Anthropic có một AI mạnh đến mức không dám công khai: từng trốn khỏi sandbox, tự xóa dấu vết, tự tìm lỗ hổng 27 năm tuổi

Anthropic vừa công bố về công cụ bảo mật AI có tên Project Glasswing, dành cho các đối tác lớn của họ. Nhưng điều đáng nói là công cụ chạy trên một mô hình mới của công ty có tên Claude Mythos Preview, một mô hình AI mạnh đến mức công ty không dám ra phát hành ra công chúng.

Claude Mythos là một tier hoàn toàn mới nằm trên Opus, có tên gọi "Copybara". Theo thông tin rò rỉ, mô hình này được train với chi phí 10 tỷ USD và có quy mô 10 trillion parameters. Về hiệu suất, nó đạt 93,9% trên SWE-bench Verified, dễ dàng vượt qua GPT-5.4 và Gemini 3.1 Pro. Trên các benchmark khác, nó đạt 94,6% trên GPQA Diamond và hơn 86% trên "Humanity's Last Exam". Anthropic mô tả đây là bước nhảy vọt về khả năng, không phải cải tiến nhỏ.

Mức độ nguy hiểm không điểm số nào đo lường được

Nhưng điều khiến Mythos trở nên đáng sợ không phải là điểm benchmark, mà là những gì nó làm được trong lĩnh vực an ninh mạng. Mô hình này đã tìm ra hàng nghìn lỗ hổng zero-day trong vài tuần qua, nhiều lỗ hổng được phân loại nghiêm trọng. Lỗ hổng lâu đời nhất nó tìm được là một lỗi 27 năm tuổi trong OpenBSD - một trong những hệ điều hành được bảo mật vững chắc nhất trên trái đất - với chi phí dưới 50 USD.

Nó cũng tìm ra bug FFmpeg 16 năm tuổi đã sống sót qua 5 triệu lần kiểm tra từ các công cụ kiểm soát tự động khác mà không bao giờ bị phát hiện. Nó viết công cụ khai thác lỗ hổng FreeBSD cho phép bất kỳ kẻ tấn công nào trên internet chiếm toàn quyền điều khiển một hệ thống máy tính chạy FreeBSD mà không cần đăng nhập xác thực - hoàn toàn tự động sau câu lệnh đầu tiên.

Nó còn liên kết 4 lỗ hổng riêng biệt lại với nhau để tạo thành một cuộc tấn công hoàn chỉnh, đủ khả năng vượt qua cả lớp bảo vệ của trình duyệt lẫn hệ điều hành — vốn được thiết kế để ngăn chặn các hành vi xâm nhập.

Mythos tìm ra lỗ hổng nghiêm trọng trong mọi trình duyệt web và hệ điều hành lớn. Nó crack các thư viện mật mã bảo vệ TLS, AES-GCM và SSH. Nó biến 181 lỗ hổng Firefox thành các cách khai thác có thể hoạt động được. Và đáng sợ nhất, nó có thể đưa cho các kỹ sư Anthropic không có đào tạo bảo mật một công cụ khai thác hoàn chỉnh và hoạt động vào sáng hôm sau.

Tự thoát khỏi sandbox và làm những điều vượt quá yêu cầu

Tuy nhiên, sự việc gây chú ý nhất xảy ra trong một bài kiểm tra an toàn. Các nhà nghiên cứu cung cấp cho Mythos một môi trường sandbox máy tính bị giới hạn, chỉ cho phép truy cập một số chức năng nhất định, rồi yêu cầu nó thử tìm cách thoát ra ngoài và gửi thông báo cho người đang giám sát.

Mythos đã làm được điều đó. Nó tự xây dựng một chuỗi tấn công gồm nhiều bước để mở rộng quyền truy cập, từ một hệ thống bị hạn chế thành một hệ thống có thể kết nối ra internet. Sau đó, nó gửi email thông báo cho nhà nghiên cứu đúng như yêu cầu.

Nhưng điều đáng lo ngại là những gì nó làm thêm mà không ai yêu cầu: trong nỗ lực chứng minh thành công của mình, nó đăng chi tiết về công cụ tấn công lên nhiều trang web khó tìm nhưng có thể truy cập công khai. Nhà nghiên cứu phát hiện ra thành công này bằng cách nhận được một email bất ngờ từ mô hình trong khi đang ăn sandwich ở công viên.

Tự xóa dấu vết khi nhận thức được hành vi của mình là sai trái

Còn đáng sợ hơn là khả năng tự xóa dấu vết. Trong một số trường hợp hiếm (dưới 0,001% tương tác) trong quá trình thử nghiệm nội bộ, các phiên bản đầu của Mythos đã thực hiện các hành động mà nó có vẻ nhận ra là bị cấm, rồi cố gắng che giấu chúng.

Trong một trường hợp, mô hình vô tình thu được câu trả lời chính xác cho một câu hỏi ước lượng định lượng thông qua phương pháp bị cấm rõ ràng. Thay vì báo cáo điều này và từ chối trả lời, nó cố gắng giải quyết câu hỏi một cách độc lập. Trong quá trình này, nó lập luận rõ ràng rằng cần đảm bảo câu trả lời cuối cùng không quá chính xác.

Trong trường hợp khác, sau khi tìm thấy cách khai thác để chỉnh sửa các file mà nó thiếu quyền, mô hình đã thực hiện các can thiệp thêm để đảm bảo rằng bất kỳ thay đổi nào nó thực hiện theo cách này sẽ không xuất hiện trong lịch sử thay đổi. Tức là người khác sẽ không phát hiện ra việc hệ thống đã can thiệp.

Trong trường hợp thứ ba, khi phiên bản đầu của chế độ tự động trong Claude Code chặn nó khởi chạy subprocess với quyền cao hơn, nó thừa nhận việc chặn là phù hợp nhưng sau đó cố gắng vượt qua bằng cách “ngụy trang” việc nâng cao quyền.

Các phân tích sâu hơn cho thấy trong những tình huống này, hệ thống có dấu hiệu nhận thức được rằng hành động của mình là không được phép, và đã chủ động tìm cách thực hiện sao cho khó bị phát hiện. Dù những trường hợp như vậy được ghi nhận là rất hiếm, điều này chỉ ra rằng các phiên bản đầu của mô hình nhận thức được hành động của chúng là lừa đảo, ngay cả khi đầu ra và văn bản lập luận của mô hình để mơ hồ điều này.

Đối mặt với những khả năng nguy hiểm này, Anthropic quyết định không phát hành Mythos ra công chúng. Thay vào đó, họ tạo ra Project Glasswing - một nỗ lực phòng thủ kết hợp Amazon, Apple, Broadcom, Cisco, CrowdStrike, Linux Foundation, Microsoft, NVIDIA và Palo Alto Networks để bảo mật phần mềm quan trọng nhất thế giới.

Hiện tại, Mythos Preview chỉ được giới hạn cho 12 đối tác này cho công việc phòng thủ. Anthropic cũng mở rộng quyền truy cập ngoài Project Glasswing cho hơn 40 tổ chức khác xây dựng hoặc duy trì phần mềm quan trọng.

Quyết định này xuất phát từ lo ngại thực sự. Tháng 11/2025, Anthropic đã phát hiện chiến dịch gián điệp mạng được AI điều phối đầu tiên, sử dụng Claude Code để tấn công. Nếu Mythos rơi vào tay kẻ xấu, khả năng tấn công mạng sẽ quá nhanh và quá tinh vi đến mức bên phòng thủ không kịp chặn.

Câu chuyện Mythos là lời cảnh báo về AI đã phát triển đến mức nào. Một mô hình có thể tự thoát khỏi sandbox, tự xóa dấu vết, và thậm chí nhận thức được hành vi lừa đảo của chính nó - đây không còn là khoa học viễn tưởng nữa. Đó là lý do tại sao Anthropic giữ nó trong tay chỉ một nhóm nhỏ đối tác đáng tin cậy, và đó cũng là lý do tại sao chúng ta cần suy nghĩ rất kỹ về tương lai của AI.