Nội dung bài viết
CTO cho biết mô hình AI mới “có khả năng ngang bằng” với các nhà nghiên cứu bảo mật giỏi nhất thế giới.
Đầu tháng này, Anthropic cho biết mô hình Mythos Preview của họ có khả năng tìm ra các lỗ hổng an ninh mạng rất tốt đến nỗi công ty đã giới hạn việc phát hành lần đầu cho “một nhóm hạn chế các đối tác quan trọng trong ngành”.
Kể từ đó, cuộc tranh luận đã nổ ra về việc liệu mô hình này có báo trước một kỷ nguyên hack được hỗ trợ bởi AI tăng tốc hay Anthropic chỉ đang tạo ra sự cường điệu cho một bước tương đối bình thường trên bậc thang nâng cao khả năng AI.
Mozilla đã thêm một số dữ liệu quan trọng vào cuộc tranh luận hôm thứ Ba, viết trong một bài đăng trên blog rằng quyền truy cập sớm vào Mythos Preview đã giúp hãng xác định trước 271 lỗ hổng bảo mật trong bản phát hành Firefox 150 tuần này.
Kết quả đủ quan trọng để khiến CTO của Firefox Bobby Holley say mê rằng, trong cuộc chiến không hồi kết giữa kẻ tấn công mạng và kẻ bảo vệ mạng, “những người bảo vệ cuối cùng cũng có cơ hội chiến thắng, một cách dứt khoát”.
Holley không đi sâu vào chi tiết về mức độ nghiêm trọng của hàng trăm lỗ hổng mà Mythos cho biết đã phát hiện chỉ bằng cách phân tích mã nguồn chưa được phát hành của phiên bản mới nhất của Firefox.
Nhưng bằng cách so sánh, ông lưu ý rằng chế độ Opus 4.6 của Anthropic Tôi chỉ tìm thấy 22 lỗi nhạy cảm về bảo mật khi phân tích Firefox 148 vào tháng trước.
Holley viết: Các lỗ hổng được Mythos xác định cũng có thể được phát hiện bằng kỹ thuật “làm mờ” tự động hoặc nhờ một “nhà nghiên cứu bảo mật ưu tú” tìm cách thông qua mã nguồn phức tạp của trình duyệt.
Nhưng việc sử dụng Mythos đã loại bỏ nhu cầu “tập trung nhiều tháng nỗ lực tốn kém của con người để tìm ra một lỗi duy nhất” trong nhiều trường hợp, Holley nói thêm.
Bằng cách xác định lỗi một cách hiệu quả, Holley viết rằng các công cụ AI như Mythos nghiêng sự cân bằng an ninh mạng về phía những người bảo vệ, những người được hưởng lợi khi phát hiện ra các lỗ hổng trở nên rẻ hơn cho cả hai bên.
Holley viết: “Cách đây vài tháng, máy tính hoàn toàn không có khả năng thực hiện việc này nhưng giờ đây chúng đã làm được điều đó rất xuất sắc.
“Chúng tôi có nhiều năm kinh nghiệm trong việc phân tích công việc của các nhà nghiên cứu bảo mật giỏi nhất thế giới và Mythos Preview hoàn toàn có khả năng.” Trong một cuộc phỏng vấn với Wired, Holley nói rằng, kể từ bây giờ, loại phân tích lỗ hổng được hỗ trợ bởi AI này là thứ mà “mọi phần mềm sẽ phải [tham gia], bởi vì mọi phần mềm đều có rất nhiều lỗi ẩn dưới bề mặt mà hiện có thể phát hiện được”.
Và mặc dù có khả năng các mô hình tương lai tiên tiến hơn Mythos có thể tìm ra các lỗi mà các mô hình hiện tại bỏ sót, Holley cho biết ông tự tin rằng “ít nhất là về phía Firefox, đã có một chút khởi đầu thuận lợi ở đây, rằng chúng tôi đã làm tròn được đường cong.” Việc vượt qua vòng bảo vệ được hỗ trợ bởi AI có thể đặc biệt quan trọng đối với các dự án nguồn mở làm nền tảng cho phần lớn Internet hiện đại.
Đó là bởi vì các cơ sở mã công khai của họ giúp các hệ thống AI dễ dàng khám phá các lỗ hổng bảo mật hơn và bởi vì nhiều dự án như vậy dựa vào sự bảo trì tình nguyện không đầy đủ để đảm bảo an ninh cho họ.
Trong một bài luận trên tờ New York Times tuần trước, CTO của Mozilla Raffi Krikorian lập luận rằng khó khăn của con người trong việc tìm ra lỗi và viết phần mềm phức tạp đã tạo ra một dạng cân bằng trong nghiên cứu mối đe dọa mạng mà Mythos có thể mở rộng.
Krikorian viết: "Lập trình viên đã dành 20 năm cuộc đời mình để duy trì mã [nguồn mở] chạy bên trong các sản phẩm được hàng tỷ người sử dụng? Anh ta vẫn chưa có quyền truy cập vào Mythos.
Anh ta nên làm như vậy". Ars Technica đã tách tín hiệu khỏi tiếng ồn trong hơn 25 năm.
Với sự kết hợp độc đáo giữa hiểu biết về kỹ thuật và sự quan tâm sâu rộng đến công nghệ nghệ thuật và khoa học theo thời gian, Ars là nguồn đáng tin cậy trong biển thông tin. Suy cho cùng, bạn không cần phải biết mọi thứ, chỉ cần biết những gì quan trọng.
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.