Anthropic vừa cho Mozilla dùng thử mô hình AI mới nhất của họ, Mythos Preview, để quét mã nguồn Firefox 150 trước khi phát hành. Kết quả: 271 lỗ hổng bảo mật được phát hiện, chỉ bằng cách cho AI đọc code chưa ra mắt.
Con số này đáng chú ý hơn khi đặt cạnh một thử nghiệm trước đó. Tháng trước, mô hình Claude Opus 4.6 quét Firefox 148 và chỉ tìm được 22 lỗi tương tự. Cùng loại nhiệm vụ, cùng kiểu dữ liệu, nhưng kết quả chênh nhau hơn 12 lần.
CTO của Firefox, Bobby Holley, không giấu sự hào hứng. Ông nói rằng những lỗ hổng này trước đây muốn tìm ra được thì phải dùng kỹ thuật "fuzzing" tự động hoặc nhờ các chuyên gia bảo mật hàng đầu ngồi phân tích thủ công nhiều tháng trời. Mythos rút ngắn toàn bộ quá trình đó xuống còn rất ngắn và không cần tập trung nguồn lực con người theo cách cũ nữa.
Điều Holley nhấn mạnh là ý nghĩa về mặt cân bằng lực lượng. Trong thế giới an ninh mạng, bên tấn công và bên phòng thủ luôn chạy đua với nhau. Khi AI giúp phát hiện lỗ hổng rẻ hơn và nhanh hơn, người phòng thủ được lợi hơn, vì họ có thể vá lỗi trước khi kẻ tấn công kịp khai thác. "Máy tính hoàn toàn không thể làm điều này vài tháng trước. Bây giờ thì chúng làm rất tốt," ông viết.
Holley cũng nói thẳng với Wired rằng từ giờ trở đi, đây là thứ mà mọi phần mềm đều phải đối mặt, vì mọi phần mềm đều có vô số lỗi tiềm ẩn mà giờ đây đã có thể tìm ra được.
Điều đáng lo là lợi thế này chưa được chia đều. CTO khác của Mozilla, Raffi Krikorian, viết trên New York Times tuần trước rằng những người duy trì các dự án mã nguồn mở, phần lớn là tình nguyện viên âm thầm gánh cả hạ tầng Internet suốt nhiều thập kỷ, chưa có quyền truy cập Mythos. Trong khi đó, mã nguồn mở lại là thứ dễ bị AI khai thác nhất vì ai cũng đọc được.
AI không còn chỉ giúp viết code nhanh hơn. Nó đang thay đổi luật chơi trong bảo mật phần mềm, và câu hỏi bây giờ là ai được dùng nó trước. #ClaudeMythos
Con số này đáng chú ý hơn khi đặt cạnh một thử nghiệm trước đó. Tháng trước, mô hình Claude Opus 4.6 quét Firefox 148 và chỉ tìm được 22 lỗi tương tự. Cùng loại nhiệm vụ, cùng kiểu dữ liệu, nhưng kết quả chênh nhau hơn 12 lần.
CTO của Firefox, Bobby Holley, không giấu sự hào hứng. Ông nói rằng những lỗ hổng này trước đây muốn tìm ra được thì phải dùng kỹ thuật "fuzzing" tự động hoặc nhờ các chuyên gia bảo mật hàng đầu ngồi phân tích thủ công nhiều tháng trời. Mythos rút ngắn toàn bộ quá trình đó xuống còn rất ngắn và không cần tập trung nguồn lực con người theo cách cũ nữa.
Điều Holley nhấn mạnh là ý nghĩa về mặt cân bằng lực lượng. Trong thế giới an ninh mạng, bên tấn công và bên phòng thủ luôn chạy đua với nhau. Khi AI giúp phát hiện lỗ hổng rẻ hơn và nhanh hơn, người phòng thủ được lợi hơn, vì họ có thể vá lỗi trước khi kẻ tấn công kịp khai thác. "Máy tính hoàn toàn không thể làm điều này vài tháng trước. Bây giờ thì chúng làm rất tốt," ông viết.
Holley cũng nói thẳng với Wired rằng từ giờ trở đi, đây là thứ mà mọi phần mềm đều phải đối mặt, vì mọi phần mềm đều có vô số lỗi tiềm ẩn mà giờ đây đã có thể tìm ra được.
Điều đáng lo là lợi thế này chưa được chia đều. CTO khác của Mozilla, Raffi Krikorian, viết trên New York Times tuần trước rằng những người duy trì các dự án mã nguồn mở, phần lớn là tình nguyện viên âm thầm gánh cả hạ tầng Internet suốt nhiều thập kỷ, chưa có quyền truy cập Mythos. Trong khi đó, mã nguồn mở lại là thứ dễ bị AI khai thác nhất vì ai cũng đọc được.
AI không còn chỉ giúp viết code nhanh hơn. Nó đang thay đổi luật chơi trong bảo mật phần mềm, và câu hỏi bây giờ là ai được dùng nó trước. #ClaudeMythos
