Claude Mythos Preview là mô hình AI nội bộ được Anthropic phát triển trong khuôn khổ Project Glasswing, được đánh giá là một trong những công cụ mạnh nhất hiện nay trong lĩnh vực an ninh mạng. Hệ thống này có khả năng tự động phát hiện lỗ hổng zero-day, phân tích lỗi phần mềm và xây dựng chuỗi khai thác phức tạp.

Theo báo cáo, công cụ này không được phát hành công khai mà chỉ giới hạn cho khoảng hơn 40 doanh nghiệp công nghệ lớn, bao gồm Apple, Microsoft, Google, Amazon và một số tập đoàn an ninh mạng.

Công cụ này không được phát hành công khai mà chỉ giới hạn quyền truy cập cho một nhóm nhỏ đối tác và tổ chức công nghệ nhằm phục vụ mục đích kiểm thử và nghiên cứu bảo mật.

Theo Bloomberg, một sự cố an ninh đáng chú ý vừa được ghi nhận liên quan đến công cụ AI bảo mật của Anthropic, khi một nhóm người dùng không được cấp quyền đã truy cập trái phép vào hệ thống Claude Mythos Preview thông qua môi trường của bên thứ ba.

Anthropic cho biết: "Chúng tôi đang điều tra một báo cáo cho rằng có sự truy cập trái phép Claude Mythos Preview thông qua một môi trường của nhà cung cấp bên thứ ba".

Không "hack hệ thống", mà là lạm dụng quyền hợp lệ

Các nguồn tin cho biết nhóm truy cập không sử dụng kỹ thuật tấn công phức tạp như khai thác lỗ hổng zero-day hay phá vỡ tường lửa. Thay vào đó, họ đã tận dụng quyền truy cập hợp lệ từ phía đối tác - có thể thông qua tài khoản, API key hoặc môi trường thử nghiệm được cấp quyền nhưng kiểm soát chưa chặt chẽ.

Trong các hệ thống công nghệ lớn, đối tác thường được cấp quyền để tích hợp hoặc kiểm thử sản phẩm. Tuy nhiên, những môi trường này thường không có mức độ giám sát và kiểm soát nghiêm ngặt. Điều này tạo ra một "điểm mù" bảo mật, nơi các truy cập bất thường có thể không bị phát hiện ngay lập tức.

Các chuyên gia nhận định rằng điều đáng lo ngại không phải là một "siêu AI bị hack", mà là cách các hệ thống phức tạp phụ thuộc vào mạng lưới đối tác và hạ tầng cloud ngày càng rộng. Mỗi kết nối, mỗi API và mỗi tài khoản được cấp quyền đều có thể trở thành một điểm xâm nhập nếu không được kiểm soát đúng mức.

Anthropic cho biết đang tiến hành điều tra và hiện chưa ghi nhận dấu hiệu cho thấy sự cố ảnh hưởng đến hệ thống lõi. Theo các nguồn tin quốc tế, việc một nhóm không được cấp quyền có thể tiếp cận mô hình AI như Mythos - vốn được thiết kế để phục vụ nghiên cứu an ninh - làm dấy lên lo ngại về khả năng bị lạm dụng trong tương lai.

Nếu những công cụ như vậy rơi vào tay sai đối tượng, chúng có thể được dùng để tăng tốc việc phát hiện và khai thác lỗ hổng trên quy mô lớn, từ hệ thống doanh nghiệp đến hạ tầng tài chính. Chính vì vậy, dù Anthropic khẳng định chưa có dấu hiệu hệ thống lõi bị xâm nhập, vụ việc vẫn khiến các tổ chức và cơ quan quản lý phải theo dõi sát sao, phản ánh mối lo ngày càng rõ về an ninh trong kỷ nguyên AI.

Thúy Hằng (theo Cyber Security News)