Anthropic vừa gây chấn động khi công bố mô hình Claude Opus 4.6 đã tự tìm ra hơn 500 lỗ hổng bảo mật nghiêm trọng trong các thư viện mã nguồn mở phổ biến như Ghostscript và CGIF. Đây là minh chứng cho thấy AI không còn chỉ dừng lại ở việc hỗ trợ viết mã mà đã có khả năng tư duy đột phá trong việc săn lỗi bảo mật chuyên nghiệp.

Mô hình Claude Opus 4.6 vừa ra mắt đã chứng minh năng lực vượt trội khi phát hiện hàng loạt lỗ hổng “zero-day” mà các công cụ quét lỗi truyền thống hoàn toàn bỏ lỡ. Thay vì chỉ quét bề mặt, AI này có khả năng lập luận về logic mã nguồn tương tự một nhà nghiên cứu con người để tìm ra các sai sót phức tạp.

Các điểm kỹ thuật ấn tượng trong đợt quét này bao gồm:

• Hiểu sâu thuật toán: Tại thư viện CGIF, Claude đã tìm thấy lỗi heap buffer overflow liên quan đến thuật toán LZW. Đây là loại lỗi cực khó phát hiện, yêu cầu hiểu biết sâu về định dạng tệp GIF mà ngay cả các công cụ fuzzing hiện đại nhất cũng thường xuyên bỏ sót.
• Tự vận hành công cụ bảo mật: Trong môi trường thử nghiệm, mô hình đã tự sử dụng các trình gỡ lỗi (debuggers) để xác định lỗi trong Ghostscript và OpenSC mà không cần sự chỉ dẫn cụ thể từ con người.
• Xác thực và vá lỗi: Toàn bộ hơn 500 lỗ hổng đã được Anthropic xác thực kỹ lưỡng để tránh tình trạng “ảo giác” (hallucination) và hiện đã được các bên duy trì mã nguồn phát hành bản vá kịp thời.

Khuyến nghị: Việc AI có thể tự động tìm lỗi cho thấy rào cản thực hiện các cuộc tấn công mạng đang giảm xuống đáng kể. Do đó, các tổ chức cần ưu tiên tuyệt đối việc cập nhật bản vá kịp thời và nên cân nhắc ứng dụng AI làm “lá chắn” phòng thủ để đối trọng với các mối đe dọa tự động hóa trong tương lai.