Project Glasswing: AI Claude Mythos tìm hơn 10.000 lỗ hổng bảo mật chỉ sau một tháng
Anthropic cho biết AI Claude Mythos Preview đã giúp khoảng 50 đối tác phát hiện hơn 10.000 lỗ hổng bảo mật mức cao hoặc nghiêm trọng chỉ trong khoảng một tháng. Các công ty công nghệ lớn như AWS, Apple, Google, Microsoft và NVIDIA tham gia chương trình Project Glasswing để rà soát phần mềm quan trọng.
How effective is Anthropic’s Project Glasswing and its Claude Mythos Preview AI model at discovering critical software vulnerabilities in opProject Glasswing uses Anthropic’s Claude Mythos Preview model to scan major software systems for previously undiscovered security vulnerabilities.
Prompt AI
Create a landscape editorial hero image for this Studio Global article: How effective is Anthropic’s Project Glasswing and its Claude Mythos Preview AI model at discovering critical software vulnerabilities in op. Article summary: Anthropic says Project Glasswing and its Claude Mythos Preview model were highly effective in their first month, reporting more than 10,000 high- or critical-severity vulnerabilities found across “the most systemically i. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Get organization-wide instant access to market sizing and decision-maker data in a self-serve subscription model with analyst support. Turn your message into motion with analyst-ho" source context "AI Vulnerability Detection With Anthropic Glasswing - Futurum" Reference image 2: visual subject "Get organization-w
openai.com
Trí tuệ nhân tạo đang nhanh chóng thay đổi lĩnh vực nghiên cứu an ninh mạng. Một trong những thử nghiệm tham vọng nhất hiện nay là Project Glasswing của Anthropic — chương trình sử dụng mô hình AI mới mang tên Claude Mythos Preview để phát hiện lỗ hổng bảo mật trong các hệ thống phần mềm phức tạp.
Theo báo cáo ban đầu của Anthropic, hệ thống này đã giúp các tổ chức đối tác phát hiện hơn 10.000 lỗ hổng bảo mật nghiêm trọng chỉ trong khoảng một tháng. Tuy nhiên, phần lớn phát hiện vẫn chưa được công bố vì đang trong quá trình vá lỗi, nên việc kiểm chứng độc lập từ bên ngoài vẫn còn hạn chế.
Project Glasswing là gì?
Project Glasswing được Anthropic triển khai năm 2026 như một chương trình nghiên cứu an ninh mạng có kiểm soát. Thay vì phát hành mô hình mới ra công chúng, công ty chỉ cung cấp Claude Mythos Preview cho một nhóm đối tác đã được thẩm định để tìm và vá lỗ hổng trước khi kẻ tấn công có thể khai thác chúng.
Mô hình này được tối ưu hóa cho các nhiệm vụ liên quan đến bảo mật phần mềm, bao gồm:
Phân tích mã nguồn quy mô lớn
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Câu trả lời ngắn gọn cho "Project Glasswing: AI Claude Mythos tìm hơn 10.000 lỗ hổng bảo mật chỉ sau một tháng" là gì?
Anthropic cho biết AI Claude Mythos Preview đã giúp khoảng 50 đối tác phát hiện hơn 10.000 lỗ hổng bảo mật mức cao hoặc nghiêm trọng chỉ trong khoảng một tháng.
Những điểm chính cần xác nhận đầu tiên là gì?
Anthropic cho biết AI Claude Mythos Preview đã giúp khoảng 50 đối tác phát hiện hơn 10.000 lỗ hổng bảo mật mức cao hoặc nghiêm trọng chỉ trong khoảng một tháng. Các công ty công nghệ lớn như AWS, Apple, Google, Microsoft và NVIDIA tham gia chương trình Project Glasswing để rà soát phần mềm quan trọng.
Tôi nên làm gì tiếp theo trong thực tế?
Dù kết quả ban đầu rất ấn tượng, nhiều chuyên gia bảo mật cho rằng vẫn cần kiểm chứng độc lập vì hơn 99% lỗ hổng vẫn chưa được công bố công khai.
Tạo mã khai thác (exploit) để chứng minh mức độ nguy hiểm của lỗi
Những khả năng này khiến Anthropic quyết định không phát hành công khai vì lo ngại công nghệ có thể bị lợi dụng cho các cuộc tấn công mạng quy mô lớn.
Kết quả tháng đầu tiên: hơn 10.000 lỗ hổng
Trong bản cập nhật đầu tiên của chương trình, Anthropic công bố một số con số đáng chú ý:
Hơn 10.000 lỗ hổng mức cao hoặc nghiêm trọng được phát hiện bởi Anthropic và khoảng 50 tổ chức đối tác.
Nhiều đối tác cho biết mỗi tổ chức tìm thấy hàng trăm lỗ hổng chỉ trong tháng đầu tiên.
Một số nhóm nói rằng tốc độ phát hiện lỗi tăng hơn 10 lần so với trước khi dùng hệ thống này.
Một ví dụ được Anthropic nêu ra là Cloudflare, công ty cho biết họ đã phát hiện khoảng 2.000 lỗi trong các dịch vụ cốt lõi, trong đó 400 lỗi được xếp loại cao hoặc nghiêm trọng.
Nếu những con số này được xác nhận rộng rãi, điều đó cho thấy AI có thể giúp các nhóm bảo mật rà soát codebase lớn nhanh hơn nhiều so với phương pháp kiểm tra thủ công truyền thống.
Hiệu năng kỹ thuật của Claude Mythos
Một số đánh giá kỹ thuật cũng cho thấy khả năng mạnh mẽ của mô hình này.
Viện An ninh AI của Vương quốc Anh (UK AI Security Institute) được cho là đã kiểm tra và xác nhận rằng Claude Mythos Preview giải được 73% các thử thách an ninh mạng cấp chuyên gia dạng capture‑the‑flag (CTF) — một loại benchmark thường dùng để đo kỹ năng tìm lỗ hổng thực tế.
Các báo cáo kỹ thuật cũng mô tả những khả năng nổi bật của hệ thống:
Phát hiện zero‑day — lỗ hổng chưa từng được biết đến trước đó.
Kết hợp nhiều lỗ hổng để leo thang đặc quyền hoặc chiếm quyền hệ thống.
Tự động viết mã khai thác hoạt động được để chứng minh lỗi có thể bị tấn công.
Những nhiệm vụ này trước đây thường đòi hỏi các nhà nghiên cứu bảo mật có trình độ rất cao.
Một số ví dụ lỗ hổng được phát hiện
Do quy trình công bố lỗ hổng có phối hợp (coordinated disclosure), phần lớn phát hiện vẫn chưa được công khai chi tiết. Tuy vậy, một số ví dụ đã được nhắc đến trong các báo cáo:
Một lỗ hổng 27 năm tuổi trong kernel OpenBSD liên quan đến tùy chọn TCP SACK.
Một lỗi 16 năm tuổi trong FFmpeg tồn tại dù đã trải qua hàng triệu lượt kiểm tra tự động.
Chuỗi lỗ hổng trong Linux kernel cho phép nâng quyền từ người dùng bình thường lên quyền kiểm soát hệ thống.
Anthropic cho biết họ chưa thể tiết lộ chi tiết về phần lớn phát hiện vì hơn 99% lỗ hổng vẫn chưa được vá công khai.
Những công ty nào tham gia?
Project Glasswing hoạt động như một liên minh giữa các công ty công nghệ, tổ chức bảo mật và nhà cung cấp hạ tầng.
Một số đối tác được báo cáo tham gia gồm:
Amazon Web Services (AWS)
Apple
Google
Microsoft
NVIDIA
Cisco
Broadcom
CrowdStrike
Palo Alto Networks
JPMorgan Chase
Linux Foundation
Tổng cộng chương trình có khoảng 50 tổ chức đối tác, cùng sử dụng mô hình để kiểm tra phần mềm nội bộ và các dự án mã nguồn mở quan trọng.
Vì sao Anthropic không phát hành mô hình này?
Anthropic cho rằng công nghệ có thể mang lại rủi ro nếu được phát hành rộng rãi. Một hệ thống có khả năng tự động tìm và khai thác zero‑day có thể giảm đáng kể rào cản cho các hoạt động tấn công mạng.
Do đó, công ty chọn mô hình triển khai hạn chế: hợp tác với các tổ chức đáng tin cậy để vá càng nhiều lỗ hổng càng tốt trước khi các công cụ tương tự trở nên phổ biến.
Những nghi ngờ từ cộng đồng an ninh mạng
Dù các con số ban đầu rất ấn tượng, nhiều chuyên gia bảo mật vẫn tỏ ra thận trọng.
1. Thiếu kiểm chứng độc lập
Phần lớn thống kê — bao gồm con số hơn 10.000 lỗ hổng — đến từ báo cáo của chính Anthropic hoặc các nguồn tóm tắt lại tuyên bố của họ. Vì các lỗi chưa được công bố, cộng đồng nghiên cứu chưa thể đánh giá trực tiếp.
2. Có thể không phải khả năng hoàn toàn mới
Một số nhà nghiên cứu cho rằng những khả năng tương tự có thể đạt được bằng cách kết hợp các mô hình AI công khai với công cụ phân tích hiện có. Điều này gợi ý Mythos có thể là sự tăng tốc đáng kể, nhưng chưa chắc là bước nhảy hoàn toàn mới.
3. Khó đo lường hiệu quả thực tế
Ngoài các benchmark như kết quả 73% CTF, vẫn chưa có thống kê chi tiết công khai về tỷ lệ bao nhiêu lỗi do AI phát hiện đã được xác nhận và vá trong hệ thống sản xuất.
Tóm lại
Nếu các con số được xác nhận rộng rãi, Project Glasswing có thể là một trong những chương trình phát hiện lỗ hổng bằng AI lớn nhất từng được triển khai. Chỉ trong tháng đầu tiên, hệ thống được cho là đã tìm thấy hơn 10.000 lỗ hổng bảo mật nghiêm trọng trong các phần mềm quan trọng.
Tuy vậy, vì phần lớn phát hiện vẫn chưa được công bố, cộng đồng an ninh mạng vẫn đang chờ thêm dữ liệu và kiểm chứng độc lập. Điều gần như chắc chắn là: AI đang trở thành công cụ ngày càng mạnh trong nghiên cứu bảo mật phần mềm — và những năm tới sẽ cho thấy liệu Mythos chỉ là người dẫn đầu hay là một bước ngoặt thực sự của ngành.
Comments
0 comments