Nội dung bài viết
StrictlyVC đầu tiên của năm 2026 sẽ ra mắt SF vào ngày 30 tháng 4. Vé đang bán rất nhanh.
Đăng ký ngay bây giờ. Mua một thẻ Disrupt và nhận thẻ thứ hai với mức giảm giá 50%.
Kết thúc vào ngày 8 tháng 5. Đăng ký ngay.
Khi Anthropic công bố mẫu Mythos mới vào tháng 4, nó cũng đưa ra lời cảnh báo nghiêm khắc cho bất kỳ ai đang phát triển phần mềm.
Phòng thí nghiệm tuyên bố rằng mô hình này có khả năng phát hiện các lỗ hổng phần mềm rất hiệu quả đến mức nó đã phát hiện ra hàng nghìn lỗi có mức độ nghiêm trọng cao cần được sửa trước khi có thể công bố rộng rãi.
Giờ đây, các nhà nghiên cứu bảo mật cho trình duyệt Firefox của Mozilla đang cung cấp cái nhìn sâu hơn về quy trình đó trông như thế nào trong thực tế và sức mạnh của Mythos có ý nghĩa gì đối với bảo mật phần mềm nói chung.
Trong một bài đăng hôm thứ Năm, Mozilla cho biết Mythos đã phát hiện ra rất nhiều lỗi có mức độ nghiêm trọng cao, bao gồm một số lỗi đã không hoạt động trong mã trong hơn một thập kỷ. Đó là một cải tiến đáng kể so với khả năng của các công cụ bảo mật AI thậm chí sáu tháng trước.
Cho đến nay, các công cụ tìm lỗi AI đã có những hạn chế nghiêm trọng, thường khiến các nhóm bảo mật phải nhận các báo cáo chất lượng thấp và dương tính giả. Nhưng các nhà nghiên cứu của Mozilla cho biết thế hệ công cụ mới nhất đã bước sang một bước ngoặt, đặc biệt là bây giờ.
tại các hệ thống đại lý có thể tự đánh giá công việc của mình và lọc ra những kết quả xấu. Các nhà nghiên cứu viết: “Thật khó để nói quá mức độ năng động này đã thay đổi đối với chúng tôi chỉ trong một vài tháng ngắn ngủi”.
"Đầu tiên, các mô hình có nhiều khả năng hơn. Thứ hai, chúng tôi đã cải thiện đáng kể kỹ thuật khai thác các mô hình này." Kết quả thật đáng kinh ngạc: Vào tháng 4 năm 2026, Firefox đã đưa ra 423 bản sửa lỗi, so với chỉ 31 bản đúng một năm trước đó.
Các nhà nghiên cứu cũng đã công bố thông tin chi tiết về 12 lỗi, bao gồm từ một cặp lỗ hổng sandbox bất thường cho đến lỗi 15 năm về cách trình duyệt phân tích một phần tử HTML. Brian Grinstead, một kỹ sư nổi tiếng tại Mozilla, nói với TechCrunch: “Những thứ này đột nhiên trở nên rất tốt”.
“Chúng tôi thấy điều đó trong quá trình quét nội bộ của chính mình, chúng tôi thấy điều đó trên các báo cáo lỗi bên ngoài và chúng tôi thấy điều đó trong tất cả các loại tín hiệu trên toàn ngành.” Thực tế là hệ thống này đã giúp phát hiện các lỗ hổng trong hệ thống “sandbox” của Firefox đặc biệt ấn tượng, xét đến mức độ phức tạp của một cuộc tấn công khai thác nó.
Để tìm lỗ hổng sandbox, mô hình phải viết một bản vá bị xâm nhập cho trình duyệt, sau đó tấn công phần an toàn nhất của phần mềm bằng t anh ấy đã triển khai mã mới. Việc tìm và chứng minh lỗi là một quá trình phức tạp gồm nhiều bước, đòi hỏi cả sự sáng tạo và sự chú ý chặt chẽ.
Để dễ hiểu hơn, chương trình tiền thưởng lỗi của Mozilla trả tiền cho các nhà nghiên cứu có thể tìm ra lỗi trong hộp cát của Firefox lên tới 20.000 USD, phần thưởng cao nhất hiện có.
Tuy nhiên, bất chấp khoản tiền thưởng hàng đầu, Grinstead cho biết Mythos đang tìm ra nhiều vấn đề về hộp cát hơn những gì các nhà nghiên cứu con người từng làm. “Chúng tôi có được chúng,” anh ấy nói với TechCrunch, “nhưng không ở mức âm lượng mà chúng tôi có thể tìm thấy bằng kỹ thuật này”.
Đáng chú ý, nhóm Firefox vẫn không sử dụng AI để sửa lỗi, mặc dù có nhiều tiến bộ được ghi chép rõ ràng về các công cụ mã hóa AI. Nhóm đã yêu cầu AI mã hóa các bản vá cho từng lỗi, nhưng mã kết quả thường không thể được triển khai trực tiếp mà thay vào đó đóng vai trò là mô hình cho kỹ sư con người.
Grinstead nói: “Đối với các lỗi mà chúng ta đang đề cập trong bài đăng này, mỗi lỗi là một kỹ sư viết bản vá và một kỹ sư xem xét nó”. “Chúng tôi chưa thấy nó có thể tự động hóa được.” Vẫn chưa rõ các khả năng mới nổi của AI sẽ thay đổi cán cân quyền lực rộng hơn trong an ninh mạng như thế nào.
Một tháng kể từ khi Mythos được xem trước, hầu hết các lỗi được phát hiện đều có thể chưa được khắc phục. đã bị khắc phục, điều này khiến cho việc nắm bắt toàn bộ phạm vi tác động của chúng trở nên khó khăn.
Anthropic đã rất cẩn thận trong việc tuân thủ các quy định tiết lộ có trách nhiệm, nhưng có khả năng những kẻ xấu đang sử dụng các kỹ thuật tương tự ở hậu trường, ngay cả khi mô hình mà họ đang sử dụng không hoàn toàn tốt bằng.
Phát biểu tại một sự kiện gần đây, Giám đốc điều hành Anthropic Dario Amodei lạc quan rằng các công cụ mới cuối cùng sẽ có lợi cho những người bảo vệ.
Amodei cho biết: "Nếu chúng tôi xử lý vấn đề này đúng cách, chúng tôi có thể ở vị trí tốt hơn so với lúc bắt đầu vì chúng tôi đã sửa tất cả các lỗi này. Chỉ có rất nhiều lỗi cần tìm".
“Vì vậy tôi nghĩ có một thế giới tốt đẹp hơn ở phía bên kia của thế giới này.” Sau khi xử lý những chi tiết vụn vặt, Grinstead có một cái nhìn thận trọng hơn: "Nó hữu ích cho cả người tấn công và người phòng thủ, nhưng việc có sẵn công cụ này sẽ làm thay đổi lợi thế một chút cho việc phòng thủ.
Thực tế, chưa ai biết câu trả lời cho điều này." Khi bạn mua hàng thông qua các liên kết trong bài viết của chúng tôi, chúng tôi có thể kiếm được một khoản hoa hồng nhỏ. Điều này không ảnh hưởng đến tính độc lập biên tập của chúng tôi.
StrictlyVC Athens là người tiếp theo. Nghe những hiểu biết sâu sắc chưa được lọc trực tiếp từ các nhà lãnh đạo công nghệ của Châu Âu và kết nối với những người đang định hình những gì phía trước.
Khóa...
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.