Tốc độ phát hiện lỗ hổng bảo mật của trí tuệ nhân tạo đã vượt xa tốc độ vá lỗi.

Vào ngày 27 tháng 3, một lỗ hổng bảo mật trong bộ nhớ cache dữ liệu tại Anthropic đã làm lộ khoảng 3000 tập tin nội bộ. Một bản nháp bài đăng trên blog đã tiết lộ mô hình mới sắp ra mắt, Mythos, mà Anthropic tự đánh giá là "vượt xa bất kỳ mô hình AI nào về khả năng an ninh mạng". Cùng ngày, cổ phiếu của CrowdStrike và Okta đều giảm 7%, trong khi Palo Alto Networks giảm 6%.

Sự hoảng loạn trên thị trường không phải vì một mô hình mạnh mẽ hơn đã xuất hiện. Đó là vì người tạo ra mô hình này đã tuyên bố rằng sự tiến bộ của nó ở khía cạnh tấn công đã vượt xa tốc độ mà khía cạnh phòng thủ có thể theo kịp.

Sự thống trị của AI trong an ninh mạng

Theo kết quả kiểm tra của CAIBench, một tổ chức đánh giá học thuật, trong bài kiểm tra Cybench mô phỏng môi trường tấn công-phòng thủ thực tế, Claude Sonnet đã đạt tỷ lệ thành công 46%. GPT-5, đứng thứ hai với 28%, Gemini 2.5 Pro của Google chỉ đạt 18%, và mô hình mã nguồn mở qwen3-32B thậm chí còn tụt xuống thấp hơn nữa, chỉ còn 10%.

Mặc dù tỷ lệ 46% có vẻ không cao, nhưng đây là tỷ lệ thành công của các nhiệm vụ tấn công thâm nhập phức tạp, bao gồm các bước như phát hiện lỗ hổng, xây dựng chuỗi khai thác và leo thang đặc quyền. Trong một bài kiểm tra cơ bản hơn, tỷ lệ thành công của Claude đã đạt 75%, gần đạt mức tối đa.

Sự khác biệt không nằm ở việc ai giỏi hơn một chút mà là ở mức độ. Khả năng tấn công-phòng thủ phức tạp của Claude gấp 1,6 lần so với GPT-5 và gấp 2,5 lần so với Gemini. Trong khía cạnh an ninh mạng này, sự phân bổ năng lực giữa các mô hình không phải là một bậc thang mà là một khoảng cách.

Tăng gấp đôi trong 6 tháng

Điều đáng phân tích hơn không phải là khoảng cách theo chiều ngang mà là tốc độ theo chiều dọc.

Theo số liệu chính thức của Anthropic, Sonnet 3.7, được phát hành vào tháng 2 năm 2025, đạt tỷ lệ thành công 35,9% trên Cybench (10 lần thử). Trong nửa cuối năm đó, Sonnet 4.5 đạt mức 76,5%. Kết luận của nhóm nghiên cứu Anthropic là: trong vòng 6 tháng, tỷ lệ thành công đã tăng gấp đôi.

Tốc độ này có nghĩa là gì? Trong một ví dụ so sánh thực tế: Claude Opus 4.6 đã được sử dụng để kiểm tra mã nguồn Firefox vào tháng 3 năm nay. Theo InfoQ, 22 lỗ hổng bảo mật đã được phát hiện trong vòng hai tuần, trong đó có 14 lỗ hổng ở mức độ rủi ro cao. Những lỗ hổng này đã không được phát hiện mặc dù đã trải qua nhiều năm kiểm tra thủ công và hàng triệu giờ thử nghiệm lỗi CPU. Trước đó, nhóm bảo mật của Anthropic đã tiết lộ rằng Claude đã phát hiện ra hơn 500 lỗ hổng bảo mật có rủi ro cao trong nhiều dự án mã nguồn mở cấp độ sản xuất, một số trong đó đã tồn tại hàng thập kỷ.

Và thời gian tiêu chuẩn trong ngành cho việc kiểm thử xâm nhập truyền thống là từ 2 đến 3 tuần, và đó chỉ là cho một ứng dụng duy nhất. Theo Báo cáo Điều tra Vi phạm Dữ liệu năm 2025 của Verizon, thời gian trung bình từ khi lỗ hổng nghiêm trọng được công khai đến khi bị tin tặc khai thác hàng loạt là 5 ngày, và thời gian trung bình để vá lỗi là từ 32 đến 38 ngày.

Tốc độ phát hiện lỗ hổng bảo mật của trí tuệ nhân tạo đang tăng theo cấp số nhân, trong khi tốc độ vá lỗi của con người lại tăng tuyến tính. Sự khác biệt về thời gian chính là cửa sổ tấn công.

Trong bản dự thảo Mythos bị rò rỉ, Anthropic viết rằng mô hình này "báo hiệu một làn sóng các mô hình sắp tới có thể khai thác các lỗ hổng theo cách vượt xa nỗ lực của người phòng thủ." Dựa trên đường cong năng lực đã được công bố rộng rãi, điều này không phải là phóng đại.

Phát hành càng nhanh, cảnh báo càng khẩn cấp.

Nếu bạn đặt các hành động của Anthropic trong ba năm qua lên một dòng thời gian, bạn sẽ thấy một mô hình rõ ràng: mỗi khi một mô hình mạnh mẽ hơn được phát hành, nó nhanh chóng được theo sau bởi một phản ứng bảo mật ở cấp độ cao hơn.

Vào tháng 7 năm 2023, Nhà Trắng đã ký một cam kết tự nguyện, tiếp theo đó là việc ban hành Chính sách Mở rộng Có trách nhiệm (RSP v1.0) đầu tiên vào tháng 9 cùng năm. Vào tháng 10 năm 2024, hệ thống RSP được nâng cấp lên phiên bản 2.0, bổ sung thêm ngưỡng cho khả năng vũ khí sinh hóa. Vào tháng 11 năm 2025, Anthropic đã công bố sự cố GTG-1002. Một nhóm tội phạm mạng được Trung Quốc hậu thuẫn đã khai thác khoảng 30 tổ chức bằng cách sử dụng Mã Claude, trong đó trí tuệ nhân tạo (AI) tự động thực hiện từ 80% đến 90% các hoạt động chiến thuật trong suốt chiến dịch. Đây là chiến dịch gián điệp liên tổ chức quy mô lớn đầu tiên được ghi nhận có sự tham gia của trí tuệ nhân tạo.

Vào tháng 2 năm 2026, RSP đã được cập nhật lên phiên bản v3.0, đồng thời phát hành Claude Code Security. Cũng trong tháng đó, Lầu Năm Góc đã gắn nhãn Anthropic là "rủi ro chuỗi cung ứng" vì Anthropic từ chối dỡ bỏ các điều khoản trong hợp đồng cấm giám sát quy mô lớn và vũ khí tự động hoàn toàn. Một tháng sau, thông tin rò rỉ về Mythos cho thấy Anthropic đã thừa nhận trong bản dự thảo rằng mô hình này tiềm ẩn "những rủi ro an ninh mạng chưa từng có".

Tốc độ phát hành các tính năng mới đang tăng nhanh. Khoảng cách giữa Claude 1 và Claude 3 là một năm, và giữa Opus 4.5 và Opus 4.6 là chưa đến ba tháng. Các biện pháp ứng phó an ninh cũng đang được đẩy nhanh, nhưng chúng luôn mang tính phản ứng: các lỗ hổng bảo mật bị khai thác trước, và các bản vá lỗi chính sách được đưa ra sau. Sự sụt giảm đồng loạt của cổ phiếu các công ty an ninh mạng vào ngày 27 tháng 3 chính là sự phản ánh của chênh lệch thời gian này.

Một cuộc khảo sát của Dark Reading hồi đầu năm nay cho thấy 48% chuyên gia an ninh mạng xác định các tác nhân hỗ trợ bởi trí tuệ nhân tạo (AI) là phương thức tấn công hàng đầu trong năm 2026. Hai năm trước, lựa chọn này hầu như không được ưu tiên.

Chiến lược phát hành Mythos của Anthropic bao gồm việc cung cấp quyền truy cập sớm cho các tổ chức phòng thủ, "mang lại cho họ lợi thế người tiên phong". Chính tuyên bố này đã thừa nhận sự bất đối xứng giữa tấn công và phòng thủ. Nếu bên phòng thủ không cần lợi thế tấn công trước, điều đó có nghĩa là bên tấn công vẫn chưa đến sát cửa nhà.