Dự án Glasswing: AI của Anthropic phát hiện hơn 10.000 lỗ hổng bảo mật nghiêm trọng

Dự án Glasswing: AI của Anthropic phát hiện hơn 10.000 lỗ hổng bảo mật nghiêm trọng

Tháng trước, Anthropic đã chính thức khởi động Dự án Glasswing – một nỗ lực hợp tác nhằm bảo vệ những phần mềm quan trọng nhất thế giới trước khả năng ngày càng tăng của các mô hình AI. Kể từ đó, Anthropic và khoảng 50 đối tác đã sử dụng Claude Mythos Preview để tìm thấy hơn mười nghìn lỗ hổng bảo mật mức độ cao hoặc nghiêm trọng trên các hệ thống phần mềm cốt lõi.

Trước đây, tiến độ bảo mật phần mềm thường bị giới hạn bởi tốc độ tìm ra lỗ hổng mới. Giờ đây, thách thức đã chuyển sang việc chúng ta có thể xác minh, công bố và vá lỗi nhanh như thế nào trước số lượng lớn các lỗ hổng mà AI phát hiện ra.

Dự án Glasswing của Anthropic

Kết quả ban đầu từ các đối tác

Các đối tác đầu tiên của Dự án Glasswing là những đơn vị xây dựng và duy trì phần mềm nền tảng cho Internet và cơ sở hạ tầng thiết yếu. Chỉ sau một tháng, hầu hết các đối tác đều phát hiện ra hàng trăm lỗ hổng nghiêm trọng trong phần mềm của mình. Tổng cộng, con số này đã vượt qua mười nghìn.

Nhiều đối tác cho biết tốc độ tìm lỗi của họ đã tăng hơn 10 lần so với trước đây. Ví dụ điển hình:

• Cloudflare đã tìm thấy 2.000 lỗi (trong đó có 400 lỗi mức độ cao hoặc nghiêm trọng) trên các hệ thống đường dẫn quan trọng, với tỷ lệ báo động giả thấp hơn cả chuyên gia thử nghiệm của con người.
• Mozilla đã tìm và sửa chữa 271 lỗ hổng trong Firefox 150 khi thử nghiệm Mythos Preview – con số này cao gấp hơn 10 lần so với số lượng họ tìm thấy trong Firefox 148 bằng Claude Opus 4.6.
• Viện An ninh AI của Anh báo cáo rằng Mythos Preview là mô hình đầu tiên giải quyết thành công cả hai phạm vi mạng (cyber ranges) mô phỏng các cuộc tấn công mạng đa bước của họ.

Các bản vá lỗi hiện đang được tung ra nhanh hơn nhiều. Bản phát hành gần đây của Palo Alto Networks bao gồm nhiều gói vá hơn gấp 5 lần bình thường. Microsoft và Oracle cũng báo cáo tốc độ tìm và sửa lỗi tăng vượt bậc.

Quét mã nguồn mở và thách thức vá lỗi

Anthropic cũng đã sử dụng Mythos Preview để quét hơn 1.000 dự án mã nguồn mở, nền tảng của phần lớn Internet và hạ tầng của chính họ. Kết quả, mô hình ước tính đã tìm thấy 6.202 lỗ hổng mức độ cao hoặc nghiêm trọng trong các dự án này.

Một ví dụ đáng chú ý là lỗ hổng trong wolfSSL, một thư viện mật mã mã nguồn mở được sử dụng bởi hàng tỷ thiết bị trên toàn cầu. Mythos Preview đã xây dựng một khai thác (exploit) cho phép kẻ tấn công giả mạo chứng chỉ, từ đó lưu trữ các trang web giả mạo của ngân hàng hoặc nhà cung cấp email trông hoàn toàn hợp lệ.

Bảng điều khiển theo dõi lỗ hổng mã nguồn mở

Tuy nhiên, sự dễ dàng trong việc tìm thấy lỗ hổng so với khó khăn khi sửa chữa chúng đang tạo ra một thách thức lớn. Nút thắt cổ chai hiện nay nằm ở năng lực của con người để phân loại (triage), báo cáo và thiết kế các bản vá. Các nhà bảo trì mã nguồn mở đang bị quá tải bởi hàng loạt báo cáo lỗi do AI tạo ra, với chất lượng không đồng đều. Trung bình, một lỗ hổng nghiêm trọng do Mythos Preview tìm thấy mất khoảng hai tuần để được vá.

Thích ứng với giai đoạn mới của an ninh mạng

Các mô hình có khả năng an ninh mạng tương tự Mythos Preview sẽ sớm có sẵn rộng rãi hơn. Điều này đặt ra nhu cầu cấp thiết về một nỗ lực lớn hơn trong ngành công nghiệp phần mềm để quản lý khối lượng phát hiện khổng lồ này.

Các nhà phát triển phần mềm và người dùng cần hành động ngay để giảm thiểu rủi ro:

• Rút ngắn chu kỳ vá lỗi: Các nhà phát triển nên cung cấp các bản sửa lỗi bảo mật càng nhanh càng tốt. Việc sử dụng các mô hình AI công khai có thể hỗ trợ quá trình này.
• Cập nhật phần mềm: Hỗ trợ người dùng dễ dàng cài đặt các bản cập nhật và kiên nhẫn hơn với những người vẫn đang sử dụng phần mềm có lỗ hổng đã biết.
• Tăng cường phòng thủ mạng: Các biện pháp kiểm soát quan trọng như đa yếu tố xác thực (MFA), ghi log toàn diện và cấu hình mạng an toàn trở nên quan trọng hơn bao giờ hết.

Công cụ mới cho người bảo vệ mạng

Để hỗ trợ cộng đồng, Anthropic đã phát hành Claude Security trong bản beta công khai cho khách hàng doanh nghiệp. Công cụ này giúp các nhóm quét cơ sở mã của họ để tìm lỗ hổng và tạo ra các đề xuất sửa lỗi. Trong ba tuần kể từ khi ra mắt, Claude Opus 4.7 đã được sử dụng để vá hơn 2.100 lỗ hổng.

Ngoài ra, chương trình Cyber Verification đã được bắt đầu để cho phép các chuyên gia bảo mật sử dụng các mô hình của Anthropic cho mục đích hợp pháp như nghiên cứu lỗ hổng và kiểm thử xâm nhập (penetration testing).

Anthropic cũng đang cung cấp các công cụ mà họ và các đối tác đã sử dụng với Mythos Preview cho các nhóm bảo mật đủ điều kiện, bao gồm các kỹ năng (skills), hệ thống hỗ trợ (harness) và công cụ xây dựng mô hình đe dọa (threat model builder).

Tương lai của Dự án Glasswing

Tốc độ tiến bộ của AI có nghĩa là các mô hình mạnh mẽ như Mythos Preview sẽ sớm được phát triển bởi nhiều công ty AI khác. Hiện tại, chưa có công ty nào, kể cả Anthropic, phát triển được các biện pháp bảo vệ đủ mạnh để ngăn chặn hoàn toàn việc sử dụng sai mục đích các mô hình này. Đó là lý do Anthropic chưa phát hành các mô hình lớp Mythos cho công chúng.

Tuy nhiên, Anthropic cam kết mở rộng Dự án Glasswing sang thêm các đối tác quan trọng, bao gồm chính phủ Mỹ và các đồng minh. Trong tương lai gần, khi các biện pháp bảo vệ mạnh mẽ hơn được phát triển, họ mong muốn đưa các mô hình lớp Mythos ra thị trường thông qua bản phát hành chung.

Mục tiêu cuối cùng là một thế giới nơi mã nguồn quan trọng được bảo vệ tốt hơn nhiều so với hiện nay và hacking trở nên ít phổ biến hơn. Dự án Glasswing là bước quan trọng để hướng tới tương lai đó.