Anthropic vào thứ Sáu vừa qua đã tiết lộ rằng Project Glasswing đã giúp phát hiện hơn 10.000 lỗ hổng có mức độ nghiêm trọng cao hoặc đặc biệt nghiêm trọng trong một số phần mềm quan trọng nhất về mặt "hệ thống" trên toàn thế giới kể từ khi sáng kiến an ninh mạng này đi vào hoạt động vào tháng trước.
Project Glasswing là một nỗ lực phòng thủ được khởi xướng bởi công ty trí tuệ nhân tạo (AI) nhằm bảo mật cơ sở hạ tầng phần mềm toàn cầu quan trọng. Dự án này cấp quyền truy cập sớm và độc quyền cho một nhóm nhỏ gồm khoảng 50 đối tác vào Claude Mythos Preview, một frontier model có khả năng tự chủ xác định các lỗ hổng trong các phần mềm được sử dụng rộng rãi trước khi các tác nhân xấu có thể khai thác chúng.
Quy mô của các lỗ hổng được phát hiện
Trong số các lỗ hổng này, 6.202 lỗi đã được phân loại là có mức độ nghiêm trọng cao hoặc đặc biệt nghiêm trọng, ảnh hưởng đến hơn 1.000 dự án mã nguồn mở. Phân tích tiếp theo về các ứng cử viên lỗ hổng này đã xác định được 1.726 trường hợp là lỗi thực (true positives). Có tới 1.094 lỗi được đánh giá là ở mức độ nghiêm trọng cao hoặc đặc biệt nghiêm trọng.
Một trong những điểm yếu được xác định là một lỗi nghiêm trọng trong WolfSSL (CVE-2026-5194, điểm CVSS: 9.1) có thể cho phép kẻ tấn công giả mạo chứng chỉ và đóng vai một dịch vụ hợp pháp. Tổng cộng, những nỗ lực này đã dẫn đến 97 phát hiện được vá lỗi ở thượng nguồn (upstream) và 88 thông báo bảo mật (advisories) được ban hành.
"Sự dễ dàng tương đối trong việc tìm ra lỗ hổng so với sự khó khăn trong việc khắc phục chúng tạo ra một thách thức lớn cho an ninh mạng," Anthropic thừa nhận. "Đối mặt thành công với thách thức này sẽ làm cho phần mềm của chúng ta an toàn hơn nhiều so với trước đây."
Sự bùng nổ của việc phát hiện lỗ hổng nhờ AI
Sự phát triển này diễn ra trong bối cảnh các nhà cung cấp phần mềm đang tung ra nhiều bản vá hơn bao giờ hết, được thúc đẩy bởi sự gia tăng của việc phát hiện lỗ hổng có sự hỗ trợ của AI. Microsoft lưu ý rằng số lượng bản vá mới mà họ dự kiến phát hành hàng tháng sẽ "tiếp tục có xu hướng tăng lên trong một thời gian tới."
Nền tảng bảo mật tấn công tự động XBOW đã mô tả Mythos Preview là "một bước tiến lớn", "tốt hơn đáng kể so với các mô hình trước đó trong việc tìm kiếm các ứng cử viên lỗ hổng" và "thành thạo trong việc phân tích mã nguồn với tư duy bảo mật." Các phân tích gần đây cũng cho thấy mô hình này xuất sắc trong việc chuyển đổi các lỗ hổng thành các chuỗi tấn công (attack chains) đầu cuối.
Anthropic cho biết thêm, tiện ích của Mythos Preview không chỉ dừng lại ở việc tìm lỗi bảo mật. Trong một trường hợp, một ngân hàng đối tác của Glasswing được cho là đã tận dụng mô hình AI để phát hiện và ngăn chặn một vụ chuyển khoản gian lận trị giá 1,5 triệu USD sau khi một kẻ đe dọa không xác định xâm nhập vào tài khoản email của khách hàng và thực hiện các cuộc gọi điện thoại giả mạo.
Khuyến nghị dành cho các nhà phát triển phần mềm
Vì các mô hình có khả năng tương tự như Mythos có thể trở nên phổ biến trong tương lai gần, Anthropic đang thúc giục các nhà phát triển phần mềm rút ngắn chu kỳ vá lỗi và cung cấp các bản sửa lỗi bảo mật càng nhanh càng tốt. Đáng chú ý là Oracle gần đây đã chuyển sang chu kỳ vá lỗi hàng tháng để giải quyết các vấn đề bảo mật quan trọng.
"Các chuyên gia phòng thủ mạng nên rút ngắn thời gian thử nghiệm và triển khai bản vá," Anthropic cho biết. "Các bước này bao gồm thắt chặt cấu hình mặc định của mạng, thực thi xác thực đa yếu tố (multi-factor authentication) và duy trì nhật ký (logs) toàn diện để phát hiện và ứng phó."
Công ty AI này cũng cho biết họ đã ra mắt Cyber Verification Program, cho phép các chuyên gia bảo mật sử dụng các mô hình của mình mà không có rào cản (guardrails) cho các mục đích hợp pháp như nghiên cứu lỗ hổng, kiểm tra xâm nhập (penetration testing) và red teaming. Chương trình này tương tự như OpenAI's Daybreak, vốn cũng cho phép các nhà phòng thủ tận dụng GPT-5.5-Cyber cho các quy trình làm việc chuyên biệt.
Các mô hình như Mythos Preview và GPT-5.5-Cyber vẫn chưa được phát hành rộng rãi ra công chúng do lo ngại rằng hiện chưa có các biện pháp bảo vệ thỏa đáng để ngăn chặn việc lạm dụng chúng ở quy mô lớn.
"Glasswing giúp các nhà phòng thủ mạng quan trọng nhất về mặt hệ thống có được lợi thế bất đối xứng," Anthropic nhấn mạnh. "Tuy nhiên, nhu cầu cấp thiết là càng nhiều tổ chức càng tốt cần củng cố hệ thống phòng thủ mạng của họ. Chúng tôi hy vọng rằng các mô hình sẵn có rộng rãi, cùng các công cụ, tài nguyên và nghiên cứu mới mà chúng tôi cung cấp đi kèm, sẽ hỗ trợ các tổ chức đó cải thiện vị thế an ninh mạng của mình."