Anthropic nới quy định chia sẻ phát hiện từ Mythos AI trong Project Glasswing

Nếu được sử dụng đúng cách, khả năng này có thể giúp cộng đồng bảo mật:

• Phát hiện điểm yếu sớm hơn
• Vá lỗi trước khi hacker khai thác
• Giảm nguy cơ tấn công quy mô lớn

Tuy nhiên, chính khả năng đó cũng tạo ra rủi ro lớn. Nếu công cụ tương tự rơi vào tay tội phạm mạng, nó có thể được dùng để tự động tìm và khai thác lỗ hổng trên diện rộng. Vì vậy Anthropic chưa phát hành Mythos ra công chúng mà chỉ cho thử nghiệm trong chương trình kiểm soát chặt chẽ mang tên Project Glasswing.

Tính năng chia sẻ mối đe dọa hoạt động ra sao

Ban đầu, các tổ chức tham gia Project Glasswing bị hạn chế chia sẻ các phát hiện về lỗ hổng do Mythos tạo ra vì các điều khoản bảo mật (NDA).

Anthropic hiện đã thay đổi quy định đó. Các đối tác có thể chia sẻ thông tin về lỗ hổng hoặc mối đe dọa với những tổ chức khác có khả năng bị ảnh hưởng bởi cùng vấn đề bảo mật.

Cơ chế này giúp tăng tốc phòng thủ theo cách khá đơn giản:

• Một tổ chức phát hiện lỗ hổng bằng Mythos
• Các tổ chức khác sử dụng phần mềm tương tự được cảnh báo nhanh
• Họ có thể vá lỗi hoặc giảm thiểu rủi ro trước khi kẻ tấn công khai thác

Nhiều chuyên gia cho rằng cách tiếp cận này phù hợp với mô hình “công bố lỗ hổng có trách nhiệm” (responsible disclosure) vốn đã phổ biến trong ngành an ninh mạng.

Những công ty tham gia Project Glasswing

Project Glasswing tập hợp nhiều tổ chức công nghệ và an ninh mạng lớn để thử nghiệm Mythos trong môi trường kiểm soát.

Các đối tác được báo cáo tham gia gồm:

• Amazon Web Services
• Apple
• Broadcom
• Cisco
• CrowdStrike
• Google
• JPMorganChase
• Microsoft
• Nvidia
• Palo Alto Networks
• Linux Foundation

Đây đều là những tổ chức quản lý hoặc bảo vệ hạ tầng phần mềm được hàng tỷ người sử dụng trên toàn cầu, vì vậy họ được xem là nhóm phù hợp để thử nghiệm AI phát hiện lỗ hổng ở quy mô lớn.

Vì sao quyền truy cập vẫn bị hạn chế nghiêm ngặt

Dù cho phép chia sẻ thông tin phòng thủ, Anthropic vẫn không phát hành Mythos ra công chúng.

Lý do chính: khả năng của mô hình được đánh giá là quá mạnh để mở rộng tự do.

Các thử nghiệm ban đầu cho thấy Mythos có thể nhanh chóng phát hiện những lỗ hổng nghiêm trọng trong nhiều hệ thống phổ biến. Điều này tốt cho phòng thủ, nhưng cũng có thể giúp kẻ tấn công:

• Tự động hóa việc tìm lỗ hổng
• Tăng tốc phát triển công cụ tấn công
• Khai thác lỗi trên quy mô lớn

Để giảm rủi ro, Anthropic đang:

• Giới hạn quyền truy cập cho một nhóm tổ chức được kiểm định
• Chỉ cho phép sử dụng cho mục đích phòng thủ an ninh mạng
• Triển khai trong môi trường thử nghiệm có kiểm soát qua Project Glasswing

Cơ quan quản lý cũng đang theo dõi sát

Khả năng phát hiện lỗ hổng bằng AI mạnh như Mythos đã thu hút sự chú ý của các chính phủ và cơ quan quản lý tài chính.

Một số cơ quan quản lý và ngân hàng trung ương trên thế giới đã yêu cầu Anthropic cung cấp thông tin về rủi ro của hệ thống này, đặc biệt lo ngại nó có thể phát hiện điểm yếu trong hệ thống tài chính quan trọng như ngân hàng hoặc mạng thanh toán.

Điều này cho thấy AI an ninh mạng không còn chỉ là vấn đề của ngành công nghệ, mà có thể ảnh hưởng đến ổn định kinh tế và an ninh quốc gia.

Cuộc tranh luận lớn hơn: phòng thủ nhanh hơn hay rủi ro mới?

Mythos và Project Glasswing đã khơi lại một cuộc tranh luận lớn trong cộng đồng an ninh mạng.

Một phía cho rằng AI giúp phát hiện lỗ hổng nhanh hơn sẽ củng cố phòng thủ toàn cầu. Khi các điểm yếu được phát hiện sớm, thời gian mà hệ thống dễ bị tấn công sẽ giảm đi đáng kể.

Nhưng phía khác cảnh báo rằng công cụ quá mạnh có thể làm giảm chi phí và tăng tốc các chiến dịch tấn công mạng, đặc biệt nếu bị rò rỉ hoặc mở rộng quyền truy cập quá nhanh.

Cách tiếp cận hiện tại của Anthropic — hạn chế truy cập, thử nghiệm có kiểm soát và chia sẻ thông tin có chọn lọc — được xem như một nỗ lực cân bằng giữa hai mục tiêu này.

Tín hiệu về tương lai của an ninh mạng

Chương trình Mythos cho thấy ngành an ninh mạng có thể đang bước vào một giai đoạn mới: AI có khả năng tìm lỗ hổng nhanh hơn con người.

Nếu xu hướng này tiếp tục, thách thức lớn nhất có thể không còn là tìm lỗi phần mềm nữa, mà là quản lý quyền truy cập, chia sẻ và kiểm soát những công cụ AI phát hiện lỗ hổng cực mạnh.

Project Glasswing vì thế có thể được xem như một thử nghiệm sớm cho tương lai đó: sử dụng AI tiên tiến để tăng cường phòng thủ tập thể, đồng thời cố gắng ngăn công nghệ này trở thành vũ khí mới cho tấn công mạng.