Ngày 18 tháng 5, Anthropic đã thay đổi chính sách: trước đây, các đối tác sử dụng Mythos để phát hiện lỗ hổng chỉ được xử lý nội bộ; giờ đây họ có thể chia sẻ lẫn nhau, với cơ quan quản lý, truyền thông và thậm chí công khai.
Thay đổi này là một sự điều chỉnh quan trọng đối với logic của toàn bộ chương trình Mythos.
Chính sách trước đây là đóng kín
Mythos được ra mắt vào ngày 7 tháng 4—một mô hình AI được huấn luyện trên Claude chuyên phát hiện tấn công, có thể quét các phần mềm phổ biến để tìm ra lỗ hổng chưa được biết đến. Nó không được bán trực tiếp ra công chúng mà được phân phối thông qua Project Glasswing, một chương trình có kiểm soát với 40 công ty tham gia, bao gồm Amazon, Microsoft, Nvidia và Apple. Mục đích thiết kế là kiểm soát sự lan rộng—một AI có thể tìm ra lỗ hổng nếu bị lạm dụng sẽ trở thành công cụ tấn công.
Theo các điều khoản ban đầu, các đối tác chỉ được xử lý lỗ hổng nội bộ. Điều này tạo ra một tình huống khó xử:
Palo Alto Networks gần đây đã sử dụng Mythos để quét sản phẩm của mình, phát hiện 75 lỗ hổng trong một tháng—gấp 7 lần tốc độ bình thường.
Nếu Palo Alto không thể chia sẻ phát hiện, mức độ bảo mật của toàn ngành chỉ được nâng lên trong nội bộ Glasswing, khiến các công ty khác sử dụng cùng sản phẩm có lỗ hổng không hề biết về vấn đề.
Đã thay đổi, có thể chia sẻ với ai
Theo người phát ngôn của Anthropic trả lời Reuters:
"Chúng tôi hoàn toàn ủng hộ các đối tác chia sẻ phát hiện với nhau và với các công ty bên ngoài Glasswing để phân loại và xử lý lỗ hổng."
Các đối tác hiện có thể chia sẻ thông tin lỗ hổng do Mythos phát hiện với:
- Các thành viên khác trong Glasswing
- Các công ty bên ngoài Glasswing (các nhà cung cấp bị ảnh hưởng)
- Các tổ chức ngành
- Cơ quan quản lý và chính phủ
- Người bảo trì phần mềm mã nguồn mở
- Truyền thông
- Công chúng
Với điều kiện tuân thủ quy tắc tiết lộ có trách nhiệm—nghĩa là cho nhà cung cấp một khoảng thời gian sửa lỗi trước khi công bố.
Tại sao thay đổi ngay bây giờ
Đây không phải là sáng kiến của Anthropic mà do các đối tác yêu cầu. Các đối tác lo ngại rằng việc chỉ một mình biết về lỗ hổng sẽ khiến họ trở thành mục tiêu. Ví dụ, nếu Công ty A dùng Mythos phát hiện lỗ hổng zero-day trong một cơ sở dữ liệu phổ biến, theo quy tắc cũ, A chỉ có thể âm thầm vá hệ thống của mình. Nhưng kẻ tấn công có thể suy ra lỗ hổng từ bản vá, khiến tất cả các công ty khác sử dụng cùng cơ sở dữ liệu đó ngay lập tức bị lộ.
Do đó, nới lỏng chính sách này về bản chất là biến "thông tin phòng thủ" từ hàng hóa tư nhân trở lại thành hàng hóa công cộng—phù hợp với đồng thuận của cộng đồng an ninh về tiết lộ sớm, rộng rãi và phối hợp.
Còn một việc nữa: cơ quan quản lý cũng chủ động tìm đến
Theo báo cáo của PYMNTS và BusinessToday, một chi tiết khác là Anthropic đã đồng ý thuyết trình riêng cho Hội đồng Ổn định Tài chính (FSB) về khả năng và phát hiện của Mythos.
Bối cảnh là: sau khi Mythos ra mắt vào tháng 4-5, các thống đốc ngân hàng trung ương, Powell và Bessent đã lo ngại về công cụ này (đã được báo cáo trước đó), và các cơ quan quản lý tài chính châu Á và châu Âu cũng muốn thử nghiệm nhưng không thể. Giờ đây Anthropic đã chủ động mở một kênh giao tiếp.
Bước này có ý nghĩa gì
Nhìn lại dòng thời gian:
- 7 tháng 4: Mythos ra mắt, thử nghiệm kín
- Tháng 4-5: Các thành viên Glasswing lần lượt tiết lộ phát hiện, ngân hàng trung ương lo ngại
- 18 tháng 5: Chính sách đảo ngược, phát hiện có thể chia sẻ
Chỉ trong 40 ngày, Anthropic đã đi từ "kiểm soát chặt chẽ sự lan rộng" đến "khuyến khích chia sẻ"—điều quan trọng nhất là các đối tác đã chứng minh bằng dữ liệu thực tế rằng khả năng phát hiện tấn công của Mythos là vượt trội về mặt cấu trúc, không phải ngẫu nhiên.
Bước tiếp theo là xem liệu Glasswing có mở rộng thành viên hay không. Nếu Anthropic tăng quy mô từ 40 lên 100, 200 công ty, thì dự án này sẽ từ một "khu thí nghiệm trưng bày" trở thành "cơ sở hạ tầng ngành".
Một câu hỏi mà vài năm trước chưa ai nghĩ tới, nay đã được Mythos đặt lên bàn của mọi công ty lớn: Nếu đội ngũ bảo mật của bạn không dùng AI, mà đối thủ của bạn lại dùng, bạn sẽ làm gì?
Nguồn tham khảo: Anthropic to let partners share Mythos cybersecurity findings with others (Reuters via Investing.com / KFGO / CGTN); Anthropic Will Update Regulators on Mythos' Cyber Vulnerability Findings (PYMNTS); Anthropic's Mythos AI raises banking cyber risk concerns, FSB briefing planned (BusinessToday); CocoLoop; Anthropic's Mythos Feature Enhances Cyber Threat Sharing (DevDiscourse)