Mythos trên Firefox: Tiềm năng thực sự hay chỉ là chiêu trò marketing?

Gần đây, thông báo về Mythos của Anthropic đã tạo ra một làn sóng lớn trong cộng đồng bảo mật, khiến nhiều người lo ngại về khả năng tìm kiếm lỗ hổng tự động của AI. Mozilla cũng nhanh chóng đăng tải bài viết về việc sử dụng Mythos để xác định một lượng lớn vấn đề trong Firefox 150, với tiêu đề đầy tự tin: "Những ngày zero-day đã được đếm ngược".

Tuy nhiên, đằng sau những con số ấn tượng và các tiêu đề giật gân, bằng chứng công khai thực sự lại không rõ ràng như vẻ bề ngoài. Liệu đây thực sự là một cuộc cách mạng trong nghiên cứu lỗ hổng, hay chỉ là một chiến dịch marketing khôn khéo?

Phân tích con số 271 lỗ hổng

Mozilla báo cáo rằng Mythos đã xác định được 271 lỗ hổng trong Firefox 150. Tuy nhiên, khi xem xét kỹ lưỡng các advisory bảo mật của Firefox 150, chúng ta không thấy một danh sách sạch sẽ gồm 271 ID lỗi riêng biệt chỉ dành cho Firefox.

Thay vào đó, các advisory này chứa nhiều CVE tổng hợp, bao gồm cả các lỗi từ nhiều người báo cáo khác nhau, không chỉ Anthropic. Ví dụ, các mục như "Memory safety bugs fixed in Firefox 150" thực chất liên kết đến hàng trăm lỗi, bao gồm cả những lỗi thuộc về Thunderbird và các bản ESR.

Sự khác biệt về đơn vị đo lường giữa số lượng lỗi của Mozilla, các ID trên Bugzilla và các CVE khiến việc đối chiếu trở nên khó khăn đối với người bên ngoài. Điều này không có nghĩa là Mozilla sai, nhưng nó cảnh báo chúng ta không nên đọc các tiêu đề một cách quá字面 mà không hiểu rõ bối cảnh.

Bản chất của các lỗi được tìm thấy

Tác giả đã dành thời gian phân tích lịch sử commit và các bản vá lỗi liên quan đến Mythos. Kết quả cho thấy một bức tranh đa dạng hơn nhiều so với hình ảnh về việc "tìm thấy hàng trăm lỗ hổng chết người".

Các thay đổi mã nguồn trải dài trên các bề mặt tấn công chính của Firefox như DOM, GFX, Netwerk, JS và Layout. Tuy nhiên, phần lớn các bản vá này rơi vào các danh mục:

• Sửa lỗi vòng đời tham chiếu (reference lifetime fixes).
• Sửa lỗi sở hữu và dọn dẹp bộ nhớ (ownership and cleanup corrections).
• Khắc phục điều kiện chạy (race-condition) và hủy bỏ bất đồng bộ.
• Kiểm tra giới hạn (bounds checks) và xử lý số nguyên.
• Củng cố xử lý serialization và IPC.

Nhiều thay đổi trong số này được hiểu tốt hơn là bảo trì phòng ngừa hoặc củng cố mã nguồn (hardening) hơn là các nguyên liệu khai thác (exploit primitives) rõ ràng.

Phân biệt giữa Lỗi và Lỗ hổng khai thác được

Trong khai thác trình duyệt, có một quang phổ rộng giữa:

1. Một lỗi đúng đắn vô hại (harmless correctness bug).
2. Một lỗi chỉ gây crash (crash-only bug).
3. Một lỗi tạo ra nguyên liệu hỏng bộ nhớ (memory corruption primitive).
4. Một lỗi có thể tồn tại trong một chuỗi khai thác đáng tin cậy (reliable exploit chain).

Mythos dường như rất giỏi trong việc phát hiện các mẫu mã đáng ngờ ở quy mô lớn, bao gồm các lỗi dọn dẹp, rủi ro vòng đời và lạm dụng API. Điều này cực kỳ giá trị cho các đội ngũ phòng thủ, giúp tăng cường độ cứng của mã nguồn nhanh hơn.

Tuy nhiên, đối với một kẻ tấn công, tiêu chuẩn cao hơn nhiều. Một lỗi chỉ thực sự thú vị nếu nó mang lại lợi thế: kiểm soát bộ nhớ, nhầm lẫn kiểu, vượt qua đặc quyền, hoặc thoát khỏi sandbox. Theo tiêu chuẩn đó, nhiều bản vá công khai trông giống như việc giảm nợ lỗi hơn là tìm thấy "vàng" khai thác.

Góc nhìn: Phòng thủ vs Tấn công

Hiện tại, đánh giá về Mythos chia làm hai khía cạnh rõ rệt:

Đối với người phòng thủ (Defenders): Mythos trông rất đáng tin cậy. Ngay cả khi nhiều phát hiện chỉ là vấn đề về ổn định hoặc các rủi ro tiềm ẩn, việc loại bỏ chúng cải thiện cơ sở mã và giảm cơ hội cho kẻ tấn công trong tương lai. Nó đóng vai trò như một công cụ hỗ trợ đắc lực để mở rộng phạm vi xem xét mã.

Đối với người tấn công (Attackers): Câu chuyện kém thuyết phục hơn. Không có gì trong việc công bố của Mozilla chứng minh rằng Mythos đột ngột xóa sổ lợi thế tấn công thông thường. Một số nhóm tấn công thậm chí đã tuyên bố công khai rằng chuỗi khai thác RCE và thoát sandbox của họ vẫn hoạt động sau khi bản vá được phát hành. Điều này nhắc nhở rằng "nhiều bản vá được áp dụng" không đồng nghĩa với "vấn đề tấn công đã được giải quyết".

Kết luận

Dữ liệu từ Firefox 150 cho thấy Mythos là một công cụ thực sự hữu ích cho công tác bảo mật phòng thủ, đặc biệt là ở quy mô lớn. Tuy nhiên, hồ sơ công khai không biện minh cho những tuyên bố mạnh mẽ nhất mà mọi người muốn gán cho nó.

• Là một trợ lý phòng thủ, Mythos trông có uy tín.
• Là bằng chứng của một bước đột phá tấn công mang tính cách mạng, trường hợp của Firefox vẫn còn yếu.
• Và như thường lệ với các thông báo bảo mật AI, phần thú vị nhất nằm trong các chi tiết vận hành mà chúng ta không được thấy.

Trong bối cảnh đó, cộng đồng kỹ thuật nên tiếp cận các con số "bùng nổ" một cách tỉnh táo. Mythos là một bước tiến tiến bộ trong việc tự động hóa việc kiểm tra mã nguồn, nhưng chúng ta vẫn chưa ở giai đoạn AI thay thế hoàn toàn các nhà nghiên cứu bảo mật con người trong việc tìm ra các chuỗi khai thác phức tạp nhất.