“Siêu hacker AI” khiến loạt ngân hàng Mỹ vội sửa lỗi bảo mật

Các ngân hàng Mỹ đang gấp rút khắc phục những điểm yếu hệ thống IT do Mythos, công cụ AI được mệnh danh “siêu hacker” của Anthropic, phát hiện.

Reuters hôm 12/5 dẫn nguồn tin thân cận cho biết, khi thử nghiệm Mythos, một số ngân hàng lớn của Mỹ nhận thấy mô hình này xuất sắc trong việc tìm kiếm lỗ hổng bảo mật trong cả mã nguồn mở lẫn độc quyền, đồng thời giỏi kết hợp các lỗ hổng rủi ro thấp thành lỗ hổng rủi ro cao.

Công cụ AI của Anthropic đã phát hiện hàng trăm đến hàng nghìn lỗ hổng bảo mật xếp hạng từ thấp đến trung bình, gây áp lực buộc nhiều ngân hàng nhanh chóng kiểm tra và nâng cấp phần mềm. Các ngân hàng lớn cũng đang hỗ trợ những ngân hàng nhỏ hơn vốn không có quyền truy cập trực tiếp vào công cụ này.

Sự việc gây xáo trộn không nhỏ vì ngân hàng phải tiến hành vá lỗi với tốc độ chưa từng thấy, đôi khi chỉ trong vài ngày với một lỗi mà trước đây cần vài tuần. Khối lượng công việc gia tăng có thể khiến ngân hàng phải dừng hoạt động thường xuyên hơn, dù họ sẽ tìm cách tối thiểu hóa sự gián đoạn.

Một quan chức quản lý ngân hàng cấp cao cho biết, Mythos mạnh đúng như dự đoán và cực kỳ thành thạo trong việc kết nối dữ kiện để làm nổi bật những lỗ hổng mà con người có thể mất nhiều thời gian hơn đáng kể mới nhận ra. Giới chuyên gia cảnh báo, những ngân hàng không có quyền truy cập công cụ này nên chủ động bảo vệ hệ thống.

Theo Bernard Montel, Giám đốc kỹ thuật kiêm chiến lược gia an ninh khu vực châu Âu - Trung Đông - châu Phi của công ty Tenable, các lĩnh vực khác cũng dễ tổn thương, nhưng công nghệ là xương sống của ngành ngân hàng, tức việc gián đoạn hệ thống sẽ ảnh hưởng đến hoạt động cốt lõi.

Anthropic từ chối bình luận về sự việc.

Minh họa về "hacker Mythos". Ảnh: HackerNoon

Trước đó, hồi đầu tháng 3, Jared Kaplan, nhà đồng sáng lập kiêm Giám đốc khoa học Anthropic, cùng một nhà đồng sáng lập khác là Sam McCandlish trình bày về Mythos với ban giám đốc. Cả hai cho biết AI này quá rủi ro nếu phát hành rộng rãi, nhưng có thể cho phép các công ty khác, thậm chí đối thủ cạnh tranh, dùng thử.

Đến 7/4, sau nhiều lần cân nhắc, Anthropic công bố AI mới với tên gọi “Mythos Preview”. Thay vì thương mại hóa, công ty chỉ cấp quyền truy cập cho 12 đối tác trong Dự án Glasswing - được mô tả là “nỗ lực nhằm bảo vệ những phần mềm quan trọng nhất thế giới” - và khoảng 40 tổ chức khác. Một số cái tên được cấp quyền gồm ngân hàng JPMorgan Chase, Amazon Web Services, Apple, Microsoft, Google, Nvidia, Broadcom, CrowdStrike, Mozilla.

Anthropic cho biết trong các thử nghiệm, Mythos có kỹ năng rất cao với tác vụ an ninh mạng và hack, thậm chí vượt con người. Trong phép đo CyberGym - bài kiểm tra khả năng tìm lỗ hổng bảo mật của tác nhân AI trong các dự án phần mềm mã nguồn mở thực tế, Mythos đạt điểm cao kỷ lục 83,1%. Để so sánh, công cụ GLM 5.1 của Zhipu AI đạt 68,7%, còn Moonshot AI đạt 41,3%.

Ciaran Martin, cựu lãnh đạo Trung tâm An ninh mạng quốc gia Anh, đánh giá việc Mythos có thể phát hiện lỗ hổng nghiêm trọng nhanh hơn nhiều so với những mô hình AI khác “thực sự gây chấn động”. Ông nói với BBC: "Ngay cả những thứ chúng ta biết tồn tại hay chưa tồn tại, Mythos vẫn phát hiện ra. Nó đơn giản là một siêu hacker".

Logo Anthropic hiển thị trên màn hình smartphone. Ảnh: Bảo Lâm

Mythos Preview cũng được nhận xét là đắt đỏ. Giống như các mô hình AI khác, công cụ này được định giá dựa trên số lượng token (đơn vị dữ liệu đầu vào cơ bản) phải tiêu thụ để phản hồi câu lệnh của người dùng. Chi phí của Mythos là 25 USD cho một triệu token đầu vào và 125 USD cho một triệu token đầu ra, cao gấp 5 lần Opus 4.7, mô hình AI hàng đầu phổ biến hơn của Anthropic.

Tuy nhiên, Anthropic cho biết sẽ cung cấp khoản tín dụng trị giá 100 triệu USD cho các đối tác Glasswing và khách hàng khác truy cập Mythos, cho rằng số tiền này đủ trả cho mức sử dụng lớn trong giai đoạn nghiên cứu thử nghiệm. Anthropic đưa ra một số khuyến nghị giúp các công ty củng cố hệ thống phòng thủ ngay cả khi không có quyền truy cập Mythos. Claude Security, một công cụ khác của công ty, cũng có khả năng quét lỗ hổng bảo mật và đang được phân bố rộng rãi hơn.

Theo Vnexpress