Cisco ca ngợi sức mạnh AI trong việc quét mã nguồn nhưng giấu kín số lượng lỗi tìm thấy

Cisco ca ngợi sức mạnh AI trong việc quét mã nguồn nhưng giấu kín số lượng lỗi tìm thấy

Trong những tháng gần đây, hoạt động săn tìm lỗi (bug hunting) đã trở nên sôi động hơn bao giờ hết khi cả Anthropic và OpenAI đều khoe khoang về các mô hình mới nhất của họ—những công cụ cũng có khả năng trở thành máy khai thác lỗ hổng cực kỳ nguy hiểm. Vào thứ Ba, khi Anthropic công bố việc mở rộng gấp bốn lần chương trình dùng thử Mythos, Cisco cũng đã tham gia vào cuộc đua này, ca ngợi sức mạnh chuyển đổi của AI, nhưng lại không tiết lộ số lượng lỗi mà các mô hình tiên phong nhất đã tìm ra.

Anthony Grieco, Phó Chủ tịch cấp cao của Cisco, cho biết trong một bài đăng trên blog hôm thứ Ba rằng các hệ thống AI tiên tiến, bao gồm Claude Mythos Preview của Anthropic và GPT 5.5-Cyber của OpenAI, đã quét 1,8 tỷ dòng mã nguồn trong vòng tám tuần để tìm kiếm lỗ hổng trong các sản phẩm của Cisco. Đây là một khối lượng công việc mà nếu đội ngũ bảo mật cấp cao của gã khổng lồ mạng này thực hiện sẽ mất tới tám năm để hoàn thành.

Tuy nhiên, Grieco, người đứng đầu tổ chức An ninh và Tin cậy của Cisco, đã không nói rõ chính xác bao nhiêu lỗi mà Mythos và các mô hình tiên phong khác đã phát hiện ra, hay liệu tất cả chúng đã được khắc phục chưa. Công ty cũng không phản hồi các câu hỏi của The Register về vấn đề này.

Tốc độ chưa phải là tất cả

Grieco nhận định rằng "tốc độ chỉ là một nửa câu chuyện", và gọi "đột phá thực sự" là "quy mô, chất lượng và tác động" của các phát hiện từ các mô hình AI.

Theo thông tin tiết lộ, 1,8 tỷ dòng mã này được viết bằng hơn 25 ngôn ngữ lập trình khác nhau và trải dài trên danh mục sản phẩm của Cisco. Grieco viết rằng công ty đã kết hợp các mô hình AI với một "hệ thống dẫn hướng có sự hỗ trợ của con người" và đạt được tỷ lệ dương tính giả (false positive rate) dưới 3 phần trăm.

"Thay vì chỉ tập trung vào một phạm vi cụ thể để đánh giá bảo mật, chúng tôi có thể đánh giá toàn bộ cơ sở mã của một sản phẩm. Nó giống như việc chuyển từ dùng đèn pin sang dùng đèn pha để chiếu sáng một căn phòng tối vậy," ông nói. "Vì mỗi phát hiện đều được xác thực thông qua sự kết hợp giữa chuyên môn của AI và con người, các đội ngũ kỹ thuật của chúng tôi nhận được thông tin tình báo có thể hành động được thay vì một bức tường cảnh báo vô nghĩa."

Anthropic mở rộng Project Glasswing

Trong khi đó, Anthropic cũng thông báo vào thứ Ba rằng họ đã mở rộng Project Glasswing thêm khoảng 150 tổ chức, đưa tổng số đối tác lên khoảng 200 đơn vị. Project Glasswing là chương trình đối tác được kiểm soát của gã khổng lồ AI, nhằm cấp quyền truy cập Claude Mythos Preview cho các tổ chức được chọn.

Khi công bố mô hình mới và chương trình đối tác vào đầu tháng 4, Anthropic đã giới hạn bản dùng thử cho khoảng 50 thực thể, với lý do Mythos quá giỏi trong việc tìm và khai thác lỗ hổng bảo mật nên nếu mô hình này rơi vào tay sai, hậu quả sẽ là thảm khốc.

Kể từ tháng 4, các cơ quan chính phủ và đối tác doanh nghiệp được chọn này—bao gồm cả Cisco—đã sử dụng Mythos để tìm và sửa lỗi trong các sản phẩm của chính họ.

Palo Alto Networks, một trong những đối tác ban đầu của Project Glasswing, cho biết vào tháng 5 rằng sau một tháng sử dụng các mô hình AI tiên phong, bao gồm Mythos của Anthropic, để quét hơn 130 sản phẩm trên ba nền tảng của mình, họ đã phát hiện ra 26 CVE đại diện cho 75 vấn đề bảo mật cơ bản.

So sánh với mức trung bình dưới năm CVE mỗi tháng mà công ty an ninh mạng này thường công bố, đây là một con số ấn tượng. Một giám đốc điều hành của công ty từng dự báo "một cửa hẹp từ ba đến năm tháng để các tổ chức vượt qua đối thủ trước khi các cuộc khai thác dẫn động bởi AI trở thành tiêu chuẩn mới".

Danh sách các đối tác mở rộng mới bao gồm Cơ quan An ninh Internet và Hàn Quốc (KISA), cùng với Samsung Electronics, SK hynix và SK Telecom, cùng các công ty Hàn Quốc khác.

"Nhóm này bao gồm một số ngành công nghiệp chưa được đại diện tốt trong nhóm đầu tiên của chúng tôi, such như điện lực, nước, y tế, viễn thông và phần cứng," theo một bài đăng trên blog của Anthropic. "Và nhiều đối tác mới là các nhà cung cấp—các công ty hoặc tổ chức phi lợi nhuận duy trì các cơ sở mã mà nhiều tổ chức khác trên thế giới, bao gồm cả chính phủ, dựa vào."

Mỗi đối tác mới phải đáp ứng các yêu cầu bảo mật của Anthropic trước khi được cấp quyền truy cập vào Mythos.