Báo cáo đầu tiên của Mythos công bố: Hàng tỷ thiết bị trên toàn cầu đang 'trần như nhộng', phát hiện 10.000 lỗ hổng chết người trong 30 ngày

Kế hoạch 'Cánh Thủy Tinh' của Hãng A thành công ngay từ trận đầu, Mythos chỉ trong 30 ngày đã moi ra 10.000 lỗ hổng chết người, thậm chí ngăn chặn 1,5 triệu đô la lừa đảo điện tử! Trước làn báo cáo dồn dập, các lập trình viên con người cũng phải 'cầu xin': 'Xin đừng moi nữa, sửa không xuể!'

Vừa mới đây, Anthropic lại công bố một thông tin làm chấn động giới công nghệ và an ninh mạng toàn cầu.

Báo cáo chiến tích tháng đầu tiên của "Dự án Cánh Thủy Tinh" đã chính thức được công bố!

Trong chiến dịch bí mật này, Anthropic lần đầu tiên triển khai mô hình lớn thế hệ mới đỉnh cao - Claude Mythos Preview.

Chỉ trong vòng 30 ngày, nó đã hợp tác với khoảng 50 gã khổng lồ mạng và nhà phát triển phần mềm hạ tầng trọng yếu toàn cầu, 'tóm' được hơn 10.000 lỗ hổng phần mềm ở mức độ nguy hiểm cao hoặc nghiêm trọng!

Đáng sợ hơn, nó không chỉ tìm được lỗ hổng, mà còn có thể tự động xây dựng chuỗi tấn công từ đầu đến cuối.

Thậm chí trong hoạt động kinh doanh thực tế của một ngân hàng đối tác, nó đã thành công ngăn chặn một giao dịch lừa đảo điện tử trị giá 1,5 triệu đô la!

Cả giới an ninh mạng một phen chấn động.

Có chuyên gia an ninh thậm chí đã thốt lên trên X với vẻ tuyệt vọng: "Nền tảng Internet đã bị AI lật tung tận đáy... chúng ta có lẽ thực sự sắp 'tèo' rồi!"

30 ngày điên cuồng

Trải nghiệm thực tế của các gã khổng lồ công nghệ toàn cầu, Mythos đáng sợ đến mức nào

Tháng 4 năm 2026, Anthropic bí mật khởi động Project Glasswing. Ý nghĩa của cái tên này là hy vọng phần mềm mã nguồn đóng và mã nguồn mở quan trọng nhất thế giới trở nên minh bạch và an toàn.

Những người đầu tiên tham gia dự án này là khoảng 50 nhà phát triển phần mềm hạ tầng trọng yếu.

Khi họ nhận được quyền truy cập thử nghiệm Claude Mythos Preview, chỉ trong vòng một tháng, quan niệm của cả ngành công nghiệp bị đảo lộn.

Hãy xem báo cáo chiến tích chói mắt này——

Cloudflare báo cáo, trong hệ thống đường dẫn lõi cực kỳ quan trọng, Mythos một mạch moi ra 2000 lỗ hổng! Trong đó có 400 lỗ thuộc mức độ nguy hiểm cao hoặc nghiêm trọng.

Điều kỳ quặc hơn, đội ngũ an ninh của Cloudflare thốt lên: Tỷ lệ báo động sai của AI này thậm chí còn thấp hơn cả những kỹ thuật viên kiểm tra an ninh hàng đầu con người.

Trong bài kiểm tra trình duyệt Firefox 150 mới nhất của Mozilla, Mythos một mạch sửa chữa 271 lỗ hổng nguy hiểm cao.

Con số này cao hơn 10 lần so với số lỗ hổng được phát hiện trong phiên bản Firefox 148 khi sử dụng Opus 4.6 trước đó!

Thành tích mà OpenBSD báo cáo khiến người ta lạnh gáy: Mythos trong kho mã của OpenBSD, thậm chí đã moi ra con lỗi cũ đã ẩn náu suốt 27 năm!

Hơn nữa, mô hình thậm chí không cần con người can thiệp, tự mình đã xây dựng được chuỗi khai thác lỗ hổng hoàn chỉnh.

Viện An ninh AI Anh thì đưa ra sự xác nhận chính thức. Họ xác nhận, Mythos Preview là mô hình AI đầu tiên trên toàn cầu có thể hoàn toàn chinh phục trường bắn mạng kép do họ thiết lập từ đầu đến cuối.

Trong phòng thủ thực chiến, Mythos cũng thể hiện sức mạnh thần kỳ.

Tại một ngân hàng hợp tác, một nhóm tin tặc đã thành công xâm nhập vào email của khách hàng và sử dụng công nghệ nhân bản giọng nói AI để thực hiện cuộc gọi lừa đảo.

Ngay trong tích tắc 1,5 triệu đô la chuyển khoản này sắp bị chuyển đi, mô hình Mythos thông qua phân tích chuỗi hành vi bất thường theo thời gian thực, ngay lập tức phát hiện ra trò lừa đảo và cưỡng chế ngăn chặn giao dịch!

"Nhóm chuyên gia an ninh con người chúng tôi, trông giống như những người nguyên thủy cầm giáo mác, nhìn một chiếc máy bay chiến đấu F-22 bay qua đầu." Một nhà nghiên cứu an ninh tham gia thử nghiệm nội bộ đã cảm thán trên X.

Hàng tỷ thiết bị đang 'trần như nhộng' trên toàn cầu, đã được Mythos cứu vớt!

Tuy nhiên, Mythos cũng dấy lên một cuộc khủng hoảng về năng lực xử lý.

Trước đây, nút thắt cổ chai cốt lõi của giới an ninh mạng là phát hiện lỗ hổng. Để tìm ra một lỗ hổng zero-day nguy hiểm cao, một hacker mũ trắng đỉnh cao có thể phải mất vài tuần thậm chí vài tháng.

Nhưng bây giờ, Claude Mythos đã đẩy chi phí và thời gian tìm kiếm lỗ hổng xuống mức "tiệm cận bằng không".

Anthropic đã sử dụng nó để quét hơn 1000 dự án mã nguồn mở cốt lõi đang vận hành Internet toàn cầu. Kết quả khiến người ta dựng tóc gáy——

Tổng cộng quét ra 23.019 lỗ hổng, trong đó bao gồm 6.202 lỗ hổng nguy hiểm cao hoặc nghiêm trọng do Mythos đánh giá!

Để đảm bảo không phải AI đang "nói nhảm", Anthropic đã hợp tác với 6 công ty nghiên cứu an ninh độc lập hàng đầu toàn cầu để thực hiện kiểm tra chéo thủ công.

Kết quả chứng minh: Tỷ lệ chính xác dương tính thật (tức lỗ hổng thực sự tồn tại) của AI lên tới 90,6%! Cuối cùng xác nhận trong đó có 1.094 lỗ hổng nguy hiểm cao hoặc nghiêm trọng là sắt đá như núi.

Bảng điều khiển lỗ hổng mã nguồn mở, hiển thị tất cả lỗ hổng ở mọi mức độ nghiêm trọng

Ở đây phải nhắc đến một trường hợp cực kỳ điển hình - wolfSSL.

wolfSSL là một thư viện mật mã học nguồn mở cực kỳ nổi tiếng, hàng tỷ thiết bị trên toàn cầu (bao gồm thiết bị IoT, router, ô tô thông minh, v.v.) đều đang sử dụng nó.

Tuy nhiên, trước mặt Mythos, phòng tuyến của wolfSSL trở nên mong manh. Mythos không chỉ phát hiện ra một lỗ hổng logic cực kỳ ẩn, nó thậm chí còn tự tay viết ra một bộ mã tấn công!

Sử dụng bộ mã này, tin tặc có thể tùy ý giả mạo chứng chỉ số, tạo ra trang web ngân hàng hoặc trang đăng nhập email giả mạo vô cùng chân thực, không có bất kỳ sơ hở nào.

Nếu lỗ hổng này không được Mythos phát hiện trước và gửi sửa chữa, một khi bị giới đen tận dụng, hậu quả sẽ không thể tưởng tượng nổi.

Hàng tỷ thiết bị trên toàn cầu, thực ra vẫn luôn ở bên bờ vực nguy hiểm trần trụi. Lần này, là Mythos đã kéo lại.

Đảo ngược mang tính sử thi: Tìm bug không còn là nút thắt, sửa bug mới là!

Cùng với sự tiến triển của Project Glasswing, một hiện tượng kỳ lạ chưa từng xuất hiện trong lịch sử an ninh mạng đã ra đời.

"Nút thắt của an ninh mạng không còn là tìm kiếm lỗ hổng. Nút thắt bây giờ là: Tốc độ sửa lỗ hổng của con người, xa không theo kịp tốc độ phát hiện lỗ hổng của AI."

Đối với những người bảo trì cộng đồng mã nguồn mở, điều này đơn giản là một cơn ác mộng.

Báo cáo lỗ hổng từ Anthropic như những bông tuyết bay về các cộng đồng mã nguồn mở lớn. Các tác giả đã không chống đỡ nổi.

"Đừng moi nữa! Xin các bạn hãy giảm tốc độ! Chúng tôi thực sự sửa không kịp!"

Theo Anthropic tiết lộ, gần đây có nhiều người bảo trì mã nguồn mở gửi email "cầu xin", yêu cầu họ làm chậm lại nhịp độ tiết lộ lỗ hổng. Bởi vì nhân lực nghiêm trọng thiếu hụt.

Ngay cả khi nhận được báo cáo chi tiết, lập trình viên con người trung bình vẫn cần đến hai tuần để sửa một lỗ hổng nguy hiểm cao.

Hiện tại, trong 1129 lỗ hổng mà Anthropic gửi cho các tác giả mã nguồn mở, chỉ có 75 lỗ hổng nguy hiểm cao được vá bản vá thành công. Hệ sinh thái an ninh hiện tại đã bị quá tải nghiêm trọng!

Ma thuật đánh bại ma thuật: Phòng thủ của Anthropic

Vì con người đã sửa không kịp, vậy thì dùng ma thuật để đánh bại ma thuật.

Anthropic quyết đoán đưa ra phương án "Bộ công cụ cho người phòng thủ".

Đầu tiên là Claude Security ra mắt nặng ký.

Đây là công cụ tự động hóa chuyên biệt được xây dựng cho khách hàng doanh nghiệp Claude. Logic của nó là: Tôi không chỉ giúp bạn tìm ra lỗ hổng trong kho mã, tôi còn trực tiếp viết sẵn bản vá sửa chữa cho bạn.

Chỉ sau ba tuần ra mắt, khách hàng doanh nghiệp đã sử dụng Opus 4.7 với tốc độ ánh sáng để sửa hơn 2100 lỗ hổng!

Tiếp theo là "Kế hoạch Xác minh Mạng".

Anthropic bắt đầu cho phép các chuyên gia mũ trắng chuyên nghiệp, nhân viên kiểm tra thâm nhập và đội đối kháng đỏ-xanh, trong khuôn khổ hợp pháp, gỡ bỏ một số "vòng kim cô an toàn" của mô hình Claude, sử dụng cho nghiên cứu lỗ hổng hợp pháp và kiểm tra trường bắn.

Thú vị hơn, Anthropic trực tiếp mở mã nguồn một bộ "Dây chuyền bắt BUG".

1 Lệnh tùy chỉnh (Skills): Dạy bạn cách để AI duy trì sự tập trung, thực hiện kiểm tra mã sâu.

2 Khung tự động hóa (Harness): Một hệ thống chỉ huy cho phép Claude tự động duyệt qua kho mã khổng lồ, nhân bản các agent con để quét song song, tự động phân loại lỗ hổng và tạo báo cáo.

3 Trình tạo mô hình đe dọa (Threat Model Builder): Trực tiếp ném mã vào, AI sẽ tự động nhận diện những "điểm yếu" dễ bị tấn công nhất trong hệ thống, ưu tiên sắp xếp phòng thủ trọng điểm.

Gã khổng lồ mạng Cisco cũng đứng ra, tuyên bố mở mã nguồn hệ thống "Foundry Security Spec", xây dựng tuyến phòng thủ đánh giá an ninh tương tự Mythos.

Từ nay trở đi, sẽ là AI phát hiện lỗ hổng, rồi dùng AI tạo bản vá, con người chỉ chịu trách nhiệm kiểm duyệt cuối cùng.

Đây mới là hình thái cuối cùng của an ninh mạng trong tương lai.

Thanh kiếm Damocles: Mythos rốt cuộc khi nào sẽ phát hành công khai?

Vậy, Claude Mythos rốt cuộc khi nào mới chính thức mở cửa?

Thái độ của Anthropic hiện tại vẫn rất thận trọng.

Họ cho biết, một khi xây dựng được "hàng rào an toàn mạnh mẽ hơn, cấp độ cao hơn", mô hình cấp Mythos chắc chắn sẽ được đẩy mạnh toàn diện cho phát hành công khai!

Hiện tại chưa thể thả ra, bởi vì nó quá nguy hiểm.

Như báo cáo thử nghiệm của XBOW đã nói: Mythos Preview trong bài kiểm tra chuẩn khai thác lỗ hổng Web đã đạt được "dẫn trước vượt thế hệ đối với tất cả các mô hình hiện có", thậm chí trong việc tạo ra mỗi Token đều thể hiện "độ chính xác tuyệt đối chưa từng có tiền lệ".

Anthropic rất rõ ràng, hiện tại không có công ty nào trên thế giới sở hữu cơ chế an toàn đủ mạnh để đảm bảo 100% mô hình này không bị lạm dụng.

Nếu hôm nay công bố API của Mythos ra công chúng, ngày mai các tổ chức tin tặc toàn cầu, thậm chí một số tổ chức cực đoan, sẽ có thể với chi phí cực thấp sản xuất hàng loạt hàng ngàn công cụ khai thác Zero-day.

Máy tính của người thường, hệ thống của bệnh viện, trung tâm điều khiển lưới điện, sẽ phải đối mặt với một thảm họa!

Đề xuất mà Anthropic đưa ra là:

1 Rút ngắn chu kỳ vá lỗi! Rút ngắn chu kỳ vá lỗi! Rút ngắn chu kỳ vá lỗi! Đừng tích trữ một tháng mới phát hành bản cập nhật một lần nữa, hãy sử dụng các công cụ AI hiện có (như Opus 4.7), càng sớm càng tốt đẩy các bản sửa lỗi an ninh đến người dùng.

2 Chiến lược nâng cấp bắt buộc. Nhà phát triển phải để người dùng cài đặt bản cập nhật càng dễ dàng càng tốt, đối với những người dùng cứng đầu không chịu nâng cấp, áp dụng biện pháp ngắt mạng bắt buộc. Quay lại với những kỹ năng an ninh cơ bản.

3 Tăng cường xác thực đa yếu tố (MFA), củng cố cấu hình mặc định, lưu giữ nhật ký chi tiết. Sự yên tĩnh trước cơn bão

Sự yên tĩnh trước cơn bão

Một tháng, hơn 50 gã khổng lồ cùng hợp tác, 10.000+ lỗ hổng chết người, ngăn chặn 1,5 triệu đô la lừa đảo điện tử... Đây chỉ mới là thành tích thử sức của Claude Mythos Preview.

Hiện tại, các lập trình viên con người đang trải qua thời kỳ đau đẻ - bị ngập trong báo cáo của AI, vá những lỗi đã tiềm ẩn hai ba mươi năm.

Nhưng như Anthropic đã triển vọng——

"Vượt qua những rủi ro này, một thế giới đầy phấn khích đang vẫy gọi chúng ta: Trong thế giới đó, mã quan trọng của con người sẽ được tôi luyện vững chắc hơn hàng trăm lần so với ngày nay, còn các cuộc tấn công của hacker, sẽ trở thành một danh từ lịch sử cực kỳ hiếm gặp."

Hãy lặng lẽ cảm ơn những AI không biết mệt mỏi đã xem xét hàng trăm triệu dòng mã.

Rất có thể, nó vừa ngăn chặn cho bạn một vụ nổ hạt nhân chết người.

Tài liệu tham khảo:

https://x.com/AnthropicAI/status/20579091025425495

Bài viết này đến từ tài khoản WeChat công chúng "Tân Trí Nguyên", tác giả: ASI Khải thị lục, biên tập: Aeneas Moses