Trang chủ
Tin tức
Chi tiết

Anthropic's Mythos phát hiện hơn 10.000 lỗ hổng phần mềm nghiêm trọng trong 30 ngày

iconMetaEra
Chia sẻ
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconTóm tắt

expand icon
Anthropic's Mythos, dưới Dự án Glasswing, đã phát hiện hơn 10.000 lỗ hổng phần mềm nghiêm trọng trong 30 ngày, hợp tác cùng 50 nhà phát triển lớn. AI đã tìm ra các vấn đề trong Cloudflare, Firefox và OpenBSD, đồng thời ngăn chặn một nỗ lực gian lận trị giá 1,5 triệu USD. Trong bối cảnh các biện pháp CFT đối mặt với những thách thức mới, tốc độ phát hiện do AI dẫn dắt hiện nay đã vượt xa khả năng vá lỗi của con người, tạo ra một lượng công việc tồn đọng ngày càng tăng. Với MiCA sắp được thực thi, áp lực nhằm bảo vệ cơ sở hạ tầng đang gia tăng.
Kế hoạch Cánh kính của Nhà máy A đã giành chiến thắng đầu tiên, Mythos đã phát hiện ra 10.000 lỗ hổng nghiêm trọng trong vòng 30 ngày, thậm chí còn ngăn chặn được 1,5 triệu USD lừa đảo trực tuyến! Trước những báo cáo như tuyết rơi, các lập trình viên con người cũng phải gục ngã cầu xin: “Xin đừng đào nữa, không sửa nổi hết đâu!”

Tác giả bài viết, nguồn: ASI Khải Huyền, Tân Trí Nguyên

Vừa mới đây, Anthropic đã công bố một thông tin gây chấn động trong cộng đồng công nghệ và an ninh toàn cầu.

Báo cáo tháng đầu tiên của Kế hoạch Glass Wing đã chính thức được công bố!

Trong chiến dịch bí mật này, Anthropic lần đầu tiên sử dụng mô hình lớn cấp cao thế hệ tiếp theo — Claude Mythos Preview.

Trong vòng 30 ngày, nó đã hợp tác với khoảng 50 công ty công nghệ hàng đầu và nhà phát triển phần mềm hạ tầng then chốt trên toàn cầu, phát hiện hơn 10.000 lỗ hổng phần mềm ở mức độ cao hoặc nghiêm trọng!

Điều đáng sợ hơn là nó không chỉ có thể tìm ra lỗ hổng mà còn tự động xây dựng chuỗi tấn công từ đầu đến cuối.

Ngay cả trong một giao dịch thực tế tại một ngân hàng đối tác, đã ngăn chặn thành công một vụ lừa đảo trực tuyến trị giá 1,5 triệu USD!

Trong chốc lát, toàn bộ cộng đồng an ninh đã chấn động.

Các chuyên gia bảo mật thậm chí còn tuyệt vọng kêu lên trên X: “Nền tảng của internet đã bị AI lật ngược hoàn toàn… Có lẽ chúng ta thật sự sẽ gặp nguy hiểm!”

30 ngày điên rồ: Các đế chế công nghệ toàn cầu tự trải nghiệm, Mythos đáng sợ đến mức nào

Tháng 4 năm 2026, Anthropic đã khởi động bí mật Dự án Glasswing. Tên gọi này mang ý nghĩa mong muốn các phần mềm đóng và mở quan trọng nhất trên thế giới trở nên minh bạch và an toàn.

Những đơn vị đầu tiên tham gia chương trình này là khoảng 50 nhà phát triển phần mềm hạ tầng then chốt.

Sau khi nhận được quyền truy cập thử nghiệm Claude Mythos Preview, chỉ trong vòng một tháng, toàn bộ quan niệm của ngành đã bị xáo trộn.

Hãy cùng xem bản tin chiến thắng chói lòa này—

Cloudflare báo cáo rằng trong các hệ thống đường dẫn cốt lõi cực kỳ quan trọng, Mythos đã phát hiện ra 2.000 lỗ hổng! Trong đó có 400 lỗ hổng thuộc cấp độ cao hoặc nghiêm trọng.

Điều còn đáng kinh ngạc hơn là đội ngũ bảo mật của Cloudflare đã thốt lên: tỷ lệ báo sai của AI này thậm chí còn thấp hơn cả các chuyên gia kiểm thử bảo mật hàng đầu con người.

Trong bài kiểm tra trình duyệt Firefox 150 mới nhất của Mozilla, Mythos đã khắc phục ngay lập tức 271 lỗ hổng bảo mật nghiêm trọng.

Con số này gấp hơn 10 lần số lỗ hổng được phát hiện trong Firefox 148 với Opus 4.6!

Kết quả báo cáo từ OpenBSD thật đáng sợ: Mythos đã phát hiện ra một lỗi cũ kéo dài suốt 27 năm trong kho mã nguồn của OpenBSD!

Hơn nữa, mô hình thậm chí còn tự xây dựng được chuỗi khai thác lỗ hổng hoàn chỉnh mà không cần sự can thiệp của con người.

Viện An ninh AI của Anh đã cấp giấy chứng nhận chính thức. Họ xác nhận rằng Mythos Preview là mô hình AI đầu tiên trên thế giới có thể giải quyết hoàn toàn hệ thống mạng kép do họ thiết lập một cách end-to-end.

Trong phòng thủ thực chiến, Mythos cũng thể hiện rõ sức mạnh.

Tại một ngân hàng đối tác, một nhóm tin tặc đã xâm nhập thành công vào email của khách hàng và sử dụng công nghệ sao chép giọng nói AI để thực hiện các cuộc gọi lừa đảo.

Ngay trước khi khoản chuyển khoản điện tử trị giá 1,5 triệu USD sắp bị chuyển đi, mô hình Mythos đã phân tích tức thời chuỗi hành vi bất thường, phát hiện ngay lập tức vụ lừa đảo và ngắt giao dịch một cách ép buộc!

“Chúng tôi, những chuyên gia an ninh con người, trông giống như những người nguyên thủy cầm giáo, nhìn một chiếc máy bay chiến đấu F-22 bay qua trên đầu.” Một nhà nghiên cứu an ninh tham gia thử nghiệm nội bộ đã than thở trên X.

Hàng tỷ thiết bị trên toàn cầu đã được Mythos cứu vớt!

Tuy nhiên, Mythos cũng gây ra một cuộc khủng hoảng năng lực sản xuất.

Trong quá khứ, điểm nghẽn cốt lõi trong lĩnh vực an ninh mạng là phát hiện lỗ hổng. Để tìm ra một lỗ hổng zero-day nghiêm trọng, các hacker mũ trắng hàng đầu có thể phải mất vài tuần甚至几个月.

Và hiện tại, Claude Mythos đã giảm trực tiếp chi phí và thời gian tìm kiếm lỗ hổng xuống mức «tiến gần đến không».

Anthropic đã quét hơn 1.000 dự án mã nguồn mở cốt lõi đang vận hành internet toàn cầu. Kết quả khiến người ta rùng mình—

Tổng cộng phát hiện 23.019 lỗ hổng, trong đó bao gồm 6.202 lỗ hổng nghiêm trọng hoặc cực kỳ nghiêm trọng được đánh giá bởi Mythos!

Để đảm bảo không phải AI đang “nói nhảm”, Anthropic đã hợp tác với 6 công ty nghiên cứu bảo mật độc lập hàng đầu toàn cầu để thực hiện kiểm tra chéo thủ công.

Kết quả cho thấy: Tỷ lệ chính xác của AI trong việc phát hiện đúng các lỗ hổng (tức là lỗ hổng thực sự tồn tại) lên tới 90,6%! Cuối cùng, đã xác nhận có 1.094 lỗ hổng là bằng chứng rõ ràng thuộc cấp độ nguy hiểm hoặc nghiêm trọng.

Open-source vulnerability dashboard displaying vulnerabilities of all severity levels

Đây phải đề cập đến một ví dụ cực kỳ tiêu biểu — wolfSSL.

wolfSSL là một thư viện mã hóa nguồn mở cực kỳ nổi tiếng, được sử dụng trên hàng tỷ thiết bị trên toàn cầu, bao gồm các thiết bị IoT, bộ định tuyến, ô tô thông minh, v.v.

Tuy nhiên, trước Mythos, hàng phòng thủ của wolfSSL trở nên vô nghĩa. Mythos không chỉ phát hiện ra một lỗ hổng logic cực kỳ tinh vi, mà còn tự mình viết ra một bộ mã tấn công!

Sử dụng mã này, tin tặc có thể giả mạo chứng chỉ số tùy ý, tạo ra các trang web ngân hàng hoặc trang đăng nhập email cực kỳ chân thực, không có bất kỳ điểm yếu nào.

Nếu lỗ hổng này không được Mythos phát hiện và báo cáo sửa chữa trước, hậu quả sẽ không thể lường được nếu bị các nhóm tội phạm mạng khai thác.

Hàng tỷ thiết bị trên toàn cầu thực ra đã luôn chạy ở mép nguy hiểm. Lần này, Mythos đã kéo chúng trở lại.

Sự đảo ngược mang tính lịch sử: Tìm lỗi không còn là điểm nghẽn, sửa lỗi mới là!

Khi dự án Project Glasswing tiến triển, một hiện tượng kỳ lạ chưa từng có trong lịch sử an ninh mạng đã xuất hiện.

Nút thắt của an ninh mạng không còn là việc tìm kiếm lỗ hổng. Nút thắt hiện tại là: tốc độ con người sửa lỗ hổng chậm远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远远 xa so với tốc độ AI phát hiện lỗ hổng.

Đối với những người duy trì cộng đồng mã nguồn mở, đây thực sự là một cơn ác mộng.

Các báo cáo lỗ hổng của Anthropic như tuyết rơi xuống các cộng đồng mã nguồn mở. Các tác giả đã không còn chống đỡ nổi.

Đừng đào nữa! Xin các bạn hãy giảm tốc độ lại! Chúng tôi thật sự không sửa kịp!

Theo Anthropic tiết lộ, gần đây đã có nhiều người duy trì mã nguồn mở gửi email xin lỗi, yêu cầu họ làm chậm nhịp độ công bố lỗ hổng do thiếu nhân lực nghiêm trọng.

Even after receiving detailed reports, human programmers still take a full two weeks on average to fix a high-severity vulnerability.

Hiện tại, trong số 1.129 lỗ hổng mà Anthropic đã gửi cho các tác giả mã nguồn mở, chỉ có 75 lỗ hổng nghiêm trọng đã được vá thành công. Hệ sinh thái bảo mật hiện tại đã bị quá tải nghiêm trọng!

Ma thuật chiến thắng ma thuật: Phòng thủ của Anthropic

Vì con người đã không thể sửa chữa được, vậy hãy dùng phép thuật để chiến thắng phép thuật.

Anthropic đã mạnh tay tung ra giải pháp "Bộ công cụ phòng thủ".

Đầu tiên là Claude Security được đưa lên chính thức.

Đây là công cụ tự động hóa dành riêng cho khách hàng của Claude Enterprise. Logic của nó là: không chỉ giúp bạn phát hiện lỗ hổng trong kho mã nguồn, tôi còn tự viết sẵn bản vá sửa chữa cho bạn.

Chỉ sau ba tuần ra mắt, các khách hàng doanh nghiệp đã sử dụng Opus 4.7 để khắc phục hơn 2.100 lỗ hổng với tốc độ ánh sáng!

Tiếp theo là "Chương trình xác thực mạng".

Anthropic bắt đầu cho phép các chuyên gia white-hat, kỹ sư kiểm thử xâm nhập và đội ngũ đỏ-xanh gỡ bỏ một số “biện pháp an toàn” của mô hình Claude, trong khuôn khổ hợp pháp và tuân thủ pháp luật, nhằm phục vụ nghiên cứu lỗ hổng và kiểm thử trong môi trường mục tiêu.

Điều thú vị hơn là Anthropic đã mở nguồn một "quy trình phát hiện lỗi" hoàn chỉnh.

1 Lệnh tùy chỉnh (Skills): Hướng dẫn bạn cách giúp AI duy trì sự tập trung và thực hiện kiểm tra mã chuyên sâu.

2. Hệ thống tự động hóa (Harness): Một hệ thống chỉ huy cho phép Claude tự động duyệt qua kho mã nguồn lớn, sao chép các đại lý con để quét song song, tự động phân loại lỗ hổng và tạo báo cáo.

Bộ tạo mô hình đe dọa (Threat Model Builder): Chỉ cần dán mã vào, AI sẽ tự động nhận diện những điểm yếu dễ bị tấn công nhất trong hệ thống và ưu tiên bố trí phòng thủ trọng điểm.

Đại gia mạng Cisco cũng đã lên tiếng, công bố mở nguồn hệ thống "Foundry Security Spec" để xây dựng hàng rào đánh giá bảo mật tương tự Mythos.

Từ nay, AI sẽ phát hiện lỗ hổng, sau đó tạo bản vá bằng AI, con người chỉ chịu trách nhiệm kiểm tra cuối cùng.

Đây mới là hình thái cuối cùng của an ninh mạng trong tương lai.

Thanh kiếm Damocles: Mythos sẽ chính thức ra mắt khi nào?

Vậy thì Claude Mythos sẽ chính thức mở cửa vào lúc nào?

Anthropic hiện vẫn duy trì thái độ rất thận trọng.

They stated that once "stronger, higher-level security safeguards" are built, the Mythos-level models will be fully released to the public!

It cannot be released yet because it's too dangerous.

Như báo cáo kiểm thử của XBOW đã nêu: Mythos Preview đã đạt được “sự dẫn đầu vượt bậc xuyên thế hệ so với tất cả các mô hình hiện có” trên bài kiểm tra hiệu suất khai thác lỗ hổng web, thậm chí còn thể hiện “độ chính xác chưa từng có trong lịch sử” ở từng token được tạo ra.

Anthropic rất rõ ràng rằng hiện tại không có công ty nào trên thế giới sở hữu cơ chế bảo mật đủ mạnh để đảm bảo 100% rằng mô hình này sẽ không bị lạm dụng.

Nếu công khai API của Mythos hôm nay, ngày mai các tổ chức hacker toàn cầu, thậm chí một số tổ chức cực đoan, có thể sản xuất hàng ngàn công cụ khai thác Zero-day với chi phí cực kỳ thấp.

Máy tính của người bình thường, hệ thống bệnh viện, trung tâm điều khiển lưới điện sẽ đối mặt với một thảm họa!

Khuyến nghị từ Anthropic là:

Giảm chu kỳ vá! Giảm chu kỳ vá! Giảm chu kỳ vá! Đừng tích lũy để cập nhật một lần mỗi tháng, hãy sử dụng các công cụ AI hiện có (như Opus 4.7) để đẩy nhanh các bản vá bảo mật đến người dùng.

2. Chính sách nâng cấp bắt buộc. Các nhà phát triển phải khiến người dùng cài đặt bản cập nhật một cách dễ dàng nhất có thể, và đối với những người kiên quyết không nâng cấp, thực hiện ngắt kết nối mạng bắt buộc. Quay trở lại các nền tảng bảo mật cơ bản.

3. Tăng cường xác thực đa yếu tố (MFA), củng cố cấu hình mặc định và lưu trữ nhật ký chi tiết. Sự yên lặng trước cơn bão

Sự yên lặng trước cơn bão

Trong một tháng, hơn 50 công ty lớn cùng hợp tác, phát hiện hơn 10.000 lỗ hổng nghiêm trọng, ngăn chặn 1,5 triệu USD lừa đảo qua điện thoại... Đây mới chỉ là thành tích ban đầu của Claude Mythos Preview.

Hiện tại, các lập trình viên con người đang trải qua giai đoạn đau đớn—bị ngập trong các báo cáo của AI và sửa các lỗi ẩn náu suốt hai ba thập kỷ.

Nhưng như Anthropic đã dự kiến —

Sau khi vượt qua những rủi ro này, một thế giới đầy cảm hứng đang chào đón chúng ta: thế giới nơi những mã quan trọng của nhân loại sẽ được tôi luyện vững chắc hơn trăm lần so với ngày nay, và các cuộc tấn công mạng sẽ trở thành một thuật ngữ lịch sử cực kỳ hiếm gặp.

Hãy lặng lẽ cảm ơn những AI đã không mệt mỏi kiểm tra hàng trăm triệu dòng mã.

Rất có thể, nó vừa giúp bạn tránh được một vụ nổ hạt nhân chết người.

Tài liệu tham khảo:

https://x.com/AnthropicAI/status/20579091025425495

Nguồn:Hiển thị bản gốc
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể được lấy từ bên thứ ba và không nhất thiết phản ánh quan điểm hoặc ý kiến của KuCoin. Nội dung này chỉ được cung cấp cho mục đích thông tin chung, không có bất kỳ đại diện hay bảo đảm nào dưới bất kỳ hình thức nào và cũng không được hiểu là lời khuyên tài chính hay đầu tư. KuCoin sẽ không chịu trách nhiệm về bất kỳ sai sót hoặc thiếu sót nào hoặc về bất kỳ kết quả nào phát sinh từ việc sử dụng thông tin này. Việc đầu tư vào tài sản kỹ thuật số có thể tiềm ẩn nhiều rủi ro. Vui lòng đánh giá cẩn thận rủi ro của sản phẩm và khả năng chấp nhận rủi ro của bạn dựa trên hoàn cảnh tài chính của chính bạn. Để biết thêm thông tin, vui lòng tham khảo Điều khoản sử dụngTiết lộ rủi ro của chúng tôi.