Cloudflare ngày 22/5/2026 công bố kết quả thử nghiệm Mithos Preview của Anthropic trên hạ tầng thực tế, đồng thời cảnh báo mô hình này có thể trở thành công cụ mạnh cho cả phòng thủ lẫn tấn công an ninh mạng.

Theo Cloudflare, công ty là một trong số ít đơn vị tham gia Project Glasswing, chương trình Anthropic chỉ mở quyền truy cập Mithos cho một nhóm doanh nghiệp và tổ chức được lựa chọn. Cloudflare đã đưa mô hình vào hơn 50 kho lưu trữ nội bộ để đánh giá và công bố chi tiết phát hiện cũng như các hạn chế trên website của mình.

Cloudflare cho biết Anthropic giới hạn việc cung cấp Mithos thông qua Project Glasswing do lo ngại mô hình này quá hiệu quả trong việc phát hiện lỗ hổng phần mềm, từ đó có thể bị lạm dụng cho các cuộc tấn công mạng.

Đánh giá về Mithos, Cloudflare mô tả đây là “một công cụ ở đẳng cấp khác”, không đơn thuần là bản nâng cấp của các mô hình AI đa dụng tiên tiến trước đó.

Điểm nổi bật đầu tiên, theo Cloudflare, là khả năng xâu chuỗi các bước tấn công. Trong thực tế, nhiều cuộc tấn công không dựa vào một lỗ hổng đơn lẻ mà kết hợp nhiều điểm yếu nhỏ để tạo thành kịch bản khai thác khả thi. Mithos được cho là có thể phối hợp các yếu tố này và tạo ra mã chứng minh khai thác.

Cloudflare nhận định lối suy luận của Mithos gần với cách làm việc của một nhà nghiên cứu bảo mật giàu kinh nghiệm hơn là một công cụ quét tự động.

Năng lực thứ hai là tạo mã chứng minh khai thác. Cloudflare nhấn mạnh việc phát hiện lỗ hổng và chứng minh khả năng khai thác là hai bước hoàn toàn khác nhau.

Theo mô tả của công ty, khi phát hiện lỗi trong mã nguồn, Mithos có thể tự viết và chạy mã kiểm thử để xác thực lỗ hổng có khai thác được hay không. Nếu xác thực thành công, mô hình sẽ coi đó là một mối đe dọa thực tế; nếu chưa, nó sẽ đổi cách tiếp cận và tiếp tục thử lại.

Cloudflare cũng cho biết trong cùng môi trường thử nghiệm, các mô hình AI tiên tiến khác vẫn phát hiện được nhiều lỗi, nhưng thường dừng ở mức nhận diện và mô tả từng lỗ hổng riêng lẻ.

Khác biệt của Mithos, theo công ty, nằm ở khả năng kết nối các lỗ hổng vốn có mức độ nghiêm trọng thấp khi đứng riêng rẽ để tạo thành một kịch bản khai thác nghiêm trọng hơn.

Dù vậy, Cloudflare cho biết Mithos đôi khi từ chối một số yêu cầu phân tích lỗ hổng ngay cả khi mục tiêu là phòng thủ. Với cùng một tác vụ, chỉ cần thay đổi cách diễn đạt, kết quả trả về có thể hoàn toàn khác.

Cloudflare cảnh báo rằng khi AI ngày càng rút ngắn thời gian tìm lỗ hổng, nhiều đội ngũ bảo mật đang đặt mục tiêu vá lỗi trong vòng hai giờ kể từ khi lỗ hổng được công bố. Tuy nhiên, công ty cho rằng nếu chỉ tập trung vào tốc độ, cách tiếp cận này có thể gây phản tác dụng.

Theo Cloudflare, việc bỏ qua kiểm thử hồi quy có thể dẫn tới những vấn đề còn nghiêm trọng hơn lỗ hổng ban đầu. Công ty nhấn mạnh yếu tố quan trọng hơn tốc độ vá lỗi là xây dựng kiến trúc khiến kẻ tấn công khó khai thác, ngay cả khi hệ thống vẫn còn tồn tại lỗi.