Anthropic ngày 26/5 (giờ địa phương) cho biết dự án Glasswing, được triển khai cùng 50 tổ chức và doanh nghiệp để sử dụng mô hình AI Mythos Preview trong phát hiện lỗ hổng phần mềm, đã ghi nhận hơn 10.000 lỗ hổng rủi ro cao và nghiêm trọng chỉ trong vòng một tháng.

Thông tin được công ty công bố trong báo cáo tổng kết kết quả dự án Glasswing và những vấn đề đặt ra đối với quy trình xử lý lỗ hổng hiện nay.

Theo Anthropic, trọng tâm của bảo mật phần mềm trước đây là phát hiện lỗ hổng mới nhanh như thế nào. Tuy nhiên, khi AI có thể tìm ra lỗ hổng ở quy mô lớn, bài toán lớn hơn hiện nay là xác minh, công bố và khắc phục chúng đủ nhanh.

Báo cáo cũng nêu kết quả mà các doanh nghiệp tham gia Glasswing đạt được khi sử dụng Mythos.

Cloudflare phát hiện 2.000 lỗi, trong đó 400 lỗi được xếp vào nhóm rủi ro cao hoặc nghiêm trọng. Công ty cho biết tỷ lệ cảnh báo sai thấp hơn so với kiểm thử thủ công. Mozilla cho biết đã phát hiện và khắc phục 271 lỗ hổng với Firefox 150 bằng Mythos, cao gấp 10 lần so với quá trình quét Firefox 148 bằng Claude Opus 4.6.

Microsoft dự báo số lượng bản vá mới sẽ tiếp tục tăng khi tận dụng các mô hình AI tiên tiến. Oracle cho biết đang đẩy nhanh đáng kể tốc độ phát hiện và khắc phục lỗi bảo mật trong môi trường sản phẩm và đám mây. Palo Alto Networks cũng cho biết bản phát hành mới nhất có số bản vá cao gấp hơn 5 lần bình thường.

Lee Klarich, Giám đốc công nghệ sản phẩm tại Palo Alto Networks, cho biết ban đầu ông hoài nghi liệu năng lực của mô hình có bị đánh giá quá cao hay không. Tuy nhiên, sau quá trình thử nghiệm, ông tin rằng khả năng phát hiện lỗ hổng của công nghệ này còn vượt kỳ vọng ban đầu.

Anthropic cho biết đã dùng Mythos để quét hơn 1.000 dự án mã nguồn mở đóng vai trò then chốt với hoạt động của Internet. Hệ thống phát hiện 23.019 lỗ hổng, trong đó 6.202 lỗ hổng được đánh giá thuộc nhóm rủi ro cao hoặc nghiêm trọng. Theo đánh giá của 6 tổ chức nghiên cứu bảo mật độc lập, 90,6% phát hiện là lỗ hổng có thật và 62,4% được xác nhận ở mức rủi ro cao hoặc nghiêm trọng.

Từ các kết quả này, Anthropic nhấn mạnh ngành bảo mật cần sớm xây dựng quy trình xử lý lỗ hổng do AI phát hiện ở quy mô lớn.

Hiện nay, thông lệ của ngành là công khai lỗ hổng trong vòng 90 ngày kể từ khi phát hiện. Tuy nhiên, Anthropic cảnh báo khoảng trễ kéo dài giữa các khâu phát hiện, tạo bản vá và triển khai bản vá đang làm nới rộng thời gian để tin tặc khai thác. Rủi ro này càng lớn hơn khi các mô hình như Mythos có thể rút ngắn mạnh thời gian và chi phí phát hiện lỗ hổng, đồng thời hỗ trợ tạo exploit.

Anthropic cũng cho biết đã phát hành bản beta công khai của Claude Security vào đầu tháng 5 dành cho người dùng Claude Enterprise. Công cụ này có khả năng quét lỗ hổng trong codebase và đề xuất phương án sửa lỗi. Công ty kỳ vọng trong tương lai gần có thể phổ biến rộng rãi hơn các mô hình quy mô lớn như Mythos, sau khi hoàn thiện các cơ chế an toàn mạnh hơn.