chưa từng được các nhà phát triển phần mềm và cộng đồng bảo mật rộng lớn biết đến.
Nút thắt trong việc khắc phục
Tìm ra lỗ hổng là một chuyện. Sửa chúng lại là một vấn đề hoàn toàn khác.
Trong số hàng nghìn phát hiện nghiêm trọng đã được xác minh, mới chỉ có dưới 100 bản vá được triển khai. AI có thể phát hiện lỗ hổng với tốc độ nhanh hơn đáng kể so với khả năng thực tế của ngành trong việc khắc phục chúng.
Các phát hiện zero-day đặc biệt tiết lộ. Một lỗ hổng 27 năm trong OpenBSD có nghĩa là trong gần ba thập kỷ, mọi cuộc kiểm tra bảo mật, mọi chiến dịch fuzzing, mọi cặp mắt chuyên gia kiểm tra mã nguồn đó đều bỏ sót một điều mà mô hình AI đã phát hiện ra. Lỗi FFmpeg 16 năm tuổi cũng kể một câu chuyện tương tự. Đây không phải là những dự án hiếm gặp. OpenBSD nổi tiếng với sự tập trung vào bảo mật, và FFmpeg được nhúng vào vô số ứng dụng truyền thông trên toàn thế giới.
Điều này có nghĩa gì đối với nhà đầu tư
Số tín dụng sử dụng 100 triệu đô la mà Anthropic cam kết dành cho sáng kiến này cho thấy các phòng thí nghiệm AI lớn đang coi trọng thế nào tính chất hai mặt của các mô hình họ phát triển. Bằng cách giới hạn Claude Mythos Preview cho một liên minh đã được kiểm duyệt thay vì phát hành rộng rãi, Anthropic có thể chứng minh việc triển khai có trách nhiệm đồng thời xây dựng mối quan hệ sâu sắc với các đội ngũ bảo mật doanh nghiệp.