Mythos phát hiện 10.000 lỗ hổng nghiêm trọng trong một tháng, nhưng chỉ 75 lỗ được vá

10.000 so với 75.

Đó là hai con số nổi bật nhất trong báo cáo tháng đầu tiên của Project Glasswing do Anthropic công bố hôm thứ Sáu (22/5). Trong tháng qua, Claude Mythos Preview, làm việc cùng 50 tổ chức đối tác, đã phát hiện hơn 10.000 lỗ hổng phần mềm mức độ nghiêm trọng và cao—nhưng chỉ có 75 lỗ thực sự được vá.

Vấn đề cốt lõi không phải là 'phát hiện được bao nhiêu', mà là 'vá được bao nhiêu'.

Nhìn vào con số

Anthropic tự quét hơn 1.000 dự án mã nguồn mở bằng Mythos, xác định 23.019 lỗ hổng, trong đó 6.202 lỗ ở mức nghiêm trọng hoặc cao. Cloudflare cũng tự quét và phát hiện hơn 2.000 lỗ, bao gồm 400 lỗ nghiêm trọng. Mozilla đã vá 271 lỗ hổng trong một bản phát hành Firefox 150—gấp hơn 10 lần số lỗ được vá trong Firefox 148.

50 tổ chức đối tác bao gồm 12 cái tên quen thuộc ở nhóm đầu: AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan, Linux Foundation, Microsoft, Nvidia và Palo Alto Networks. Hơn 40 đối tác cấp hai khác cũng hỗ trợ hạ tầng quan trọng.

Cùng nhau, những con số này đại diện cho bề mặt tấn công thực tế được AI hiện đại quét một cách có hệ thống trong tháng qua.

  • Hơn 1.000 dự án mã nguồn mở được Anthropic quét
  • 23.019 tổng số lỗ hổng được tìm thấy trong mã nguồn mở
  • 6.202 trong số đó ở mức nghiêm trọng/cao
  • 2.000 lỗ hổng do Cloudflare tự phát hiện
  • 271 lỗ hổng được vá trong một bản phát hành Firefox 150
  • 530 lỗ hổng nghiêm trọng và cao được Anthropic báo cáo chính thức cho người bảo trì
  • 75 lỗ thực sự được vá

Nút thắt vá lỗi

Anthropic tự thừa nhận điều này. Bài đăng trên blog viết:

"Tiến bộ về bảo mật phần mềm trước đây bị giới hạn bởi tốc độ chúng ta có thể tìm ra lỗ hổng mới. Giờ đây, nó bị giới hạn bởi tốc độ chúng ta có thể xác minh, tiết lộ và vá lỗi."

Nói một cách đơn giản: trước đây chúng ta không thể tìm ra; bây giờ chúng ta không thể vá đủ nhanh.

Anthropic đã báo cáo chính thức 530 lỗ hổng nghiêm trọng và cao cho người bảo trì. Tính đến thời điểm báo cáo tháng đầu tiên, chỉ có 75 lỗ được vá và chỉ 65 lỗ có thông báo bảo mật công khai. Phễu thu hẹp ở mỗi giai đoạn: 530 → 75 → 65.

Khó xử hơn, một số người bảo trì đã yêu cầu Anthropic làm chậm tốc độ báo cáo—"đừng gửi quá nhiều cùng một lúc." Các dự án mã nguồn mở vừa và nhỏ thiếu nhân lực để xác minh, sửa, kiểm tra và hồi quy từng lỗ hổng.

Cuộc đua với thời gian

Phó chủ tịch Microsoft Igor Tsyganskiy đã đưa ra nhận xét thẳng thắn trong phát biểu của đối tác:

"Những gì từng mất nhiều tháng nay xảy ra trong vài phút."

Cửa sổ từ phát hiện lỗ hổng đến khai thác đã thu hẹp từ nhiều tháng xuống còn vài phút. Đó là lý do con số 75 khiến người ta rùng mình. Nếu khả năng như Mythos sớm rơi vào tay kẻ tấn công—điều gần như chắc chắn chỉ là vấn đề thời gian—thì dòng thời gian sẽ là:

  • Tìm lỗ hổng: vài phút, với quét tự động bằng AI
  • Viết mã khai thác: vài phút, với AI tạo mã proof-of-concept
  • Thông báo cho người bảo trì: vài ngày
  • Vá lỗ hổng: vài tuần, vài tháng, hoặc lâu hơn

CTO của Palo Alto Networks, Lee Klarich, nói thẳng:

"Mythos Preview là một kẻ thay đổi cuộc chơi."

Nhưng câu tiếp theo của ông đáng chú ý hơn: "Những kẻ tấn công sẽ sớm có thể tìm ra lỗ hổng nhanh hơn bao giờ hết."

Tiền được đầu tư vào đâu

Anthropic đã đầu tư vào Project Glasswing như sau:

  • 100 triệu USD: tín dụng sử dụng mô hình cho các tổ chức đối tác
  • 2,5 triệu USD: cho Alpha-Omega và OpenSSF (thông qua Linux Foundation)
  • 1,5 triệu USD: cho Apache Software Foundation

Thông điệp rõ ràng: sử dụng mô hình miễn phí, nhưng người bảo trì mã nguồn mở cần được tài trợ. 100 triệu USD nghe có vẻ lớn, nhưng chia cho 50 đối tác, mỗi bên nhận được 2 triệu USD—và khối lượng công việc xử lý các lỗ hổng được phát hiện vượt xa những gì phía mã nguồn mở có thể đảm đương.

Jim Zemlin từ Linux Foundation mô tả Project Glasswing cung cấp cho người bảo trì mã nguồn mở "một con đường đáng tin cậy"—con đường đã được vạch ra, nhưng họ vẫn phải tự chạy.

Ý nghĩa

Trong ngắn hạn, từ nửa cuối năm nay sang năm sau, số lượng bản vá từ các công ty lớn sẽ tiếp tục tăng. Microsoft đã nói "các gói vá sẽ tiếp tục lớn hơn." Oracle cũng đang tăng tốc phát hành bản vá, nhanh hơn nhiều lần so với trước đây. Firefox 150 đã vá 271 lỗ hổng; Firefox 151 có thể sẽ vá nhiều hơn.

Trong trung hạn, vấn đề 'kiệt sức của người bảo trì' trong hệ sinh thái mã nguồn mở sẽ được đẩy lên hàng đầu. Một gói npm do tình nguyện viên duy trì trước đây phát hành một bản vá mỗi năm, giờ có thể nhận được 30 báo cáo từ Mythos. Họ không thể vá tất cả. Quyết định vá cái nào trước, cái nào sau, và cái nào bỏ qua sẽ trở thành một vấn đề chính trị mới.

Trong dài hạn, Project Glasswing tiết lộ một sự thật sâu sắc hơn: AI đã cắt giảm chi phí phát hiện xuống mức tối thiểu, nhưng chi phí sửa chữa—chi phí kỹ thuật và tổ chức—sẽ không tự động giảm khi các mô hình cải thiện. Thập kỷ an ninh mạng tiếp theo sẽ không phải là về AI của ai có thể tìm ra nhiều lỗ hổng hơn, mà là về đội ngũ kỹ thuật của ai có thể chuyển nhiều lỗ hổng từ 'cần xử lý' thành 'đã sửa'.

10.000 so với 75. Tỷ lệ đó là câu hỏi thi cho giai đoạn tiếp theo.

Nguồn: Project Glasswing: An Initial Update (Anthropic Research); Anthropic finds over 10,000 software flaws in first month of Project Glasswing (Interesting Engineering); Anthropic's Glasswing — 10,000 Vulnerabilities Found in One Month, and the Patching Problem Has Never Been More Obvious (Security Affairs); CocoLoop