Claude Mythos biến nhiều năm nghiên cứu bảo mật thành các cuộc tấn công AI kéo dài 20 giờ
Khi Anthropic công bố bản preview Claude Mythos vào ngày 7 tháng 4 năm 2026, phản ứng đã vượt ngoài dự đoán của cộng đồng an ninh mạng. Chính phủ Anh thậm chí đã gửi thư đến các lãnh đạo doanh nghiệp.
Mythos đã tự động phát hiện ra hàng nghìn lỗ hổng nghiêm trọng và có mức độ nguy hiểm cao trên mọi hệ điều hành và web browser chính, bao gồm cả một lỗ hổng đã tồn tại 27 năm trong OpenBSD.
Công cụ đã tự tạo ra các khai thác (exploit) hoạt động được mà không cần con người hướng dẫn. Viện An ninh AI của Anh đã kiểm tra và phát hiện rằng Mythos có thể hoàn thành một cuộc tấn công mô phỏng vào mạng doanh nghiệp gồm 32 bước - từ giai đoạn trinh sát đến chiếm quyền kiểm soát hoàn toàn - công việc mà các chuyên gia con người thường mất khoảng 20 giờ để thực hiện.
Tuy nhiên, có một lưu ý quan trọng là các kết quả này đến từ môi trường phòng thí nghiệm. Báo cáo Mythos System Card của Anthropic cho biết các mô phỏng này không có hệ thống phòng thủ chủ động, rất ít giám sát an ninh và thiếu các công cụ phòng vệ. Các bài kiểm tra khai thác Firefox cũng được chạy mà không có cơ chế sandbox tiến trình của trình duyệt. Mythos rất ấn tượng, nhưng nó vẫn chưa được thử nghiệm trên các hệ thống thực sự được bảo mật chặt chẽ và có phòng thủ chủ động.
Tuy vậy, Viện An ninh AI (AISI) ước tính rằng năng lực an ninh mạng của các mô hình AI tiên tiến hiện đang tăng gấp đôi sau mỗi bốn tháng. Mọi chuyện đã vượt tầm kiểm soát. Các nhà phát triển mô hình khác sẽ cung cấp chức năng tương tự nhưng không hạn chế quyền truy cập như Anthropic đã làm.
1. Bảo mật đi đôi với kinh tế
AISI đã dự trù 100 triệu token cho mỗi lần thử nghiệm mô phỏng tấn công mạng. Trong mười lần chạy, Mythos đã hoàn thành toàn bộ cuộc tấn công 32 bước ba lần.
Không có mô hình thử nghiệm nào cho thấy hiệu quả giảm dần khi ngân sách token tăng lên; ngược lại khả năng tiếp tục tăng lên. Nói một cách đơn giản, attacker càng sử dụng nhiều sức mạnh tính toán để tấn công mục tiêu, chúng càng tìm thấy nhiều lỗ hổng.
Để tăng cường bảo mật cho hệ thống, liệu chúng ta có cần phải bỏ ra nhiều token hơn để phát hiện các lỗ hổng so với số token mà kẻ tấn công sẽ dùng để tìm ra chúng không?
Bản tóm tắt "Sẵn sàng cho Mythos" của CSA và SANS đưa ra một điểm liên quan: xây dựng một chức năng Vận hành Vulnerability Operations, thực hiện việc phát hiện liên tục dựa trên AI trên toàn bộ hệ thống phần mềm của bạn.
Việc chỉ dựa vào các pentest hàng năm đơn giản là không phù hợp với tình hình thực tế. Chi tiêu token có thể là pentest mới.
2. Các bản vá tiết lộ hướng tấn công
Dự án Glasswing được kỳ vọng sẽ tạo ra làn sóng công bố lỗ hổng bảo mật, vì khoảng 40 hãng phần mềm lớn đã được cấp quyền truy cập sớm vào Mythos để rà soát mã nguồn của họ.
Cách công bố có phối hợp và có trách nhiệm này là hướng đi đúng đắn, nhưng nó cũng tạo ra một vấn đề thứ hai: mỗi bản vá đều vô tình gửi tín hiệu cho kẻ tấn công biết nên tìm điểm yếu ở đâu.
AI đang đẩy nhanh quá trình “patch-diffing” - tức so sánh mã cũ và mã mới để phân tích ngược xem điều gì đã được sửa và lỗ hổng nào từng có thể bị khai thác. Mỗi bản vá giờ đây có thể trở thành một “bản thiết kế” cho exploit (mã khai thác).
Dự án Zero Day Clock đã theo dõi thời gian khai thác lỗ hổng giảm từ 2,3 năm vào năm 2018 xuống còn khoảng 20 giờ vào năm 2026. Các bên chậm trễ trong việc áp dụng bản vá không chỉ bị tụt lại mà còn bị chính việc phát hiện lỗ hổng làm lộ thông tin.
Thời gian trung bình để khắc phục các lỗ hổng bị lộ từ bên ngoài hiện là một trong những chỉ số quan trọng nhất mà team security cần theo dõi.
3. Tính minh bạch của mã nguồn mở giờ đây là con dao hai lưỡi
Mythos phân tích source code để tìm ra điểm yếu. Nghiên cứu của Anthropic phân biệt giữa phần mềm mã nguồn mở, nơi mô hình đọc mã trực tiếp, và mã nguồn đóng, nơi việc phân tích được thực hiện thông qua các thỏa thuận hợp tác với các nhà cung cấp phần mềm.
Điều này có tác động đến mã nguồn mở nói chung. Việc công bố mã nguồn giúp duy trì các tiêu chuẩn tốt và thúc đẩy yêu cầu đánh giá kỹ lưỡng, nhưng nếu một mô hình AI có thể hiểu được codebase trong vài phút và exploit hoạt động được, thì các kho mã nguồn mở sẽ trở thành “bãi săn” cho những kẻ tấn công.
Số lượng báo cáo về lỗ hổng Linux kernel đã tăng từ hai lên mười mỗi tuần, tất cả đều được xác minh là có thật. Các tổ chức phát triển công khai mã nguồn và những tổ chức phụ thuộc vào các thành phần mã nguồn mở để phát triển, cần xem xét lại cách để cân bằng giữa tính minh bạch và rủi ro, đặc biệt là đối với các hệ thống liên quan gần với hạ tầng trọng yếu.
4. Phòng thủ nhiều lớp vẫn hiệu quả và sự đa dạng kiến trúc rất quan trọng
Bức thư ngỏ của Chính phủ Anh đã nêu rõ: đã nói rất rõ: những biện pháp mà tổ chức cần thực hiện để chống lại các mối đe dọa do AI hỗ trợ thực chất cũng chính là các thực hành “cyber hygiene” vốn đã được khuyến nghị để đối phó với các mối đe dọa truyền thống.
Không phải tất cả các lỗ hổng đều có cùng mức độ rủi ro. Một lỗ hổng CVE nghiêm trọng trong một hệ thống nội bộ không kết nối với internet sẽ không giống với chính lỗ hổng CVE đó trên một nền tảng thanh toán công khai.
Segmentation, identity controls, egress filtering, và MFA chống phishing đều làm tăng chi phí tấn công, ngay cả khi có sự hỗ trợ của AI.
Sự đa dạng kiến trúc cũng rất quan trọng. Một cuộc tấn công vào một stack công nghệ cụ thể sẽ không nhất thiết hiệu quả với stack khác, vì vậy các kiến trúc đa lớp, đa dạng sẽ khó bị tấn công xuyên suốt toàn hệ thống hơn ngay cả ở 'tốc độ AI'.
Hướng dẫn của NCSC về việc phá vỡ giao thức là một ví dụ: kết nối được terminate ở một lớp trung gian, payload sau đó được chuyển tiếp bằng giao thức đơn giản hơn tới hệ thống downstream, buộc cuộc tấn công phải đi qua nhiều lớp công nghệ, khiến việc xâm phạm dựa trên giao thức (protocol-based compromise) trở nên khó khăn hơn đáng kể.
5. Các mô hình AI có thể trở thành công cụ gây ảnh hưởng địa chính trị
Anthropic đã chọn giới hạn quyền truy cập vào Mythos thông qua Project Glasswing, chỉ cung cấp cho một số đối tác và chính phủ được chọn thay vì phát hành công khai. Bộ Tài chính United States cũng đã trực tiếp briefing cho các ngân hàng lớn của mình. Đây là một dấu hiệu khá đáng chú ý.
Các mô hình AI sở hữu năng lực offensive security thực tế đang trở thành những “tài sản chiến lược”. Điều này gợi nhớ đến các chính sách kiểm soát xuất khẩu công nghệ mã hóa trong lịch sử.
Vào thập niên 1990, Chính phủ Mỹ từng phân loại các công nghệ mật mã mạnh như một dạng “vũ khí” (munition) và áp đặt hạn chế xuất khẩu.
Sau đó, các biện pháp kiểm soát này dần trở thành một công cụ gây ảnh hưởng chính trị và kinh tế.
Không khó để hình dung rằng trong tương lai: quyền truy cập vào các mô hình AI bảo mật mạnh nhất có thể bị giới hạn theo khối địa chính trị, hoặc được sử dụng như đòn bẩy trong các cuộc đàm phán thương mại quốc tế.
Đối với các tổ chức hoạt động trên môi trường quốc tế, điều này tạo ra một rủi ro phụ thuộc mới. Nếu khả năng bảo vệ hệ thống của họ phụ thuộc vào việc truy cập vào các mô hình do chính phủ nước ngoài hoặc một công ty duy nhất kiểm soát, thì tự bản thân điều này đã là một điểm yếu chiến lược.
Vậy chúng ta đang ở đâu?
Tốc độ đã tăng nhanh nhưng phản ứng không nên là hoảng loạn mà thay vào đó cần tập trung. Bản báo cáo "Mythos-ready" của CSA và SANS, được xem xét bởi một số CISO giàu kinh nghiệm nhất trong ngành, đã nêu rõ điều này: đây chỉ là làn sóng đầu tiên trong số nhiều làn sóng.
Các tổ chức vượt qua được thử thách này sẽ là những tổ chức cải thiện khả năng ưu tiên xử lý lỗ hổng, giảm thiểu bề mặt tấn công và mở rộng quy mô các quyết định bảo mật thông qua tự động hóa và kiến trúc chứ không chỉ dựa vào số lượng nhân sự.
