Anthropic vừa công bố phân tích về Claude Mythos Preview, một mô hình ngôn ngữ mới có năng lực đặc biệt mạnh trong các tác vụ an ninh mạng. Điểm đáng chú ý không chỉ là mô hình có thể tìm lỗi phần mềm, mà còn có thể xác định và khai thác lỗ hổng zero-day trong các hệ điều hành, trình duyệt và phần mềm mã nguồn mở lớn. Theo Anthropic, Mythos Preview từng phát hiện các lỗi tồn tại nhiều năm, thậm chí một lỗi OpenBSD đã 27 năm tuổi, và trong một số thử nghiệm có thể tạo exploit hoạt động mà không cần chuyên gia bảo mật hướng dẫn sâu.
Ý nghĩa lớn nhất của tin này là gì? Đó là, AI đang bước sang giai đoạn mới trong bảo mật. Trước đây, AI chủ yếu hỗ trợ viết code, giải thích lỗi hoặc đề xuất bản vá. Nhưng với Mythos Preview, AI có thể tham gia sâu vào chuỗi công việc của chuyên gia an ninh mạng: đọc mã nguồn, đặt giả thuyết, chạy thử, xác minh lỗi, viết báo cáo và tạo bằng chứng khai thác. Anthropic cho biết họ triển khai Project Glasswing để dùng năng lực này theo hướng phòng thủ, giúp bảo vệ phần mềm quan trọng trước khi các mô hình tương tự trở nên phổ biến hơn.
Vì sao chúng ta phải quan tâm? Vì cùng một năng lực có thể giúp vá lỗi nhanh hơn, nhưng cũng có thể bị lạm dụng để tấn công nhanh hơn. Đây là “khoảng chuyển tiếp” nhạy cảm: bên nào biết dùng AI tốt hơn sẽ có lợi thế. Với lập trình viên, giáo viên CNTT, sinh viên và doanh nghiệp, thông điệp rất rõ ràng: bảo mật phần mềm không còn là phần phụ sau khi viết xong sản phẩm. Trong kỷ nguyên AI Agent, viết code phải đi cùng kiểm thử, rà soát lỗ hổng và quy trình công bố lỗi có trách nhiệm.
Trần Ngọc Minh 