Claude Mythos phát hiện hàng chục nghìn lỗ hổng bảo mật, Anthropic triển khai hạn chế

3 giờ trướcBài gốc

Anthropic vừa công bố sáng kiến hợp tác với các hãng công nghệ lớn, cho phép đối tác xem trước mô hình AI có khả năng an ninh mạng tiên tiến được phát triển bởi công ty khởi nghiệp AI này.

Trong khuôn khổ Dự án Glasswing, Anthropic cho biết một số tổ chức được lựa chọn sẽ có thể sử dụng mô hình AI đa dụng chưa phát hành của công ty, mang tên Claude Mythos Preview, cho các hoạt động phòng thủ an ninh mạng.

12 tên tuổi tham gia Dự án Glasswing là Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, Nvidia và Palo Alto Networks.

Thông báo này được đưa ra sau khi trang Fortune tháng trước cho biết Anthropic đang thử nghiệm Claude Mythos. Theo Fortune, Claude Mythos cung cấp các khả năng an ninh mạng tiên tiến, khiến cổ phiếu công ty Palo Alto Networks và CrowdStrike giảm mạnh.

Hội nghị an ninh mạng RSA diễn ra cuối tháng 3 tại thành phố San Francisco (Mỹ) cũng bị chi phối bởi các cuộc thảo luận về sự gia tăng của các cuộc tấn công mạng dựa trên AI và việc liệu các công cụ bảo mật truyền thống còn đủ hiệu quả hay không.

Theo Anthropic, Claude Mythos Preview đã tìm thấy hàng chục nghìn lỗ hổng nghiêm trọng trong hệ điều hành, trình duyệt web và các phần mềm khác

Trong bài đăng trên blog hôm 7.4, Anthropic cho biết Claude Mythos Preview đã tìm thấy hàng chục nghìn lỗ hổng nghiêm trọng trong hệ điều hành, trình duyệt web và các phần mềm khác.

Công ty khởi nghiệp AI nổi tiếng này cho biết các đối tác tham gia Dự án Glasswing sẽ sử dụng Mythos Preview trong hoạt động phòng thủ an ninh mạng và Anthropic sẽ chia sẻ những phát hiện này với toàn ngành công nghiệp.

Anthropic tiết lộ đang mở rộng quyền truy cập cho khoảng 40 tổ chức khác chịu trách nhiệm về hạ tầng phần mềm quan trọng. Ngoài ra, công ty cam kết cung cấp tới 100 triệu USD tín dụng sử dụng và 4 triệu USD tài trợ cho các tổ chức bảo mật mã nguồn mở như OpenSSF, Alpha-Omega, Apache Software Foundation.

Theo Anthropic, mục tiêu lâu dài của công ty là giúp người dùng có thể triển khai các mô hình AI mạnh mẽ như Claude Mythos một cách an toàn và trên quy mô lớn, kể cả cho các mục đích ngoài an ninh mạng.

Anthropic tiết lộ đang thảo luận với một số cơ quan thuộc chính phủ Mỹ về khả năng của mô hình AI này.

Năm ngoái, Anthropic cho biết hacker đã khai thác các lỗ hổng trong mô hình Claude của họ để tấn công khoảng 30 tổ chức toàn cầu. Ngoài ra, 67% trong số 1.000 lãnh đạo được khảo sát trong một nghiên cứu của IBM và Palo Alto Networks tiết lộ công ty của họ bị nhắm mục tiêu bởi các cuộc tấn công mạng dựa trên AI trong năm qua.

Claude Mythos đáng sợ thế nào mà Anthropic chỉ dám triển khai hạn chế?

Anthropic chỉ triển khai bản xem trước Claude Mythos cho một nhóm nhỏ các hãng công nghệ và an ninh mạng được lựa chọn kỹ lưỡng, do lo ngại về khả năng của mô hình này trong việc tìm kiếm và khai thác các lỗ hổng bảo mật.

Anthropic lo ngại Claude Mythos có thể gây ra thiệt hại, nên chưa dám phát hành công khai cho đến khi có các biện pháp kiểm soát những khả năng nguy hiểm nhất.

Theo Logan Graham - trưởng red team của Anthropic, Claude Mythos Preview có tính tự chủ cực cao và khả năng suy luận tinh vi, tương đương chuyên gia nghiên cứu bảo mật cấp cao.

Red team là nhóm chuyên kiểm thử độ an toàn của các mô hình AI tiên tiến.

Theo Anthropic, Claude Mythos Preview có thể tìm ra “hàng chục nghìn lỗ hổng” mà ngay cả những chuyên gia săn lỗi hàng đầu cũng khó phát hiện. Không giống các mô hình trước, Claude Mythos Preview còn có thể tự viết mã khai thác cho các lỗ hổng đó.

Opus 4.6, mô hình AI được Anthropic phát hành gần đây, chỉ phát hiện khoảng 500 lỗ hổng zero-day trong phần mềm mã nguồn mở, thấp hơn rất nhiều so với Mythos Preview.

Lỗ hổng zero-daylà lỗ hổng bảo mật trong phần mềm hoặc hệ thống mà nhà phát triển chưa biết đến hoặc chưa kịp vá lỗi.

Claude Mythos Preview phát hiện những lỗ hổng tồn tại hàng chục năm

Theo một bài blog của Anthropic, trong quá trình thử nghiệm, Claude Mythos Preview đã phát hiện lỗi trong “mọi hệ điều hành và trình duyệt web lớn”, gồm cả những lỗ hổng tồn tại hàng chục năm mà các cuộc kiểm tra bảo mật do con người thực hiện trước đó không phát hiện ra.

Trong 83,1% trường hợp, Claude Mythos Preview có thể tái tạo lỗ hổng và tạo ra bản thử nghiệm khai thác ngay từ lần đầu tiên. Nó cũng phát hiện nhiều lỗi trong nhân Linux, nền tảng của phần lớn máy chủ trên thế giới, và tự động kết hợp chúng lại để có thể chiếm quyền kiểm soát hoàn toàn hệ thống.

Trong một thử nghiệm khác, Claude Mythos Preview tìm ra một lỗ hổng tồn tại 27 năm trong OpenBSD, hệ điều hành mã nguồn mở nổi tiếng về bảo mật, cho phép hacker từ xa làm sập bất kỳ máy nào chạy hệ thống này.

Tuy nhiên theo Logan Graham, chỉ trong từ 6 đến 18 tháng, các công ty AI khác cũng có thể tung ra những mô hình với năng lực tương tự. Ông cho rằng ngành an ninh mạng cần chuẩn bị sớm cho kịch bản này.

Trang Axios đưa tin OpenAI và các hãng công nghệ lớn khác đang phát triển các mô hình tương tự. Dario Amodei (Giám đốc điều hành Anthropic) nhấn mạnh rằng cần có kế hoạch để ứng phó với làn sóng AI ngày càng mạnh mẽ.

Thay vì phát hành rộng rãi, Anthropic cung cấp cho hơn 40 tổ chức sử dụng Claude Mythos Preview nhằm rà soát và bảo vệ mã nguồn cũng như hệ thống của mình. Các công ty này sẽ dùng Claude Mythos Preview cho mục đích phòng thủ và Anthropic sẽ chia sẻ các kết quả thu được.

AI đã và đang hỗ trợ hacker trong các cuộc tấn công mạng. Theo Anthropic, hacker Trung Quốc từng sử dụng mô hình của công ty này để tự động hóa chiến dịch gián điệp nhắm vào 30 tổ chức. Tội phạm mạng cũng dùng AI để viết mã độc và tự động hóa việc đàm phán tiền chuộc trong các vụ tấn công ransomware.

Anthropic đã báo cáo về Claude Mythos Preview cho Cơ quan An ninh mạng và Hạ tầng Mỹ (CISA), Bộ Thương mại Mỹ và nhiều bên liên quan khác nhằm đánh giá rủi ro và lợi ích.

Một quan chức Anthropic cho biết đây là cơ hội để tăng cường năng lực phòng thủ mạng, vốn lâu nay thường yếu thế hơn so với tấn công. Tuy nhiên, người này không tiết lộ liệu Anthropic có báo cáo cho Bộ Quốc phòng Mỹ hay không. Gần đây, Anthropic kiện Bộ Quốc phòng Mỹ vì bị xem là rủi ro chuỗi cung ứng.

Dù Claude Mythos Preview gây chú ý vì các khả năng đáng lo ngại, Anthropic cho biết chưa từng có kế hoạch phát hành rộng rãi mô hình AI này. Trước đó, Claude Mythos chỉ được thử nghiệm nội bộ với một nhóm rất nhỏ. Phản hồi nhận được khiến công ty quyết định triển khai Claude Mythos Preview theo cách hạn chế như hiện nay.

Anthropic đang phát triển các biện pháp bảo vệ mới sẽ được áp dụng cho các mô hình Opus ít rủi ro hơn, nhằm từng bước hoàn thiện cách kiểm soát những hệ thống AI mạnh trong tương lai.

Sơn Vân

Nguồn Một Thế Giới : https://1thegioi.vn/claude-mythos-phat-hien-hang-chuc-nghin-lo-hong-bao-mat-anthropic-trien-khai-han-che-249890.html