Mô hình AI Claude Mythos phát hiện 271 lỗ hổng bảo mật trong trình duyệt Firefox

Mozilla vừa tiết lộ rằng mô hình AI chuyên về an ninh mạng mới của Anthropic, Claude Mythos, đã phát hiện ra tổng cộng 271 lỗ hổng bảo mật trong trình duyệt web phổ biến Firefox.

Các lỗ hổng này được xác định thông qua phiên bản đầu tiên của Claude Mythos Preview và đã được vá trong bản cập nhật trình duyệt được phát hành vào tuần này, phiên bản Firefox 150.

Firefox

Mặc dù hơn 40 CVE (Lỗ hổng và Tiếp xúc chung) đã được giải quyết trong Firefox 150, nhưng chỉ có ba lỗi được ghi nhận chính thức là do Claude tìm thấy trong bản tư vấn bảo mật: CVE-2026-6746, CVE-2026-6757 và CVE-2026-6758.

Điều này cho thấy rằng trong số 271 lỗi được phát hiện, nhiều khả năng là các vấn đề có mức độ nghiêm trọng thấp hoặc các lỗi không đạt ngưỡng để được cấp mã CVE công khai. Điều này có thể bao gồm các vấn đề về phòng thủ theo chiều sâu (defense-in-depth), tăng cường cứng (hardening) hoặc các lỗi trong các đường dẫn mã không thể khai thác.

Mozilla chưa chia sẻ thông tin cụ thể về loại hoặc bản chất của các lỗ hổng này, nhưng đã đưa ra một sự làm rõ quan trọng.

“Đáng khích lệ là chúng tôi cũng chưa thấy bất kỳ lỗi nào mà một nhà nghiên cứu con người đẳng cấp không thể tìm thấy. Một số người bình luận dự đoán rằng các mô hình AI trong tương lai sẽ khám phá ra những hình thức lỗ hổng hoàn toàn mới mà sự hiểu biết hiện tại của chúng ta không thể nắm bắt, nhưng chúng tôi không nghĩ vậy,” Bobby Holley, Giám đốc Công nghệ (CTO) của Firefox, nhận định.

Thực tế là Claude Mythos tìm thấy nhiều lỗ hổng Firefox như vậy không có gì đáng ngạc nhiên. Khi Anthropic ra mắt Mythos, gã khổng lồ AI này cho biết mô hình biên giới mới này có thể tự chủ khám phá hàng nghìn lỗ hổng zero-day.

Chính vì lý do đó, công ty đã quyết định không phát hành công khai mà thay vào đó chỉ cung cấp cho một số lượng tương đối nhỏ các tổ chức lớn thông qua một chương trình có tên là Project Glasswing.

Danh sách các công ty tham gia Project Glasswing bao gồm AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, Nvidia và Palo Alto Networks.

Palo Alto Networks cũng đã chia sẻ một số dữ liệu sơ bộ từ việc kiểm thử Mythos, cho biết rằng về mặt phát hiện lỗ hổng, nó đã hoàn thành khối lượng tương đương với một năm kiểm thử xâm nhập (pentesting) trong vòng chưa đầy ba tuần.

Công ty an ninh mạng này cũng lưu ý rằng AI có khả năng xâu chuỗi lỗ hổng ấn tượng, kết hợp các vấn đề có mức độ nghiêm trọng trung bình và thấp thành một cuộc khai thác nguy hiểm.

Ngoài ra, Mythos có thể xác định các vấn đề dựa trên logic mà các công cụ truyền thống có thể không phát hiện ra.

“Trong vòng sáu tháng, các mô hình AI tiên tiến với khả năng an ninh mạng sâu sẽ trở nên phổ biến. Các tổ chức chưa đặt ra các biện pháp bảo vệ thích hợp sẽ đối mặt với một lớp rủi ro hoàn toàn mới trên toàn doanh nghiệp và cơ sở hạ tầng quan trọng của họ,” Lee Klarich, giám đốc sản phẩm và công nghệ của Palo Alto Networks cho biết.

Klarich chỉ ra rằng các bước tiến tương tự có thể sẽ đến từ các công ty AI khác và các mô hình đó có thể không bị hạn chế như Mythos.

Ngoài ra, đã có một số báo cáo cho thấy Mythos đang bị người dùng trái phép truy cập.