Hàm ý rộng hơn là cửa sổ N-day truyền thống – khoảng thời gian hàng tuần hoặc hàng tháng mà các nhóm phòng thủ có được từ khi bản vá được phát hành đến khi mã khai thác xuất hiện – về cơ bản đã sụp đổ .
Trong một đánh giá riêng biệt nhưng có liên quan, Mythos đã kích hoạt 13 trong số 14 lỗi Windows mà Microsoft phân loại là "khó có khả năng bị khai thác", và đã leo thang một trong số các lỗi đó để chiếm toàn quyền kiểm soát hệ thống . Đánh giá "khả năng khai thác thấp" của Microsoft hiện bao phủ đến 80-90% các lỗi thậm chí ở mức nghiêm trọng, có nghĩa là số lượng lỗ hổng mà các nhóm an ninh coi là khẩn cấp có thể cần mở rộng gấp khoảng 5 lần
. Hệ thống đánh giá này, vốn được thiết kế cho một thế giới nơi việc phát triển mã khai thác cần nhiều tuần lao động chuyên gia, giờ đây đánh giá thấp mối đe dọa từ AI tự động có thể thực hiện công việc tương tự trong vài phút.
Một trong những con số đáng lo ngại nhất trong các tiết lộ của Anthropic là chi phí. Mỗi lần phát hiện lỗ hổng zero-day thành công tiêu tốn dưới 50 USD. Một chiến dịch quét toàn bộ OpenBSD – hàng nghìn lần chạy – tiêu tốn khoảng 20.000 USD và phát hiện ra nhiều lỗ hổng nghiêm trọng, bao gồm một lỗi 27 năm tuổi trong ngăn xếp TCP của OpenBSD . Mã khai thác root N-day trên nhân Linux được xây dựng với chi phí dưới 2.000 USD mỗi cái
. Tổng chi phí chiến dịch của nhóm đỏ Anthropic vẫn ở mức dưới 20.000 USD cho toàn bộ các đợt quét mã nguồn
.
Đây không phải là ngân sách của các quốc gia. Đây là ngân sách của một nhà phát triển cá nhân hoặc một nhóm nhỏ, có nghĩa là rào cản đối với việc phát hiện lỗ hổng tinh vi và phát triển mã khai thác đã giảm đáng kể vào đúng thời điểm năng lực AI tăng mạnh .
Anthropic đã tiết lộ Claude Mythos Preview vào ngày 7-8 tháng 4 năm 2026, mô tả đây là một mô hình tiên phong có khả năng tự động phát hiện và khai thác lỗ hổng zero-day trong mọi hệ điều hành và trình duyệt web chính, tìm thấy hàng nghìn lỗi nghiêm trọng, bao gồm cả những lỗi đã tồn tại qua nhiều thập kỷ đánh giá của chuyên gia . Do rủi ro lưỡng dụng cực kỳ cao, Anthropic đã không phát hành Mythos ra công chúng. Thay vào đó, họ tạo ra Project Glasswing, một sáng kiến an ninh mạng có kiểm soát, ban đầu giới hạn cho khoảng 50 tổ chức đối tác bao gồm AWS, Apple, Cisco, Google, Microsoft, JPMorgan và Linux Foundation
.
Tính đến tháng 6 năm 2026, Glasswing đang mở rộng lên khoảng 150 tổ chức tại hơn 15 quốc gia, bao gồm các cơ quan an ninh quốc gia ở Úc, Anh, và một số quốc gia EU và châu Á . Các đối tác nhận được 90 ngày độc quyền vá lỗi trước khi các phát hiện được công bố công khai
. Đến cuối tháng 5 năm 2026, Mythos đã tìm thấy hơn 10.000 lỗ hổng mức cao hoặc nghiêm trọng trên các phần mềm quan trọng có tính hệ thống
.
Riêng sự hợp tác của Mozilla với Anthropic đã dẫn đến việc tìm và sửa 271 lỗ hổng zero-day trong Firefox 150 – đợt sửa lỗi bảo mật lớn nhất trong lịch sử trình duyệt này .
Phản ứng của ngành: Cisco là một trong những đối tác đầu tiên của Glasswing, cùng với các công ty công nghệ và an ninh mạng lớn khác, được tiếp cận sớm Mythos để phát hiện lỗ hổng phòng thủ trong phần mềm của chính họ và phần mềm nguồn mở . Quan hệ đối tác nội bộ của Mozilla với Anthropic có trước đợt triển khai đầy đủ Mythos, và kết quả – 271 lỗi zero-day được vá – đã chứng minh tiềm năng phòng thủ khi được sử dụng có trách nhiệm
.
Chính quyền Trump: Phản ứng chính sách đầy biến động. Vào tháng 4 năm 2026, Giám đốc An ninh mạng Quốc gia Sean Cairncross đã dẫn đầu việc tiếp cận các cơ quan, nhưng việc cắt giảm ngân sách của CISA và các cuộc chiến chính trị nội bộ đã làm phức tạp thêm sự phối hợp . Vào ngày 21 tháng 5, Tổng thống Trump đã hủy bỏ một sắc lệnh hành pháp được lên kế hoạch yêu cầu các phòng thí nghiệm AI trình các mô hình tiên phong để chính phủ xem xét 90 ngày trước khi phát hành công khai, nói với các phóng viên rằng ông không muốn bất cứ điều gì làm chậm vị thế dẫn đầu của Mỹ trước Trung Quốc
.
Chưa đầy hai tuần sau, vào ngày 3 tháng 6, Trump đã ký một sắc lệnh hành pháp sửa đổi về đổi mới AI và an ninh mạng, tạo ra một khuôn khổ đánh giá tự nguyện trong 30 ngày cho các mô hình tiên phong mới – nhẹ nhàng hơn so với nhiệm vụ 90 ngày bị từ chối, nhưng vẫn là sự công nhận rằng hiện trạng là không đủ .
Trong khi đó, các cơ quan hành chính bao gồm Bộ Tài chính, Cục Dự trữ Liên bang và Văn phòng Quản lý và Ngân sách đã gấp rút tìm cách tiếp cận Mythos sau các cảnh báo tháng 4, với việc Bộ Tài chính nhận được các cuộc họp giao ban khẩn cấp bất chấp một chỉ thị trước đó của Trump về việc ngừng sử dụng công nghệ của Anthropic .
Quốc hội Mỹ: OpenAI và Anthropic đã tổ chức các cuộc họp kín với Ủy ban An ninh Nội địa Hạ viện về các mối đe dọa mạng do AI hỗ trợ, đánh dấu một số cuộc họp giao ban chuyên dụng đầu tiên về mối đe dọa an ninh mạng AI cho các nhân viên quốc hội .
Hàm ý cốt lõi rất rõ ràng: kỷ nguyên mà một bản vá lỗi mang lại cho các nhóm phòng thủ hàng tuần để thở đã kết thúc, ít nhất là khi đối đầu với những kẻ tấn công có quyền truy cập vào AI tiên phong. Sự bất đối xứng là rất rõ ràng – các doanh nghiệp vẫn mất khoảng 70 ngày để vá lỗi, trong khi AI có thể vũ khí hóa cùng một lỗ hổng trong chưa đầy một giờ. Các tổ chức hiện đang bị buộc phải xem xét lại những lỗ hổng nào họ coi là khẩn cấp, cách họ ưu tiên vá lỗi, và liệu nhịp độ quản lý lỗ hổng của họ có thể tồn tại trong một thế giới mà việc phát triển mã khai thác đã trở nên rẻ, nhanh chóng và tự động hay không.