Anthropic mở cửa Dự án Glasswing cho EU, trao cho ENISA quyền truy cập AI Săn Lỗ Hổng Zero-Day Mythos

Xuyên suốt tháng 5, tình hình liên tục leo thang. Các quan chức của Ủy ban châu Âu đã phải đích thân đáp máy bay đến San Francisco để trực tiếp yêu cầu quyền truy cập từ các giám đốc điều hành của Anthropic . Bộ trưởng Kinh tế Tây Ban Nha đã công khai tuyên bố rằng tiến triển là "hạn chế", và các cuộc đàm phán giữa EU với Anthropic về việc tiếp cận cho các tổ chức tài chính về cơ bản đã bị đình trệ . Vào cuối tháng 5, truyền thông đã mô tả việc EU thiếu quyền truy cập như một "lỗ hổng về năng lực công nghệ và thể chế trong an ninh mạng", khi chỉ ra một thực tế phũ phàng rằng trong khi Ngân hàng Trung ương Anh, Cục Dự trữ Liên bang Mỹ (FED), và Bộ Tài chính Mỹ đều đã được thông báo tóm tắt, thì không một tổ chức nào của EU có quyền truy cập thực tế . Quyết định ngày 1 tháng 6 mời ENISA tham gia chính là lời hồi đáp trực tiếp cho chiến dịch gây áp lực công khai này.

Năng lực 'vô tiền khoáng hậu' của Mythos

Để hiểu được tầm quan trọng của quyền truy cập này, cần phải hiểu rõ Mythos thực sự có thể làm gì. Claude Mythos Preview không đơn thuần là một chatbot biết nói chuyện. Nó là một mô hình AI mà, một khi nhận được lời nhắc, có thể tự động đọc mã nguồn, hình thành các giả thuyết tấn công, chạy thử nghiệm và tự viết ra các đoạn mã khai thác lỗ hổng (exploit) có thể hoạt động được – tất cả đều không cần sự can thiệp của con người . Trong các đợt đánh giá ban đầu, nó đã phát hiện ra hàng nghìn lỗ hổng zero-day có mức độ nghiêm trọng cao trên mọi hệ điều hành chính, bao gồm Windows, macOS, Linux, và mọi trình duyệt web lớn .

Một số phát hiện cụ thể thực sự đáng kinh ngạc. Mythos đã tìm ra một lỗi 27 năm tuổi trong phần triển khai TCP SACK của hệ điều hành OpenBSD (vốn được coi là bất khả xâm phạm), một lỗ hổng 16 năm tuổi trong bộ giải mã FFmpeg, và tự động liên kết bốn lỗ hổng để thoát khỏi hộp cát (sandbox) của hệ điều hành trên một trình duyệt web . Nó đã tạo ra 181 mã khai thác lỗ hổng hoạt động được nhắm vào Firefox phiên bản 147, trong khi mô hình tốt nhất trước đó chỉ làm được vỏn vẹn 2 . Đến ngày 23 tháng 5 năm 2026, những nỗ lực này đã đạt đến quy mô khổng lồ: các đối tác của Dự án Glasswing đã báo cáo đã tìm thấy hơn 10.000 lỗ hổng bảo mật mức cao hoặc nghiêm trọng trong các phần mềm quan trọng có tính hệ thống; riêng Cloudflare đã tìm ra gần 2.000 lỗi với tỷ lệ báo động giả thậm chí còn thấp hơn cả những chuyên gia kiểm thử con người .

Khuôn khổ phòng thủ của Dự án Glasswing

Bất chấp sức mạnh tấn công đáng sợ của mô hình, quyền truy cập được quản lý bởi các điều khoản cực kỳ nghiêm ngặt. Tất cả các đối tác của Dự án Glasswing chỉ được sử dụng phiên bản Mythos Preview dành riêng cho công tác an ninh phòng thủ. Điều này có nghĩa là xác định, vá lỗi và báo cáo các lỗ hổng trong các phần mềm quan trọng . Các điều khoản dứt khoát nghiêm cấm mọi hoạt động tấn công mạng. Để hỗ trợ cho sáng kiến, Anthropic đã cam kết tài trợ tới 100 triệu USD dưới dạng tín dụng sử dụng và 4 triệu USD tiền quyên góp trực tiếp cho các tổ chức bảo mật mã nguồn mở .

Việc ENISA được tham gia đồng nghĩa với việc EU giờ đây có thể áp dụng năng lực phòng thủ 'hạng nặng' này cho chính cơ sở hạ tầng trọng yếu của mình. Các thể chế châu Âu đang đối mặt với những rủi ro thực sự từ các đối thủ có thể sở hữu hoặc sao chép các khả năng AI tương tự . ECB đã từng cảnh báo các ngân hàng trong khu vực đồng Euro rằng các mối đe dọa mạng do AI điều khiển, đặc biệt đề cập cụ thể đến các công cụ tầm cỡ Mythos, là mối quan tâm hàng đầu . Quyền truy cập của ENISA cung cấp tầm nhìn trực tiếp vào bối cảnh mối đe dọa và khả năng kiểm tra hệ thống phòng thủ của châu Âu trước máy quét lỗ hổng bảo mật AI tiên tiến nhất từng được biết đến.

Thỏa thuận này chưa giải quyết được những gì?

Thỏa thuận này là một bước tiến lớn cho chủ quyền an ninh mạng của EU, nhưng phạm vi của nó vẫn còn hạn chế. Mặc dù ENISA hiện đã có một ghế trên bàn đàm phán, việc tiếp cận cho các tổ chức tài chính châu Âu nói chung và từng quốc gia thành viên vẫn chưa được giải quyết. Tính đến cuối tháng 5 năm 2026, các cuộc đàm phán liên quan đến thỏa thuận thử nghiệm cho các ngân hàng châu Âu đã bị đình trệ . Tư cách thành viên Dự án Glasswing của ENISA đã khép lại một khoảng trống ngoại giao, nhưng vẫn chưa thể mở rộng 'chiếc ô' phòng thủ của mô hình này ra toàn bộ lục địa.