Claude Mythos: AI đột phá khả năng tấn công mạng doanh nghiệp

Viện An toàn AI Vương quốc Anh (AISI) vừa công bố báo cáo kiểm thử mẫu AI mới nhất từ Anthropic mang tên Claude Mythos Preview, đánh dấu một cột mốc quan trọng trong lĩnh vực an ninh mạng. Trong các môi trường giả lập, Claude Mythos đã trở thành mô hình AI đầu tiên thực hiện thành công chuỗi tấn công mạng từ đầu đến cuối đối với một hệ thống doanh nghiệp quy mô nhỏ và được bảo mật yếu.

Bước tiến nhảy vọt của Claude Mythos trong an ninh mạng

Chỉ cách đây hai năm, các mô hình AI tiên tiến nhất cũng chỉ dừng lại ở việc xử lý các tác vụ an ninh mạng ở cấp độ sơ khai. Tuy nhiên, Claude Mythos Preview đã thay đổi hoàn toàn cuộc chơi. Theo AISI, mô hình này có khả năng tự động xác định và khai thác các lỗ hổng bảo mật khi được cấp quyền truy cập mạng và hướng dẫn cụ thể. Những thao tác này, nếu do chuyên gia con người thực hiện, có thể tiêu tốn hàng ngày trời để hoàn thành.

Hiệu suất ấn tượng trong các bài kiểm tra Capture The Flag

Trong các thử thách Capture The Flag (CTF) – nơi AI phải tìm kiếm và khai thác lỗ hổng để giành quyền kiểm soát – Claude Mythos đạt kết quả đáng kinh ngạc. Với ngân sách tính toán 50 triệu token, mô hình này đạt tỷ lệ thành công 93% ở cấp độ thực hành và 73% ở cấp độ chuyên gia. Đây là con số đặc biệt đáng chú ý vì trước tháng 4 năm 2025, chưa có bất kỳ mô hình AI nào có thể giải quyết được các tác vụ ở cấp độ chuyên gia này.

Mô phỏng tấn công mạng thực tế: Thử thách The Last Ones

Khác với CTF chỉ kiểm tra kỹ năng đơn lẻ, AISI đã phát triển bài kiểm tra mang tên "The Last Ones" (TLO) để đo lường khả năng thực hiện chuỗi tấn công phức tạp. Đây là kịch bản tấn công 32 bước, từ khâu trinh sát ban đầu cho đến khi chiếm quyền điều khiển toàn bộ mạng lưới doanh nghiệp. Claude Mythos là mô hình đầu tiên hoàn thành toàn bộ chuỗi này với tỷ lệ thành công 3 trên 10 lần thử nghiệm.

Giới hạn của AI trong môi trường thực tế

Dù gây ấn tượng mạnh, Claude Mythos vẫn bộc lộ những hạn chế rõ rệt. Trong các mô phỏng tấn công vào hệ thống điều khiển công nghiệp (OT) như nhà máy hay nhà máy điện, mô hình này đã thất bại. Tuy nhiên, cần lưu ý rằng nó chưa thực sự chạm tới các thành phần OT vì đã bị "khựng" lại ngay ở giai đoạn tấn công mạng IT thông thường. Ngoài ra, các môi trường kiểm thử của AISI hiện tại chưa có sự hiện diện của các hệ thống phòng thủ chủ động hay đội ngũ ứng cứu sự cố thực tế.

Tại sao bảo mật cơ bản lại quan trọng hơn bao giờ hết?

Kết quả từ AISI là lời cảnh tỉnh cho các doanh nghiệp về tầm quan trọng của "vệ sinh an ninh mạng" cơ bản. Việc duy trì các bản vá lỗi thường xuyên, kiểm soát truy cập chặt chẽ và cấu hình hệ thống an toàn không còn là lựa chọn, mà là yêu cầu bắt buộc để chống lại các mối đe dọa từ AI. Khi các mô hình như Claude Mythos trở nên thông minh hơn, khả năng bị tấn công tự động sẽ không còn là giả thuyết mà là rủi ro hiện hữu.

Điều này có nghĩa gì với bạn?

Đối với các doanh nghiệp, sự xuất hiện của Claude Mythos cho thấy ranh giới giữa an toàn và nguy hiểm đang dần bị xóa nhòa. Bạn cần hiểu rằng AI không chỉ là công cụ hỗ trợ mà còn là vũ khí tấn công tiềm năng. Việc đầu tư vào các giải pháp giám sát, phát hiện xâm nhập và xây dựng quy trình ứng phó với AI là ưu tiên hàng đầu. Anthropic hiện chỉ cung cấp Mythos cho khoảng 50 doanh nghiệp chọn lọc, nhưng xu hướng này cho thấy công nghệ tấn công tự động sẽ sớm trở nên phổ biến hơn trong tương lai gần.