Cloudflare phát hiện Claude Mythos Preview có thể kết hợp nhiều lỗ hổng mức độ thấp thành một chuỗi khai thác hoàn chỉnh khi thử nghiệm trên hơn 50 kho mã nội bộ và mã nguồn mở. Mô hình AI có khả năng tự viết, biên dịch và chạy mã proof‑of‑concept để xác nhận khả năng khai thác lỗ hổng mà gần như không cần can thiệp...

Create a landscape editorial hero image for this Studio Global article: What did Cloudflare find when testing Anthropic’s Claude Mythos Preview on more than 50 internal and open-source code repositories, specific. Article summary: Cloudflare tested Mythos Preview as part of Project Glasswing against more than 50 of its own internal and open-source code repositories.. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# Claude Mythos: Benchmark-Dominating AI with Real Risks. Claude Mythos Preview is Anthropic’s most powerful AI yet, outperforming benchmarks and uncovering critical vulnerabilitie" source context "Claude Mythos: Benchmark-Dominating AI with Real Risks" Reference image 2: visual subject "Artificial Intelligence (AI) company Anthropic announced a new cybersecurity initiative called **Project Gla
Cloudflare gần đây đã thử nghiệm Claude Mythos Preview — một mô hình AI chuyên cho nghiên cứu an ninh mạng do Anthropic phát triển — trên hơn 50 kho mã nội bộ và mã nguồn mở. Thử nghiệm được thực hiện trong khuôn khổ chương trình hạn chế Project Glasswing, nơi các tổ chức được chọn dùng mô hình để tìm và sửa lỗ hổng phần mềm quan trọng.
Kết quả cho thấy Mythos không chỉ dừng lại ở việc phát hiện lỗi. Nó có thể liên kết nhiều lỗ hổng riêng lẻ thành chuỗi tấn công hoàn chỉnh và tự tạo mã khai thác thử nghiệm — một bước tiến đáng chú ý trong nghiên cứu bảo mật bằng AI.
Phần lớn công cụ quét bảo mật tự động hiện nay chỉ phát hiện từng lỗ hổng riêng lẻ. Tuy nhiên trong thử nghiệm của Cloudflare, Mythos có thể làm nhiều hơn thế.
Khi phân tích các codebase thực tế, mô hình có thể:
Nói cách khác, AI không chỉ báo lỗi mà còn suy luận theo cách một hacker hoặc nhà nghiên cứu bảo mật sẽ làm: kết nối nhiều “mảnh ghép” thành kịch bản tấn công hoàn chỉnh. Khả năng này được quan sát trong các hệ thống runtime, mã giao thức, thành phần control‑plane và nhiều dự án mã nguồn mở mà Cloudflare kiểm tra.
Thông thường, việc xây dựng exploit chain như vậy đòi hỏi kinh nghiệm sâu của chuyên gia bảo mật.
Một phát hiện đáng chú ý khác là Mythos có thể tự động tạo mã proof‑of‑concept (PoC) để chứng minh lỗ hổng có thể bị khai thác.
Theo quan sát của Cloudflare, quy trình của mô hình có thể bao gồm:
Quy trình lặp này giúp mô hình đi từ việc phát hiện lỗ hổng đến xác nhận khai thác thực tế với rất ít can thiệp của con người.
Trong thực tế, việc tạo PoC thường là bước quan trọng để xác định mức độ nguy hiểm thật sự của một bug. Nếu AI có thể tự động hóa bước này, quá trình đánh giá và ưu tiên vá lỗi có thể nhanh hơn đáng kể.
Tài liệu của Anthropic cũng mô tả một số năng lực khác của Mythos trong các thử nghiệm nội bộ, bao gồm:
Điều này cho thấy mô hình được thiết kế đặc biệt cho phân tích lỗ hổng có cấu trúc và suy luận khai thác, thay vì chỉ hỗ trợ viết code chung chung.
Dù khả năng khá ấn tượng, thử nghiệm của Cloudflare cũng cho thấy một số vấn đề quan trọng.
Mythos đôi khi báo cáo các lỗ hổng không thực sự tồn tại hoặc không thể khai thác. Các dự án viết bằng ngôn ngữ không an toàn về bộ nhớ như C hoặc C++ thường tạo ra nhiều cảnh báo sai hơn, nghĩa là con người vẫn phải kiểm chứng lại kết quả.
Cloudflare cũng ghi nhận mô hình có hành vi an toàn không đồng đều. Trong một số trường hợp, AI xác định được chuỗi khai thác nhưng sau đó từ chối hoàn thành hoặc trình diễn exploit do các cơ chế bảo vệ. Trong trường hợp khác, nó lại đi xa hơn trước khi dừng.
Điều này cho thấy việc cân bằng giữa khả năng nghiên cứu bảo mật mạnh mẽ và kiểm soát rủi ro lạm dụng vẫn là thách thức lớn.
Kết quả thử nghiệm phản ánh một xu hướng lớn: AI đang bắt đầu thay đổi cách phát hiện và khai thác lỗ hổng phần mềm.
Đối với các đội bảo mật, công cụ như Mythos có thể:
Tuy nhiên, cùng khả năng đó cũng có mặt trái. Nếu AI có thể tự động chuyển từ phát hiện bug sang tạo exploit hoạt động, rào cản kỹ thuật để tiến hành tấn công mạng phức tạp có thể giảm đáng kể.
Cloudflare cho rằng trong bối cảnh AI tăng tốc nghiên cứu lỗ hổng, chỉ vá lỗi nhanh hơn có thể không còn đủ. Các tổ chức có thể cần những mô hình quản lý lỗ hổng và kiến trúc bảo mật mới để đối phó với các công cụ tấn công được hỗ trợ bởi AI.
Claude Mythos Preview là ví dụ rõ ràng cho một công nghệ dual‑use — có thể dùng cho cả mục đích phòng thủ và tấn công.
Chính vì rủi ro này, Mythos hiện chưa được phát hành công khai. Thay vào đó, Anthropic chỉ cung cấp cho một số tổ chức được chọn trong chương trình Project Glasswing để phục vụ nghiên cứu phòng thủ.
Thử nghiệm của Cloudflare cho thấy AI đang tiến gần đến giai đoạn tự động hóa toàn bộ quá trình từ phát hiện lỗ hổng đến xây dựng khai thác — một bước chuyển có thể định hình lại cả phòng thủ lẫn tấn công mạng trong những năm tới.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Cloudflare phát hiện Claude Mythos Preview có thể kết hợp nhiều lỗ hổng mức độ thấp thành một chuỗi khai thác hoàn chỉnh khi thử nghiệm trên hơn 50 kho mã nội bộ và mã nguồn mở.
Cloudflare phát hiện Claude Mythos Preview có thể kết hợp nhiều lỗ hổng mức độ thấp thành một chuỗi khai thác hoàn chỉnh khi thử nghiệm trên hơn 50 kho mã nội bộ và mã nguồn mở. Mô hình AI có khả năng tự viết, biên dịch và chạy mã proof‑of‑concept để xác nhận khả năng khai thác lỗ hổng mà gần như không cần can thiệp của con người.
Kết quả cũng cho thấy hạn chế như false positive và hành vi từ chối không nhất quán, đồng thời đặt ra rủi ro “dual‑use” khi công nghệ này có thể hỗ trợ cả phòng thủ lẫn tấn công mạng.