Công ty an ninh mạng Trung Quốc tuyên bố AI tìm lỗ hổng, so sánh với Claude Mythos

Một công ty an ninh mạng hàng đầu của Trung Quốc đã tuyên bố sở hữu khả năng phát hiện lỗ hổng dựa trên AI với quy mô tương đương những gì được cho là thuộc về mô hình Claude Mythos của Anthropic.

Những tuyên bố này đã được phân tích bởi Eugenio Benincasa, một nhà nghiên cứu an ninh mạng tại ETH Zurich chuyên tập trung vào Trung Quốc, trong một bài đăng trên blog Natto Thoughts.

AI và An ninh mạng Trung Quốc

Bối cảnh về Claude Mythos

Anthropic từng khẳng định rằng mô hình Mythos mới của họ đã tự chủ phát hiện ra hàng nghìn lỗ hổng. Để ngăn chặn nguy cơ bị lạm dụng, Mythos chưa được phát hành công khai và chỉ dành cho một vài chục tổ chức lớn thông qua Dự án Glasswing.

Tuy nhiên, CEO của Anthropic đã gợi ý rằng các mô hình mã nguồn mở và các nhà phát triển Trung Quốc có thể sao chép hiệu suất cấp độ Mythos trong vòng 6-12 tháng. Quan điểm này cũng được các nhà nghiên cứu tại công ty bảo mật đám mây Wiz đồng tình.

Khẳng định từ 360 Digital Security Group

Theo Benincasa, các tuyên bố được đưa ra bởi 360 Digital Security Group (thuộc Qihoo 360) vào thời điểm Anthropic công bố Claude Mythos cho thấy công ty này có thể sở hữu khả năng phát hiện lỗ hổng tương tự.

Trung tâm của các tuyên bố này là "Hệ thống Phát hiện Lỗ hổng Hợp tác Đa tác nhân" (Multi-Agent Collaborative Vulnerability Discovery System) do nội bộ phát triển. Hệ thống này dường như đã đóng vai trò quan trọng giúp họ giành giải nhất tại Tianfu Cup, một cuộc thi hack lớn của Trung Quốc được phục hồi trong năm nay.

Công ty cho biết hệ thống đã đóng góp khoảng một nửa số lượng lỗ hổng họ xác định tại cuộc thi, tìm thấy gần 1.000 lỗ hổng tổng cộng, bao gồm hơn 50 lỗi nghiêm trọng trên:

• Windows
• Microsoft Office
• Android
• OpenClaw
• Thiết bị IoT
• Và các sản phẩm khác

"Tuyên bố cá nhân đáng chú ý nhất liên quan đến CVE-2026-32190, một lỗ hổng nghiêm trọng của Office mà 360 cho biết tác nhân AI của họ đã xác định trong vài phút, sau khi nó bị bỏ sót trong khoảng tám năm."

Tuy nhiên, một lỗ hổng nhân Windows kernel khác (CVE-2026-24293) cũng được tuyên bố phát hiện, nhưng Microsoft lại ghi nhận công trình này cho các nhà nghiên cứu từ Đài Loan và Hàn Quốc, làm dấy lên nghi ngờ về các tuyên bố của 360.

So sánh và Đánh giá

Benincasa cảnh báo rằng mặc dù khả năng AI của 360 có vẻ đáng kể, nhưng chúng dường như chưa tương xứng với khả năng lý luận được mô tả ở Claude Mythos. Một sự so sánh gần đúng hơn, theo chuyên gia này, là Big Sleep của Google, công cụ này tăng tốc các giai đoạn riêng lẻ của nghiên cứu lỗ hổng thay vì hoạt động như một tác nhân tự chủ hoàn toàn.

Tuy nhiên, chuyên gia tin rằng các khía cạnh khác có thể quan trọng hơn bất kỳ sự so sánh kỹ thuật nào. Luật pháp Trung Quốc yêu cầu các công ty tư nhân và nhà nghiên cứu phải báo cáo lỗ hổng cho các cơ quan chính phủ trước khi công khai, thực tế là dẫn dắt nghiên cứu bảo mật tinh hoa vào các kênh tình báo nhà nước.

Điều này đặt Trung Quốc vào thế có lợi so với Hoa Kỳ, Châu Âu và các nước dân chủ khác, Benincasa nhận định.

Về khả năng của Mythos, bên cạnh các tuyên bố của Anthropic, Mozilla cho biết AI đã giúp họ tìm thấy hơn 270 lỗ hổng Firefox, và Palo Alto Networks báo cáo sự gia tăng đáng kể trong việc phát hiện lỗ hổng. Tuy nhiên, những người khác chỉ ra rằng chỉ có vài chục CVE công khai được ghi nhận cho Anthropic và chỉ một cái cụ thể cho Glasswing.