Vì sao AI Mythos của Anthropic đang khiến các cơ quan quản lý G20 cảnh báo về an ninh mạng

Đối với các đội ngũ bảo mật, đây là công cụ cực kỳ giá trị: phát hiện lỗi sớm đồng nghĩa với việc có thể vá lỗi trước khi bị tấn công. Nhưng chính khả năng đó cũng khiến Mythos gây tranh cãi — nếu tìm lỗ hổng nhanh hơn, thì việc khai thác lỗ hổng cũng có thể nhanh hơn.

Vì sao Anthropic phải báo cáo cho Financial Stability Board

Financial Stability Board (FSB) là tổ chức điều phối giám sát ổn định tài chính toàn cầu giữa các ngân hàng trung ương, bộ tài chính và cơ quan quản lý của các nền kinh tế G20.

Khi một công nghệ có thể ảnh hưởng đến hệ thống tài chính quốc tế, FSB thường đóng vai trò trung tâm để các quốc gia phối hợp phản ứng.

Anthropic đã đồng ý báo cáo với FSB sau khi mô hình Mythos được cho là đã phát hiện các lỗ hổng an ninh mạng có liên quan đến hệ thống tài chính toàn cầu. Buổi báo cáo được yêu cầu bởi Thống đốc Ngân hàng Anh Andrew Bailey – người hiện giữ vai trò chủ tịch FSB – và dự kiến có sự tham gia của các bộ tài chính và ngân hàng trung ương thuộc G20.

Lý do là ngành tài chính hiện phụ thuộc rất lớn vào hạ tầng kỹ thuật số, bao gồm:

• phần mềm ngân hàng
• nền tảng điện toán đám mây
• hệ thống xác thực và bảo mật
• mạng thanh toán toàn cầu

Một lỗ hổng trong phần mềm được sử dụng rộng rãi có thể ảnh hưởng đến nhiều tổ chức tài chính cùng lúc.

Vì sao mô hình này bị coi là quá nguy hiểm để phát hành công khai

Anthropic đã tránh phát hành Mythos ra công chúng vì mô hình này có thể giảm đáng kể thời gian và kỹ năng cần thiết để tìm ra lỗ hổng nghiêm trọng trong các hệ thống phần mềm phổ biến.

Nếu một công cụ có thể tự động phát hiện các điểm yếu có thể khai thác trong hệ điều hành, trình duyệt hoặc hạ tầng cốt lõi của internet, rủi ro sẽ vượt xa những vấn đề an ninh mạng thông thường.

Các nhóm tội phạm mạng hoặc hacker được nhà nước hậu thuẫn có thể sử dụng công nghệ tương tự để:

• tìm lỗ hổng nhanh hơn
• phát triển công cụ khai thác nhanh hơn
• mở rộng các cuộc tấn công quy mô lớn

Chính vì tính chất “hai mặt” (dual‑use) này, Mythos đang được đối xử giống một công nghệ an ninh nhạy cảm hơn là một sản phẩm AI thương mại thông thường.

Project Glasswing: chia sẻ có kiểm soát để phòng thủ

Thay vì phát hành công khai, Anthropic đã tạo ra Project Glasswing – một chương trình cung cấp quyền truy cập hạn chế cho một số tổ chức được chọn nhằm sử dụng Mythos cho mục đích phòng thủ an ninh mạng.

Các đối tác bao gồm những công ty chịu trách nhiệm cho phần lớn hạ tầng kỹ thuật số toàn cầu, như:

• Amazon Web Services
• Apple
• Broadcom
• Cisco
• CrowdStrike
• Google
• JPMorganChase
• Microsoft
• NVIDIA
• The Linux Foundation
• Palo Alto Networks

Những tổ chức này có thể sử dụng mô hình để tìm và sửa lỗi trong các nền tảng phần mềm mà hàng tỷ người phụ thuộc mỗi ngày. Mục tiêu là phòng thủ phối hợp: phát hiện và vá lỗ hổng trước khi kẻ tấn công tìm thấy chúng.

Vì sao các cơ quan quản lý xem AI an ninh mạng là rủi ro hệ thống

Các cơ quan quản lý tài chính ngày càng coi các công cụ AI an ninh mạng tiên tiến là rủi ro hệ thống, chứ không chỉ là vấn đề kỹ thuật.

Financial Stability Board trước đó đã cảnh báo rằng AI có thể làm tăng rủi ro đối với hệ thống tài chính thông qua nhiều kênh, bao gồm:

• phụ thuộc vào các nhà cung cấp công nghệ chung
• gia tăng rủi ro an ninh mạng
• sự cố xảy ra đồng thời ở nhiều tổ chức
• yếu kém trong quản trị và giám sát mô hình AI

Vì các ngân hàng, thị trường tài chính và hệ thống thanh toán thường sử dụng cùng một nền tảng phần mềm và hạ tầng đám mây, một lỗ hổng nghiêm trọng có thể gây gián đoạn cho nhiều tổ chức cùng lúc.

Nếu AI có thể tăng tốc việc phát hiện – hoặc khai thác – lỗ hổng phần mềm, tác động có thể lan rộng khắp hệ thống tài chính toàn cầu.

Những điều vẫn chưa được tiết lộ

Mặc dù nhận được nhiều chú ý, nhiều chi tiết về Mythos vẫn chưa được công bố.

Anthropic chưa tiết lộ cụ thể:

• các lỗ hổng mà mô hình đã phát hiện
• mức độ nghiêm trọng của chúng
• liệu các nhà nghiên cứu bảo mật độc lập đã xác minh hay chưa

Phần lớn thông tin hiện nay đến từ tuyên bố của công ty và các báo cáo truyền thông, chứ chưa phải các công bố kỹ thuật đầy đủ.

Sự bí mật này phản ánh một nghịch lý: công bố quá nhiều về các lỗ hổng mà AI tìm thấy có thể tự tạo ra rủi ro bảo mật mới.

Một bước ngoặt mới của an ninh mạng

Mythos cho thấy một xu hướng mới trong an ninh mạng: AI có thể tăng tốc cả tấn công lẫn phòng thủ.

Thay vì các nhà nghiên cứu bảo mật mất hàng tháng để phân tích mã nguồn, các mô hình AI mạnh có thể thực hiện công việc tương tự chỉ trong vài phút hoặc vài giờ.

Đối với chính phủ, công ty công nghệ và các tổ chức tài chính, bài toán lớn là: triển khai AI đủ nhanh để bảo vệ hạ tầng quan trọng, nhưng vẫn ngăn chặn việc công nghệ này bị sử dụng cho các cuộc tấn công mạng quy mô lớn.