Anthropic vừa công bố một con số khiến giới an ninh mạng phải giật mình: trong chưa đầy hai tháng thử nghiệm, công cụ AI có tên Mythos Preview được cho là đã giúp các đối tác phát hiện hơn 10.000 lỗ hổng bảo mật mức cao và nghiêm trọng trong những hệ thống phần mềm “quan trọng bậc nhất” hiện nay.
Trong cập nhật mới nhất về dự án, Anthropic cho biết khoảng 50 tổ chức tham gia dùng thử đều tìm được “hàng trăm” lỗ hổng, và nhiều đơn vị nói tốc độ tìm bug đã tăng hơn 10 lần. Riêng Cloudflare được nêu như một ví dụ nổi bật: công ty này nói họ tìm được khoảng 2.000 lỗi trong các hệ thống trọng yếu, trong đó 400 lỗi thuộc nhóm high/critical, và tỷ lệ báo sai được đánh giá “tốt hơn cả người kiểm thử”.
Do quy trình công bố lỗ hổng thường có độ trễ (thường là 90 ngày để đội vận hành kịp vá), Anthropic không đưa ra danh sách chi tiết, chỉ chia sẻ các ví dụ tổng quát nhằm chứng minh hiệu quả. Theo ước tính của hãng, Mythos đã phát hiện khoảng 23.019 lỗ hổng tất cả mức độ, trong đó khoảng 6.202 là high/critical.
Đáng chú ý, một phần các phát hiện này đã được kiểm chứng độc lập: trong 1.752 lỗi được đánh giá bởi các nhà nghiên cứu bảo mật bên ngoài, khoảng 90% được xác nhận là lỗi thật, và 62,4% được xác nhận là thuộc mức high/critical.
Dù vậy, vẫn có hoài nghi. Một số phân tích cho rằng AI hỗ trợ tìm lỗ hổng không phải chuyện mới (Google từng có các dự án tương tự), và “đột phá” của Mythos có thể đến từ việc dùng rất nhiều compute cùng quy trình agent chạy dài, thay vì sở hữu năng lực suy luận hoàn toàn khác biệt. Nói cách khác: AI có thể đã làm tốt hơn nhờ cách vận hành và tài nguyên, chứ không nhất thiết vì “thông minh hơn hẳn”.
Dù tranh luận ra sao, Anthropic kết luận một điểm đáng suy nghĩ: nút thắt của an ninh phần mềm đang dịch chuyển. Nếu trước đây khó nhất là tìm ra lỗ hổng, thì giờ khó nhất lại là xác minh, công bố và vá kịp tốc độ AI có thể bơm ra danh sách bug. Khi tốc độ phát hiện vượt tốc độ khắc phục, bài toán bảo mật sẽ không còn chỉ nằm ở “tìm lỗi”, mà là “đóng lỗi” cho kịp.
