Claude Mythos Preview vừa tìm ra hơn 10.000 lỗ hổng bảo mật critical và high severity chỉ trong tháng đầu tiên. Cloudflare phát hiện 2.000 bug, Mozilla tìm 271 lỗ hổng trong Firefox 150. Tỷ lệ false positive thấp hơn cả con người. An ninh mạng sẽ không bao giờ như xưa.
Tháng 5/2026, Anthropic tung ra bản cập nhật Project Glasswing và con số thì thực sự khiến mình bất ngờ. Claude Mythos Preview — model bảo mật chuyên dụng mà Anthropic chỉ phân phối cho khoảng 50 đối tác — đã tìm ra hơn 10.000 lỗ hổng bảo mật có mức độ nghiêm trọng từ high đến critical chỉ trong vòng một tháng.
Mình theo dõi Anthropic từ lâu, từ thời Claude 2 còn rất thô. Nhưng lần này khác hẳn. Đây không phải một bài benchmark sáo rỗng trên paper học thuật. Đây là lỗ hổng thật, phần mềm thật, và tác động thật.
Claude Mythos Preview có gì đặc biệt?
Mythos Preview là model AI được Anthropic thiết kế riêng cho an ninh mạng. Không giống Claude Sonnet hay Opus mà ai cũng dùng được — Mythos chỉ có khoảng 50 đối tác được chọn lọc, bao gồm Cloudflare, Mozilla, và các tổ chức hạ tầng quan trọng.
Điểm mấu chốt: model này không chỉ tìm lỗ hổng, nó còn tự viết exploit để chứng minh lỗ hổng đó có thể bị tấn công. Khác với scanner truyền thống chỉ báo “có thể bị lỗi ở đây”, Mythos mô phỏng cuộc tấn công thực tế từ đầu đến cuối.
Và kết quả thì vượt xa mọi kỳ vọng.
Những con số biết nói
Mình tổng hợp từ báo cáo chính thức của Anthropic và các đối tác:
- Cloudflare: 2.000 bug tìm ra, trong đó 400 bug mức critical và high. Tỷ lệ false positive thấp hơn cả tester con người.
- Mozilla: 271 lỗ hổng trong Firefox 150 — gấp 10 lần so với Firefox 148 khi dùng Claude Opus 4.6. Mười lần, không phải mười phần trăm.
- Open-source: Mythos quét hơn 1.000 dự án open-source, phát hiện 6.202 lỗ hổng high/critical. Sau khi 6 công ty bảo mật độc lập kiểm tra, tỷ lệ true positive đạt 90.6%.
- UK AI Security Institute: Mythos là model đầu tiên giải hoàn thành cả hai cyber range (mô phỏng tấn công đa bước) của họ.
- XBOW: Mô tả Mythos là “significant step up over all existing models” với “absolutely unprecedented precision”.
Một ví dụ cụ thể rất đáng chú ý: Mythos tìm ra lỗ hổng trong wolfSSL — thư viện mã hóa open-source dùng bởi hàng tỷ thiết bị trên toàn thế giới. Lỗ hổng này cho phép kẻ tấn công tạo certificate giả, có thể dùng để host trang web ngân hàng giả mạo mà trình duyệt không phát hiện được (CVE-2026-5194). Đã được vá, nhưng nếu rơi vào tay hacker trước thì hậu quả không thể lường.
Thắt cổ chai không còn là tìm bug — mà là vá bug
Đây là phần mình thấy thú vị nhất trong toàn bộ báo cáo. Anthropic nói thẳng: giới hạn không còn nằm ở việc tìm lỗ hổng nữa. Giới hạn nằm ở việc con người kịp xác minh, báo cáo, và vá.
Hiện tại, một lỗ hổng high/critical phát hiện bởi Mythos mất trung bình 2 tuần để vá. Một số maintainer open-source đã xin Anthropic chậm lại tốc độ báo cáo vì họ không theo kịp. Palo Alto Networks phát hành gấp 5 lần số patch so với bình thường. Microsoft dự báo số lượng patch sẽ “tiếp tục tăng trong thời gian tới”.
Hãy nghĩ về điều này: AI tìm bug nhanh hơn khả năng con người sửa bug. Đây là một chuyển dịch cơ bản trong an ninh mạng.
Anthropic cũng tung công cụ phòng thủ
Không chỉ tấn công, Anthropic cũng ra mắt Claude Security ở bản beta công khai cho khách hàng Enterprise. Trong 3 tuần, Claude Opus 4.7 đã được dùng để vá hơn 2.100 lỗ hổng.
Cách tiếp cận song song này — vừa tạo công cụ tấn công (tìm bug) vừa tạo công cụ phòng thủ (vá bug) — là chiến lược mà mình đánh giá rất cao. Thay vì chỉ tung model ra và để mọi người tự lo, Anthropic đang cố gắng xây hệ sinh thái bảo mật hoàn chỉnh.
Tại sao điều này quan trọng với người dùng bình thường?
Bạn có thể nghĩ “mình không phải developer, chuyện này liên quan gì đến mình?” Thực ra liên quan trực tiếp:
- Trang web bạn dùng hàng ngày (ngân hàng, email, mạng xã hội) chạy trên open-source software. Nếu có lỗ hổng trong đó, dữ liệu của bạn có thể bị lộ.
- Tốc độ vá patch ảnh hưởng đến an toàn dữ liệu cá nhân của bạn. AI tìm bug nhanh gấp 10 lần → cần patch cũng nhanh gấp 10 lần.
- An ninh mạng AI là mảng sẽ tạo ra rất nhiều việc làm trong 2-3 năm tới. Nếu bạn đang tìm hướng đi trong ngành tech, đây là mảnh đất màu mỡ.
Mình đánh giá thế nào?
Mình test và theo dõi đủ thứ AI tool, nhưng Project Glasswing là một trong số ít trường hợp mà mình thấy AI thực sự tạo ra tác động measurable trên thế giới thực. Không phải “AI có thể viết email tốt hơn” — mà là “AI tìm ra lỗ hổng mà hàng ngàn chuyên gia bảo mật đã bỏ sót trong nhiều năm”.
Tất nhiên, có mặt trái. Nếu Anthropic có model như Mythos, thì sớm muộn gì các tổ chức khác cũng sẽ có model tương tự. Và không phải ai cũng dùng nó để vá bug. Anthropic nhận thức rõ điều này — đó là lý do họ giữ Mythos ở chế độ kiểm soát nghiêm ngặt và chỉ mở rộng từ từ.
Nhưng cuộc đua đã bắt đầu. Ai tìm ra lỗ hổng trước — người phòng thủ hay kẻ tấn công — sẽ quyết định an toàn của toàn bộ hệ sinh thái kỹ thuật số trong những năm tới.
Một điều nữa: Anthropic cũng đề cập rõ rằng model có khả năng tương đương Mythos sẽ sớm có sẵn rộng rãi hơn. Nghĩa là cửa sổ thời gian mà chỉ phe phòng thủ mới có công cụ này đang khép lại. Nếu bạn quản lý hạ tầng IT hoặc phát triển phần mềm, mình khuyên nên bắt đầu dùng các công cụ quét bảo mật AI ngay bây giờ — đừng đợi đến khi kẻ tấn công chạy trước.
