Anthropic: Mythos phát hiện 23.000 lỗ hổng tiềm ẩn tại hơn 1.000 dự án mã nguồn mở

Anthropic tuyên bố mô hình Claude Mythos của họ đã phát hiện hàng nghìn lỗ hổng nghiêm trọng trên hơn 1.000 dự án phần mềm mã nguồn mở (OSS).

Cụ thể, phiên bản Mythos Preview đã xác định hơn 23.000 lỗ hổng tiềm năng. Trong số này, 1.900 trường hợp đã được các công ty an ninh mạng bên ngoài rà soát, và 1.726 trường hợp đã được xác nhận, bao gồm hơn 1.000 lỗ hổng được đánh giá ở mức độ "cao" hoặc "nghiêm trọng".

Các phát hiện này vẫn đang được xem xét, và Anthropic ước tính rằng gần 3.900 lỗ hổng ở mức độ nghiêm trọng và cao sẽ được xác nhận chỉ dựa trên các dữ liệu hiện tại. Do quá trình quét vẫn đang tiếp diễn, công ty tin rằng số lượng lỗ hổng nghiêm trọng có thể đạt tới 6.200.

Mô hình Claude Mythos của Anthropic

Anthropic cho biết hơn 1.100 phát hiện chưa được xác minh đã được báo cáo cho các nhà cung cấp phần mềm, và 75 vấn đề được đánh giá là nghiêm trọng hoặc mức độ cao đã được vá lỗi. Các nhà cung cấp cũng đã công bố 65 bản tư vấn an ninh.

“Số lượng bản vá vẫn tương đối thấp vì ba lý do. Thứ nhất, chúng tôi vẫn ở giai đoạn đầu trong khung thời gian 90 ngày được quy định trong chính sách Công bố Lỗ hổng Có phối hợp của mình: chúng tôi kỳ vọng nhiều bản vá hơn sẽ sớm được tung ra,” công ty AI này giải thích.

“Thứ hai, chúng tôi có thể đang đánh giá thấp số lượng bản vá vì một số lỗ hổng được vá mà không có bản tư vấn công khai: trong những trường hợp đó, chúng tôi phụ thuộc vào việc tự quét các bản vá bằng Claude. Thứ ba, số lượng bản vá thấp phản ánh một vấn đề thực sự: ngay cả ở tốc độ công bố tương đối chậm của chúng tôi, Mythos Preview đang làm tăng gánh nặng cho một hệ sinh thái an ninh vốn đã quá tải,” họ bổ sung.

Trước sự gia tăng của việc phát hiện lỗ hổng dựa trên AI, Anthropic gần đây đã ra mắt Claude Security, một công cụ quét mã nguồn được thiết kế để giúp các nhà phát triển tìm ra các vấn đề bảo mật trong ứng dụng của họ.

Kết quả kiểm thử từ các thành viên dự án Glasswing

Các lỗ hổng được mô tả trong báo cáo mới của Anthropic chủ yếu giới hạn ở các dự án OSS, với phần lớn quá trình quét do chính công ty AI này thực hiện.

Khoảng 50 tổ chức hiện có quyền truy cập vào Mythos Preview thông qua Dự án Glasswing — Anthropic lo ngại rằng việc mở rộng quyền truy cập có thể dẫn đến việc mô hình bị lạm dụng — và một số trong số đó đã công bố kết quả tốt sau khi thử nghiệm.

Mozilla báo cáo đã tìm thấy 271 lỗ hổng trong Firefox, và Mythos đã giúp Palo Alto Networks phát hiện hàng chục lỗi. Anthropic cũng dẫn chứng các bài kiểm tra do công ty an ninh tấn công tự chủ XBOW thực hiện, nơi đánh giá Mythos rất hiệu quả trong việc phát hiện lỗ hổng. Chính phủ Anh cũng đã thấy những kết quả khả quan.

Google cũng đã được cấp quyền truy cập, tuy nhiên chưa rõ sự gia tăng gần đây trong việc phát hiện lỗ hổng Chrome là do Mythos, công cụ AI của chính Google, hay cả hai.

Tuy nhiên, không phải ai cũng ấn tượng với kết quả này. Mythos chỉ tìm thấy một lỗ hổng mức độ thấp trong Curl, khiến các chuyên gia tranh luận xem đây là thất bại của mô hình AI hay là minh chứng cho sự trưởng thành của công cụ truyền dữ liệu mã nguồn mở này.

Anthropic thừa nhận họ chưa phát triển đủ các biện pháp bảo vệ mạnh mẽ để ngăn chặn việc lạm dụng Mythos, nhưng công ty đang nỗ lực thêm nhiều tổ chức hơn vào Dự án Glasswing và hy vọng sẽ đưa loại mô hình này ra sử dụng rộng rãi trong tương lai gần.