Startup an ninh mạng Depthfirst tuyên bố mô hình trí tuệ nhân tạo của hãng phát hiện được nhiều lỗ hổng mà Mythos của Anthropic bỏ sót, trong khi chi phí xử lý chỉ bằng khoảng 1/10.

Theo Forbes, hồi tháng 3, Depthfirst đã huy động được 80 triệu USD, đưa mức định giá công ty lên 580 triệu USD.

CEO Qasim Mitani cho biết Depthfirst tối ưu mô hình cho một tác vụ duy nhất. Theo ông, nhờ cách tiếp cận này, công ty có thể thực hiện cùng một công việc với chi phí khoảng 1.000 USD, trong khi Mythos ở mức 10.000 USD.

Depthfirst cũng công bố sáng kiến “Open Defense Initiative”, cung cấp tổng cộng 5 triệu USD tín dụng cho doanh nghiệp và các nhà phát triển mã nguồn mở nhằm hỗ trợ tìm lỗ hổng trong mã nguồn bằng AI của hãng.

Chương trình này có điểm tương đồng với cách Anthropic cung cấp quyền truy cập giới hạn vào Mythos cho khoảng 50 doanh nghiệp. Tuy nhiên, Depthfirst cho biết sẽ không giới hạn hay tuyển chọn trước đối tượng tham gia.

Dù vậy, trong giai đoạn đầu, chương trình sẽ ưu tiên các nhà phát triển mã nguồn mở phục vụ hạ tầng cốt lõi.

Mitani cho rằng việc hạn chế quyền tiếp cận công nghệ “không phải cách tiếp cận đúng”. Ông đồng thời nói thêm rằng “nếu kẻ tấn công sử dụng mô hình này, họ cũng có thể đạt được kết quả tương tự chúng tôi”.

Trong số các lỗ hổng được phát hiện có một lỗ hổng trên máy chủ web NGINX, nền tảng hiện được sử dụng rộng rãi và đang phục vụ khoảng hai phần ba số website có lượng truy cập cao trên Internet.

Mitani cho biết lỗ hổng này đã tồn tại từ năm 2008 và có thể bị khai thác trong thời gian dài. F5 Networks, đơn vị sở hữu NGINX, cho biết sẽ phát hành bản vá.

Mô hình của Depthfirst cũng phát hiện một lỗ hổng nghiêm trọng trên Linux có thể cho phép tin tặc thực thi mã từ xa. Theo Forbes, lỗ hổng này hiện vẫn chưa được vá.

Ngoài ra, Depthfirst còn phát hiện lỗ hổng trên trình duyệt Google Chrome. Google cho biết đã xác nhận và phát hành bản vá cho cả hai lỗ hổng.

Với FFmpeg, phần mềm mã nguồn mở dùng để xử lý video và âm thanh, Depthfirst cho biết đã phát hiện thêm 12 lỗ hổng mới mà Mythos không tìm ra.

Forbes nhận định rằng khi các cuộc tấn công tận dụng AI gia tăng, tầm quan trọng của chiến lược phòng thủ dựa trên AI cũng ngày càng được nhấn mạnh. Dù vậy, không phải tất cả đều đồng tình rằng AI sẽ cải thiện đáng kể an ninh Internet.

Jean-Baptiste Kempf, quản trị viên của FFmpeg, cho rằng “không cần AI vẫn có thể dễ dàng tìm ra lỗ hổng”, đồng thời nhận xét rằng “tìm ra lỗ hổng thì dễ, sửa cho đúng mới khó”.