Anthropic công bố ra mắt mô hình huyền thoại: Claude Mythos, khả năng lập trình và hack vượt xa opus4.6, không mở cho công chúng!

Anthropic hôm nay đã công bố một kế hoạch: Project Glasswing (Kế hoạch Glasswing). Lý do ra mắt kế hoạch này là vì Anthropic đã huấn luyện một mô hình siêu mạnh hoàn toàn mới có tên Claude Mythos Preview; thực ra đây chính là mô hình từng được nhắc đến trong vụ rò rỉ mã nguồn cc cách đây vài ngày.

Các bên tham gia dự án bao gồm Amazon AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks và chính Anthropic—tổng cộng 12 tổ chức cùng khởi xướng.

Nói theo kiểu dễ hiểu thì bởi vì mô hình này quá mạnh nên cần áp dụng chế độ kiểm thử an toàn, chỉ cho các tổ chức được công nhận sử dụng nội bộ, không mở ra cho bên ngoài. Mạnh đến mức nào thì mọi người xem trực tiếp dữ liệu, năng lực viết mã và suy luận có thể “đè bẹp” opus 4.6:

Mã nguồn:

Suy luận:

Tìm kiếm và sử dụng máy tính

Ý nghĩa chữ opus là tác phẩm, Mythos là thần thoại. CEO của Anthropic và một loạt các đại lão đối tác đều đã xuất hiện để ủng hộ kế hoạch này.

Anthropic đã nêu rõ họ không có ý định mở Claude Mythos Preview cho công chúng. Nhưng mục tiêu dài hạn là để người dùng có thể sử dụng an toàn các mô hình có cùng mức năng lực. Vì vậy, họ dự định sẽ trước hết phát triển và xác thực các cơ chế phòng vệ an toàn liên quan trên mô hình Claude Opus sắp ra mắt, hoàn thành quá trình lặp trong các điều kiện rủi ro có thể kiểm soát, rồi dần dần thúc đẩy tiếp; có thể rất sớm sẽ có một phiên bản mới của opus để cung cấp năng lực tương ứng.

Hãy cùng xem chi tiết Project Glasswing rốt cuộc là gì

Mô hình này đã phát hiện ra điều gì?

Trong vài tuần qua, Anthropic đã dùng Claude Mythos Preview để quét các hệ điều hành chủ đạo, trình duyệt và các phần mềm quan trọng khác trên thế giới.

Kết quả: phát hiện hàng ngàn lỗ hổng zero-day mà trước đó chưa từng được phát hiện, trong đó phần lớn được đánh giá ở mức rủi ro cao.

Một vài ví dụ cụ thể:

Một lỗ hổng trong OpenBSD tồn tại trong 27 năm. OpenBSD nổi tiếng về tính bảo mật và được dùng để chạy các hạ tầng quan trọng như tường lửa. Lỗ hổng này cho phép kẻ tấn công chỉ cần kết nối đến máy mục tiêu là có thể làm máy đó sập từ xa.

Một lỗ hổng trong FFmpeg tồn tại trong 16 năm. FFmpeg được vô số phần mềm dùng để mã hóa/giải mã video. Dòng mã nơi mô hình tìm ra lỗ hổng trước đó đã từng bị các công cụ kiểm thử tự động quét 5 triệu lần, nhưng không hề được phát hiện.

Trong nhân Linux, mô hình tự phát hiện và xâu chuỗi nhiều lỗ hổng, khiến kẻ tấn công có thể leo thang từ quyền người dùng thông thường lên kiểm soát hoàn toàn cả máy.

Tất cả các lỗ hổng trên đều đã được báo cáo cho các bên bảo trì phần mềm liên quan và hiện đã được sửa hết. Đối với các lỗ hổng khác, Anthropic đã công bố trước các giá trị băm mã hóa, chờ khi hoàn tất việc sửa thì mới công khai chi tiết cụ thể.

Tại sao phải làm việc này?

Nhận định đưa ra bởi Anthropic là: năng lực của mô hình AI trong việc phát hiện và khai thác lỗ hổng phần mềm đã vượt qua tất cả mọi người, trừ một số ít chuyên gia con người hàng đầu.

Sự lan rộng của năng lực này là vấn đề về thời gian, chứ không phải là liệu nó có xảy ra hay không.

Thiệt hại kinh tế do tội phạm mạng trên toàn cầu mỗi năm ước tính khoảng 5000 tỷ USD. Việc tấn công vào hệ thống y tế, cơ sở hạ tầng năng lượng, các cơ quan chính phủ đã gây ra tổn hại thực chất, đồng thời cũng tạo ra mối đe dọa liên tục đối với cả hạ tầng dân sự và quân sự.

AI làm giảm đáng kể chi phí, ngưỡng và mức độ chuyên môn cần thiết để thực hiện các cuộc tấn công kiểu này.

Logic của Anthropic là: thay vì chờ người khác dùng năng lực này để tấn công trước, không bằng chủ động dùng nó cho phòng thủ.

Kế hoạch cụ thể làm như thế nào?

Project Glasswing hiện bao gồm hai cấp độ.

Cấp độ thứ nhất là 12 đối tác nhà sáng lập; họ sẽ nhận được quyền truy cập Claude Mythos Preview để quét và khắc phục lỗ hổng trong các hệ thống lõi của chính họ, trọng tâm bao gồm phát hiện lỗ hổng cục bộ, kiểm thử hộp đen nhị phân, an ninh đầu cuối, kiểm thử thâm nhập, v.v.

Cấp độ thứ hai là hơn 40 tổ chức khác xây dựng hoặc duy trì nền tảng hạ tầng phần mềm quan trọng; họ cũng sẽ nhận được quyền truy cập mô hình để quét hệ thống của chính họ và các hệ thống mã nguồn mở.

Anthropic cam kết cung cấp hạn mức sử dụng mô hình cao nhất 100 triệu USD. Sau khi kết thúc giai đoạn xem trước nghiên cứu, Claude Mythos Preview sẽ được cung cấp truy cập thương mại cho các bên tham gia, với giá 25/125 USD cho mỗi 1 triệu token đầu vào/đầu ra, hỗ trợ tích hợp qua Claude API, Amazon Bedrock, Google Cloud Vertex AI và Microsoft Foundry.

Ngoài ra, Anthropic thông qua Linux Foundation đã quyên góp 2,5 triệu USD cho Alpha-Omega và 1,5 triệu USD cho OpenSSF, tổng cộng 4 triệu USD, nhằm hỗ trợ các bên bảo trì phần mềm mã nguồn mở ứng phó với tình hình mới này. Các bên bảo trì phần mềm mã nguồn mở có thể nộp đơn xin quyền truy cập thông qua dự án Claude for Open Source.

Kế hoạch tiếp theo

Trong chia sẻ thông tin, các đối tác sẽ cố gắng hết sức để có thể trao đổi thông tin và các phương pháp thực hành tốt nhất một cách rộng rãi. Anthropic cam kết trong vòng 90 ngày sẽ công khai phát hành báo cáo tiến độ nghiên cứu, trong đó bao gồm số lượng lỗ hổng đã phát hiện, những vấn đề đã được khắc phục, và các thành quả cải tiến có thể tiết lộ.

Về tư vấn chính sách, Anthropic sẽ phối hợp với các tổ chức an ninh chủ chốt để hình thành các khuyến nghị thực tiễn cho các hướng sau: quy trình công bố lỗ hổng, quy trình cập nhật phần mềm, bảo mật mã nguồn mở và chuỗi cung ứng, vòng đời phát triển phần mềm an toàn, tiêu chuẩn ngành thuộc diện quản lý, quy mô hóa và tự động hóa việc phân loại lỗ hổng, tự động hóa bản vá.

Nguồn bài viết: AI Khám phá

Cảnh báo rủi ro và điều khoản miễn trừ trách nhiệm

        Thị trường có rủi ro, đầu tư cần thận trọng. Bài viết này không cấu thành lời khuyên đầu tư cá nhân và không xem xét các mục tiêu đầu tư đặc thù, tình hình tài chính hoặc nhu cầu đặc biệt của từng người dùng. Người dùng cần cân nhắc liệu bất kỳ ý kiến, quan điểm hoặc kết luận nào trong bài viết này có phù hợp với tình huống cụ thể của họ hay không. Do đó đầu tư, chịu trách nhiệm hoàn toàn.