CVE-2026-4747: Bằng chứng cho thấy Mythos của Anthropic có thể chỉ là chiêu trò marketing

Anthropic gần đây đã ra mắt Mythos Preview, một phiên bản mới của mô hình Claude, với khả năng được cho là "đáng sợ" và quá nguy hiểm để phát hành rộng rãi. Điểm nhấn của buổi ra mắt là CVE-2026-4747, một lỗ hổng thực thi mã nhân từ xa (remote kernel code execution) trong module RPCSEC_GSS của FreeBSD. Theo Anthropic, Mythos đã "hoàn toàn tự chủ xác định và khai thác" lỗ hổng này.

Tuy nhiên, một cái nhìn sâu hơn vào dòng thời gian và các tài liệu kỹ thuật cho thấy một câu chuyện hoàn toàn khác. Nó gợi ý rằng thành tích này có thể là sự tái đóng gói công việc của các mô hình cũ hơn, hoặc thậm chí là một chiêu trò marketing đánh vào tâm lý sợ hãi (FUD).

Dấu vết thời gian mâu thuẫn

Lỗ hổng CVE-2026-4747 là một lỗi tràn bộ nhớ đệm ngăn xếp (stack buffer overflow) kinh điển đã tồn tại 17 năm trong FreeBSD. Vấn đề nằm ở hàm svc_rpc_gss_validate(), nơi dữ liệu kiểm soát của kẻ tấn công được sao chép vào bộ nhớ đệm ngăn xếp 128 byte mà không kiểm tra kích thước, cho phép tràn tới 304 byte.

Điều đáng chú ý là mốc thời gian của sự kiện:

• Ngày 5 tháng 2 năm 2026: Nicholas Carlini và đồng nghiệp tại Anthropic công bố bài báo đánh giá rủi ro của các lỗ hổng 0-day do LLM tìm thấy. Bài báo này ghi nhận công lao của mô hình Claude Opus 4.6 trong việc phát hiện hơn 500 lỗ hổng nghiêm trọng, bao gồm cả các lỗi trong FreeBSD.
• Ngày 26 tháng 3 năm 2026: FreeBSD phát hành advisory bảo mật FreeBSD-SA-26:08.rpcsec_gss. Tài liệu này ghi nhận công trạng: "Nicholas Carlini sử dụng Claude, Anthropic". Lưu ý rằng tại thời điểm này, tên "Mythos" không hề xuất hiện.
• Ngày 7 tháng 4 năm 2026: Anthropic ra mắt Mythos Preview. Blog đăng tải tuyên bố Mythos đã "tự chủ xác định và khai thác" lỗ hổng này, không hề đề cập đến Opus 4.6 hay việc lỗ hổng đã được vá 12 ngày trước đó.

Sự chênh lệch này đặt ra câu hỏi lớn: Nếu Mythos thực sự là công cụ tìm ra lỗi, tại sao advisory chính thức của FreeBSD vào tháng 3 lại không ghi nhận nó? Tại sao Anthropic lại để mất cơ hội quảng bá thương hiệu lớn nhất trong advisory của FreeBSD, chỉ để tuyên bố lại nó 12 ngày sau đó trong một bài blog?

Khả năng tái tạo và sự thật về "nguy hiểm"

Câu chuyện trở nên phức tạp hơn khi các bên thứ ba bước vào. Chỉ ba ngày sau khi advisory được phát hành, dự án MAD Bugs của Calif.io đã yêu cầu Claude (sử dụng Opus 4.6) phát triển khai thác cho CVE đã được công bố. Mô hình đã tạo ra hai khai thác root shell hoạt động trong khoảng bốn giờ.

Hơn nữa, dự án AISLE đã kiểm tra 8 mô hình mã nguồn mở (open-weight) chống lại cùng một CVE. Kết quả: Tất cả 8 mô hình đều phát hiện ra lỗ hổng này, bao gồm cả một mô hình nhỏ chỉ tốn 0,11 USD cho mỗi triệu token.

Điều này bác bỏ hoàn toàn tuyên bố của Anthropic về việc đây là một "khả năng tiên phong độc nhất" (frontier-exclusive). Nếu một mô hình nhỏ giá rẻ cũng có thể tìm thấy lỗi này trên một hệ thống thiếu các cơ chế bảo mật hiện đại như KASLR hay stack canaries, thì nó không phải là minh chứng cho một siêu năng lực AI nguy hiểm cần bị giấu kín.

Vấn đề niềm tin và tính minh bạch

FreeBSD 14.x thiếu các biện pháp giảm thiểu khai thác hiện đại mà Linux kernel thường có, chẳng hạn như KASLR hay stack canaries cho các mảng số nguyên. Điều này khiến việc khai thác trở nên "dễ dàng" hơn nhiều so với các hệ điều hành hiện đại. Việc một AI tìm ra lỗi trên một mục tiêu không có phòng thủ không phải là bằng chứng cho việc nó có thể "hack" bất cứ thứ gì.

Cấu trúc câu chuyện này tương tự như đánh giá Firefox 147 trước đó: các lỗi được tìm thấy bởi Opus 4.6, sau đó được đưa cho Mythos kiểm tra trong môi trường đã tắt các biện pháp bảo vệ, và cuối cùng được trình bày như bằng chứng cho thấy Mythos quá nguy hiểm.

Chữ ký PGP trên advisory của FreeBSD là một tài liệu công cộng không thể chỉnh sửa sau sự kiện. Nó đứng vững như một bằng chứng cho thấy dòng thời gian mà Anthropic đang cố gắng xây dựng cho Mythos là sai lệch.

Nếu Anthropic muốn khôi phục niềm tin, họ cần minh bạch về thời gian và mô hình thực sự đã tìm ra lỗi. Việc gán công lao của một sản phẩm cũ cho sản phẩm mới và đánh đồng việc tái phát hiện một lỗi đã biết với khả năng đột phá không chỉ là một chiêu trò marketing tồi, mà còn làm xói mòn tính toàn vẹn của việc công bố lỗ hổng bảo mật.