Claude Mythos giúp Mozilla vá hàng trăm lỗ hổng Firefox: 1 lỗi tồn tại 20 năm

Hôm 8/5, Mozilla - tổ chức phi lợi nhuận đứng sau trình duyệt web Firefox - đã đăng trên blog bài viết chi tiết về cách họ sử dụng Claude Mythos Preview để phát hiện các vấn đề bảo mật.

Mozilla cho biết mô hình AI mới của Anthropic đã phát hiện ra hàng trăm lỗ hổng bảo mật, gồm cả 1 lỗi tồn tại suốt 20 năm.

Mozilla công bố chi tiết 12 lỗi đã được vá. Theo công ty này, 1 lỗi trong số đó “không được phát hiện suốt nhiều năm bởi các fuzzing”, tức công cụ kiểm thử bảo mật chuyên tìm lỗi phần mềm.

Nhìn chung, Mozilla cho biết nỗ lực với sự hỗ trợ từ AI đã góp phần sửa chữa 423 lỗi bảo mật trong các bản cập nhật Firefox tháng 4. Trong số đó có 271 lỗi được công ty xác định trực tiếp nhờ Claude Mythos Preview.

Đó là sự thay đổi lớn so với các bản cập nhật hằng tháng trước đây của Mozilla. Mozilla cho biết chỉ sửa được 25 lỗi bảo mật vào tháng 1 và 76 lỗi trong tháng 3.

Ảnh: SV

Mozilla: Mô hình AI mới mang đến phạm vi bao phủ toàn diện hơn nhiều

"Các mô hình AI đã trở nên mạnh mẽ hơn rất nhiều", Mozilla viết trên blog.

Các mô hình AI đời cũ thường tạo ra báo cáo lỗi bảo mật trông có vẻ thuyết phục. Song khi Mozilla kiểm tra kỹ thì nhiều báo cáo là sai, không phát hiện được lỗi hoặc đề xuất sửa lỗi vô nghĩa.

Theo Mozilla, các mô hình AI thế hệ mới có thể điều hướng trong những kho mã nguồn trình duyệt khổng lồ và xác định các lỗ hổng ẩn sâu. Mozilla cho biết mô hình AI mới mang đến "phạm vi bao phủ toàn diện hơn nhiều" so với trước đây.

Mozilla có kế hoạch mở rộng hệ thống hơn nữa bằng cách tích hợp phân tích AI trực tiếp vào quy trình phát triển của Firefox.

CEO Anthropic: Mối nguy là sự gia tăng khổng lồ về số lượng lỗ hổng

Năng lực phát hiện lỗ hổng bảo mật mạnh mẽ của Claude Mythos khiến nó chưa được Anthropic phát hành rộng rãi, vì có thể tạo ra các rủi ro thực sự với an ninh quốc gia.

Khi triển khai Claude Mythos vào tháng 4, Anthropic đã quyết định giới hạn quyền truy cập cho nhóm công ty được chọn như một phần của sáng kiến an ninh mạng mới mang tên Project Glasswing.

Dario Amodei - Giám đốc điều hành Anthropic - đã gặp các thành viên cấp cao trong chính quyền Trump để thảo luận về Claude Mythos và sức mạnh tiềm tàng của nó, ngay cả khi công ty bị Lầu Năm Góc xem là rủi ro chuỗi cung ứng chỉ vài tuần trước đó.

Chủ tịch Cục Dự trữ liên bang Mỹ Jerome Powell và Bộ trưởng Tài chính Scott Bessent đã gặp các CEO của những ngân hàng lớn tại Mỹ để thảo luận về Claude Mythos vào tháng trước. Phó tổng thống Mỹ JD Vance và Scott Bessent cũng tổ chức thảo luận trực tuyến với các CEO công nghệ hàng đầu về mô hình AI này.

Đầu tháng 5, Emil Michael - Giám đốc công nghệ Bộ Quốc phòng Mỹ - nói rằng Anthropic vẫn là rủi ro chuỗi cung ứng, nhưng Claude Mythos với năng lực an ninh mạng tiên tiến là “khoảnh khắc an ninh quốc gia riêng biệt”.

Theo Anthropic, Claude Mythos có tính tự chủ cực cao và khả năng suy luận tinh vi, tương đương chuyên gia nghiên cứu bảo mật cấp cao. Nó có thể phát hiện hàng chục nghìn lỗ hổng bảo mật mà ngay cả những chuyên gia săn lỗi hàng đầu cũng khó tìm ra.

Trong quá trình thử nghiệm của Anthropic, Claude Mythos đã phát hiện lỗi trong “mọi hệ điều hành và trình duyệt web lớn”, gồm cả những lỗ hổng tồn tại hàng chục năm mà các cuộc kiểm tra bảo mật do con người thực hiện trước đó không phát hiện ra.

Thay vì phát hành công khai, Anthropic cung cấp phiên bản Claude Mythos Preview cho nhóm 11 tổ chức chọn lọc trong khuôn khổ Dự án Glasswing của Anthropic, gồm Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, Linux Foundation, Microsoft, Nvidia, Palo Alto Networks, JPMorgan Chase.

Anthropic tiết lộ đã mở rộng quyền truy cập Claude Mythos Preview cho khoảng 40 tổ chức khác chịu trách nhiệm về hạ tầng phần mềm quan trọng, gồm cả Mozilla.

Theo Anthropic, mục tiêu lâu dài của công ty là giúp người dùng có thể triển khai các mô hình AI mạnh mẽ như Claude Mythos một cách an toàn và trên quy mô lớn, kể cả cho các mục đích ngoài an ninh mạng.

Theo trang Axios, Cơ quan An ninh Quốc gia Mỹ (NSA) cùng nhiều cơ quan chính phủ khác cũng đã bắt đầu sử dụng Claude Mythos Preview.

Dario Amodei gây lo ngại khi công bố Claude Mythos có thể phát hiện hàng chục nghìn lỗ hổng bảo mật mà ngay cả những chuyên gia săn lỗi hàng đầu cũng khó tìm ra - Ảnh: Internet

“Mối nguy là sự gia tăng khổng lồ về số lượng lỗ hổng, số vụ xâm nhập, cũng như thiệt hại tài chính do ransomware (mã độc tống tiền) gây ra với trường học, bệnh viện, chưa kể ngân hàng”, Dario Amodei phát biểu tuần này tại sự kiện dành cho nhà phát triển của Anthropic.

Người phát ngôn Anthropic cho biết công ty đã cảnh báo suốt nhiều tháng rằng năng lực an ninh mạng của AI đang tiến bộ rất nhanh. IAnthropic dẫn lại một bài blog hồi tháng 2 cho thấy Claude Opus 4.6 - mô hình AI được công ty phát hành rộng rãi - đã phát hiện hơn 500 lỗ hổng mức độ nghiêm trọng cao trong phần mềm mã nguồn mở.

Tại sự kiện của Anthropic tuần này, Dario Amodei cũng khẳng định điều đó. Ông nói rằng dù quy mô lỗ hổng mà Claude Mythos phát hiện tăng mạnh so với các mô hình AI trước, xu hướng này không phải mới xuất hiện.

“Các rủi ro là hoàn toàn có thật. Đó là lý do chúng tôi hành động như vậy. Song theo một nghĩa nào đó, điều này cũng không quá bất ngờ. Chúng ta đã thấy các cảnh báo như vậy từ lâu”, Giám đốc điều hành Anthropic nhấn mạnh.

Sơn Vân