AnNTH
🔫 Súng Lục Nhựa
Ảnh minh họa
Ngày 22/05/2026, Anthropic công bố kết quả đầu tiên của Project Glasswing — sáng kiến an ninh mạng phòng thủ sử dụng mô hình AI chưa phát hành công khai Claude Mythos Preview — và con số khiến cả ngành bảo mật toàn cầu choáng váng:
10.000+
lỗ hổng bảo mật nghiêm trọng được tìm ra
chỉ trong 30 ngày đầu tiên
lỗ hổng bảo mật nghiêm trọng được tìm ra
chỉ trong 30 ngày đầu tiên
1. Project Glasswing là gì?
Anthropic khởi động Project Glasswing ngày 7/4/2026 với khoảng 50 tổ chức đối tác — gồm AWS, Apple, Google, Microsoft, Cisco, JPMorgan Chase, Palo Alto Networks, Cloudflare, Mozilla, và vừa bổ sung IBM ngày 19/05. Mục tiêu: dùng AI để chủ động tìm và vá lỗ hổng trong phần mềm quan trọng toàn cầu, trước khi tin tặc kịp khai thác.
Công cụ chính là Claude Mythos Preview — mô hình AI mạnh nhất của Anthropic, hiện chưa phát hành rộng rãi vì lý do an ninh mạng.
2. Con số giật mình
Trong 30 ngày đầu, Claude Mythos đã:
- Phát hiện 10.000+ lỗ hổng mức "high" hoặc "critical" trong hơn 1.000 dự án mã nguồn mở
- 6.202 trong số đó được phân loại nghiêm trọng cao nhất
- Sau khi chuyên gia con người xác minh: 1.726 lỗ hổng thực sự — trong đó 1.094 cực kỳ nguy hiểm
Để so sánh: các đội bảo mật giỏi nhất thế giới thường mất hàng năm trời để tìm ra vài chục lỗ hổng nghiêm trọng trong cùng một phần mềm.
3. Những phát hiện sốc nhất
1. Lỗ hổng 27 tuổi trong OpenBSD
OpenBSD là hệ điều hành nổi tiếng nhất thế giới về bảo mật — tagline của họ là "Chỉ hai lỗ hổng từ xa trong cài đặt mặc định, trong một thời gian dài!". Vậy mà Claude Mythos tìm ra một lỗ hổng crash từ xa đã ẩn náu 27 năm. Nếu OpenBSD còn có bug như vậy, không phần mềm nào an toàn tuyệt đối.
2. Lỗ hổng 16 tuổi trong FFmpeg
FFmpeg là thư viện xử lý video/audio mã nguồn mở có mặt trong YouTube, Netflix, Zoom, Discord, VLC, Chrome, Firefox... Một lỗ hổng 16 năm trong FFmpeg có nghĩa là hầu hết mọi nền tảng video bạn dùng từ 2009 đến nay đều có thể bị tấn công.
3. CVE-2026-5194 trong WolfSSL — điểm nguy hiểm 9.1/10
WolfSSL là thư viện mã hóa dùng trong xe ô tô, nhà máy, thiết bị IoT công nghiệp. Điểm CVSS 9.1 trên một thư viện nhúng trong cơ sở hạ tầng vật lý — đây là loại lỗ hổng mà tin tặc cấp quốc gia sẽ khai thác để tấn công hạ tầng trọng yếu.
4. Cloudflare và Mozilla nói gì?
Cloudflare — công ty bảo vệ hạ tầng internet cho hàng triệu website — dùng Glasswing và tìm ra 2.000 bug, trong đó 400 mức critical. Đây là công ty mà bảo mật là sản phẩm cốt lõi của họ.
Mozilla — nhà phát triển Firefox — vá 271 lỗ hổng nhờ Glasswing, tốc độ gấp 10 lần so với dùng mô hình Claude thế hệ trước.
5. Điều thực sự đáng lo: Không phải việc tìm — mà là việc vá
Platform Engineering đưa ra nhận định sắc sảo nhất:
Nói đơn giản: AI tìm bug nhanh hơn con người có thể vá. Đây là vấn đề mới chưa ai có giải pháp.
6. Góc nhìn cá nhân
Project Glasswing là câu chuyện AI hai mặt điển hình nhất năm 2026. Cùng một công nghệ — tìm lỗ hổng phần mềm tốc độ siêu tốc — nếu dùng để phòng thủ thì là Glasswing; nếu rơi vào tay kẻ xấu thì là vũ khí tấn công mạng kinh khủng nhất lịch sử.
Anthropic đang đặt cược rằng tốt hơn là để các tổ chức đáng tin dùng trước để vá, thay vì chờ tin tặc tự tìm ra. Câu hỏi là: cửa sổ thời gian 90 ngày vá trước khi công bố có đủ không?
Bạn nghĩ sao? Việc một AI tìm ra hàng nghìn lỗ hổng mỗi tháng — đó là tin tốt hay tin đáng sợ? Và nếu công nghệ này rơi vào tay nhóm tin tặc nhà nước, điều gì sẽ xảy ra?
📰 Nguồn tham khảo:
