Bên Trong Dự Án Glasswing Của Anthropic: AI Đã Tìm Thấy Lỗ Hổng 27 Năm Tuổi Trong OpenBSD Như Thế Nào

Điểm đáng sợ nhất không chỉ là khả năng tìm kiếm. Sau khi phát hiện một lỗ hổng, Mythos có thể tự động xây dựng mã khai thác (exploit) hoàn chỉnh và hoạt động được. Trong một bài kiểm tra đối đầu với Firefox 147, Mythos đã tạo ra 181 mã khai thác JavaScript thành công. Để so sánh, mô hình mạnh nhất trước đó của chính Anthropic, Claude Opus 4.6, chỉ làm được hai .

Những "chiến tích" của nó là lời cảnh tỉnh cho toàn ngành:

• Lỗ hổng 27 năm tuổi trong OpenBSD cho phép tấn công từ chối dịch vụ (DoS) từ xa .
• Lỗ hổng 17 năm tuổi trong FreeBSD (CVE-2026-4747) cho phép thực thi mã từ xa, trao quyền quản trị cao nhất (root) cho kẻ tấn công không cần xác thực .
• Lỗ hổng 16 năm tuổi trong FFmpeg, một thư viện xử lý đa phương tiện cốt lõi .
• Chuỗi khai thác trình duyệt phức tạp có thể thoát khỏi cả hộp cát (sandbox) của trình duyệt lẫn hệ điều hành .

Chỉ trong vài tháng, các đối tác của Dự án Glasswing đã sử dụng Mythos để xác định hơn 10.000 lỗ hổng bảo mật ở mức độ cao và nghiêm trọng . Một lần quét ban đầu tại Cloudflare đã tìm ra khoảng 400 lỗi nghiêm trọng, còn Mozilla đã vá tới 271 lỗ hổng trong Firefox 150 dựa trên phát hiện của nó .

Dự Án Glasswing: Từ Phòng Tuyến Đầu Của Thung Lũng Silicon Đến Hạ Tầng Sống Còn Toàn Cầu

Trước sức mạnh có thể bị lợi dụng cho mục đích xấu của Mythos, Anthropic đã có một quyết định chưa từng có: từ chối công khai mô hình và đặt nó vào một "lồng kính" có tên Dự án Glasswing. Đây là một liên minh phòng thủ, nơi các tổ chức được tuyển chọn kỹ lưỡng có thể dùng AI để tự quét lỗ hổng cho hệ thống của mình, với điều kiện tuyệt đối không được dùng cho mục đích tấn công .

Ban đầu, dự án chỉ giới hạn trong khoảng 50 đối tác, chủ yếu là các gã khổng lồ công nghệ và tài chính Mỹ như Apple, Google, Microsoft, CrowdStrike, và NVIDIA . Nhưng bước ngoặt lớn đã đến vào ngày 2 tháng 6 năm 2026. Anthropic tuyên bố mở rộng Glasswing, kết nạp thêm khoảng 150 tổ chức mới từ hơn 15 quốc gia, nâng tổng số đối tác lên con số 200 .

Sự mở rộng này đánh dấu một sự chuyển dịch chiến lược quan trọng. Trọng tâm không còn là bảo vệ giới công nghệ, mà là bảo vệ chính xã hội. Các đối tác mới bao gồm những đơn vị vận hành hạ tầng sống còn: lưới điện, nhà máy nước, hệ thống y tế, mạng lưới viễn thông và các nhà sản xuất phần cứng . Lý do rất rõ ràng: một cuộc tấn công mạng thành công vào một trong những nhóm này có thể gây ra rủi ro hệ thống to lớn .

Những Tân Binh Chiến Lược: Hitachi và BeyondTrust

Hai cái tên mới nổi bật minh họa cho tầm vóc toàn cầu của dự án:

• Hitachi: Vào ngày 5 tháng 6, tập đoàn công nghiệp khổng lồ của Nhật Bản tuyên bố tham gia. Họ sẽ ứng dụng Mythos để gia cố an ninh cho các phần mềm hạ tầng xã hội của mình – nền tảng số đằng sau lưới điện, hệ thống giao thông và đô thị thông minh .
• BeyondTrust: Ngày 8 tháng 6, công ty hàng đầu về bảo mật danh tính đặc quyền (Privileged Access Management) cũng gia nhập. Mã nguồn của BeyondTrust được nhúng sâu vào các chính phủ và dịch vụ thiết yếu trên toàn cầu, khiến việc bảo vệ nó trở nên cực kỳ quan trọng .

Nỗ Lực Phòng Thủ 100 Triệu USD Và Tương Lai Của An Ninh Mạng

Để hỗ trợ nỗ lực chưa từng có này, Anthropic cam kết tới 100 triệu USD tín dụng sử dụng mô hình, giúp các đối tác trang trải chi phí tính toán khổng lồ khi quét mã nguồn, cùng với 4 triệu USD tài trợ cho các tổ chức bảo mật mã nguồn mở .

Dự án Glasswing không chỉ là một sáng kiến từ thiện. Nó là lời tuyên bố về một kỷ nguyên mới, nơi cuộc chơi an ninh mạng không còn là mèo vờn chuột giữa người với người, mà là một cuộc chạy đua vũ trang bằng AI. Bằng cách đặt vũ khí phòng thủ mạnh nhất vào tay những người bảo vệ hạ tầng sống còn, Anthropic đang đặt cược rằng phòng thủ chủ động ở quy mô toàn cầu có thể vượt xa các tác nhân xấu. Đây không còn là câu hỏi liệu AI có thay đổi an ninh mạng hay không, mà là chúng ta sẽ kiểm soát sức mạnh đó như thế nào.