Claude Mythos của Anthropic khiến các ngân hàng bị náo loạn, cho vá khẩn cấp hàng ngàn lỗ hổng bảo mật

[trungthuc]

Các ngân hàng ở Mỹ đang gấp rút khắc phục hàng loạt điểm yếu trong hệ thống CNTT do mô hình Claude Mythos của Anthropic phát hiện ra.

Điều này đã thúc đẩy các đợt cho sửa lỗi khẩn cấp, cho nâng cấp phần mềm và làm dấy lên mối lo ngại bị gián đoạn các dịch vụ đối với khách hàng.

Hãng tin Reuters trước đó có đưa tin về một số ngân hàng lớn nhất nước Mỹ hiện đã được Anthropic cấp quyền được truy cập Claude Mythos. Theo nhiều nguồn tin thông thạo của Reuters, các ngân hàng này đang phát hiện ra nhiều lỗ hổng do Claude Mythos vạch chỉ ra.

Trong quá trình rà soát lỗ hổng, các ngân hàng lớn cũng chia sẻ các thông tin với một số ngân hàng nhỏ chưa có quyền truy cập vào Claude Mythos để giúp cho họ gia tăng hửu hiệu hệ thống bảo mật của mình.

Các chuyên gia an ninh mạng xem Claude Mythos là một thách thức lớn với ngành ngân hàng và hệ thống kỹ thuật cũ, dẫn đến hàng loạt cảnh cáo từ cơ quan phụ trách và hoạch định về chính sách.

"Đây là hồi chuông cảnh tỉnh về các rủi ro an ninh mạng đang chuyển sang tốc độ của máy móc, trong khi phần lớn hệ thống phòng thủ ngân hàng vẫn vận hành ở tốc độ thủ công do con người giám sát", ông Nitin Seth, Giám đốc điều hành Incedo, đưa ra nhận xét. Incedo là công ty dịch vụ dữ kiện, số hóa và AI.

"Điều này cũng phá vỡ một giả định được tồn tại lâu nay trong hệ thống bảo mật ngân hàng, cho rằng các lỗ hổng có thể tồn tại trong thời gian dài trước khi bị phát hiện và bị kẻ xấu khai thác", ông Nitin Seth cho biết thêm.

Khi cho thử nghiệm với Claude Mythos, các ngân hàng ở Phố Wall nhận ra mô hình AI này đặc biệt tài giỏi trong việc liên kết nhiều lỗ hổng rủi ro thấp trở thành một lỗ hổng có rủi ro cao, theo Reuters cho biết. Từ đó, các ngân hàng phải gấp rút cho kiểm tra và nâng cấp thêm phần mềm để kịp thời đối phó.

Ứng dụng Claude Mythos đặc biệt có hiệu quả tốt trong việc tìm kiếm lỗ hổng trong cả mã nguồn độc quyền lẫn mã nguồn mở, gây áp lực lớn lên các ngân hàng phải cho nâng cấp kỹ thuật và phần mềm cũ đã hết vòng đời hỗ trợ.

Một người nắm rõ về kết quả đánh giá cho biết Claude Mythos đã phát hiện ra từ vài trăm đến hàng ngàn lỗ hổng bảo mật được xếp loại thấp đến trung bình nhưng đều cần phải được cho vá lại. Theo người này, Claude Mythos gây ra xáo trộn lớn cho các ngân hàng vì họ phải cho xử lý các bản vá với tốc độ nhanh chưa từng có. Một số trường hợp phải được vá chỉ trong vài ngày với những lỗ hổng mà trước đây có thể phải mất vài tuần mới giải quyết xong.

Khối lượng công việc gia tăng có thể buộc các ngân hàng phải đưa hệ thống nằm ngoại tuyến thường xuyên hơn, theo hai nguồn tin của Reuters. Tuy nhiên, họ sẽ cố gắng thực hiện theo cách gây ra sự gián đoạn thật tối thiểu với khách hàng.

Reuters cũng cho biết việc cho thử nghiệm nhanh các ứng dụng mới của AI như Claude Mythos giờ đã trở thành "điều bình thường mới" và sẽ được cho tiến hành liên tục hơn.

(Minh họa)
Rào cản đối với các ngân hàng nhỏ muốn sử dụng Claude Mythos
Một trong những rào cản đối với các ngân hàng nhỏ là chi phí tốn kém phải bỏ ra. Theo một nguồn tin, các ngân hàng nhỏ cũng không có đủ năng lực xử lý để sử dụng Claude Mythos, dù được các ngân hàng lớn chia sẻ thông tin về những sự phát hiện của họ.

Giống các mô hình AI khác, phiên bản Claude Mythos Preview được tính tiền dựa trên số lượng token được xử lý để trả lời yêu cầu của người sử dụng. Theo Anthropic, chi phí là 25 USD cho mỗi triệu token đầu vào và 125 USD cho mỗi triệu token đầu ra, cao gấp 5 lần so với Claude Opus 4.7, mô hình AI cao cấp phổ biến hơn của hãng này.

Trong AI, token là đơn vị dữ kiện nhỏ nhất mà mô hình xử lý hoặc tạo ra, có thể là một từ ngữ, một phần của từ ngữ, hoặc thậm chí là dấu chấm câu. Nhiều công ty sử dụng token như một đơn vị kinh tế để đo lường khối lượng tính toán mà AI đã thực hiện. Văn bản càng dài thì càng cần nhiều token để xử lý, vì vậy chi phí thường được tính theo số token (trên mỗi ngàn hoặc mỗi triệu token).

Tuy nhiên, Anthropic cho biết họ sẽ cấp 100 triệu USD tín dụng sử dụng cho các đối tác trong Dự án Glasswing và những khách hàng khác của Claude Mythos, đồng thời nói rằng khoản tiền này sẽ "bao phủ đáng kể các nhu cầu cho sử dụng trong giai đoạn nghiên cứu sự thử nghiệm".

Anthropic cũng đưa ra các khuyến cáo cho các công ty nhằm tăng cường khả năng phòng thủ ngay cả khi không có quyền truy cập vào Claude Mythos. Trong một bài cho đăng tải gần đây, Anthropic cho biết, một chương trình khác mang tên Claude Security, có thể cho áp dụng để quét các lỗ hổng và đang được mở rộng cho nhiều tổ chức kinh doanh hơn.

Ông Mike Krieger, CEO của Anthropic, có nói với Reuters vào tuần trước rằng công ty đã cân nhắc cả yếu tố an toàn lẫn nhu cầu kinh doanh khi cho định giá ra. Theo ông, mức giá cần đủ thấp để khuyến khích sử dụng AI của Anthropic nhưng cũng phải đủ cao để "duy trì hoạt động kinh doanh".

"Chúng tôi muốn cho tối đa hóa số lượng nội dung AI phù hợp với các tiêu chuẩn an toàn được đưa ra thế giới", ông Mike Krieger chia sẻ.

Mike Krieger hiện cũng đang phụ trách bộ phận Anthropic Labs, nhóm sáng tạo nội bộ chuyên nghiên cứu phát hành ra các sản phẩm AI cho thử nghiệm của Anthropic.

Anthropic đã từ chối không bình luận về các phát hiện của ngành ngân hàng có liên quan đến Claude Mythos.

Ban đầu, Anthropic chỉ giới hạn quyền truy cập Claude Mythos cho 11 nơi đối tác trong sáng kiến Dự án Glasswing cùng với khoảng 40 tổ chức khác. JPMorgan Chase là đối tác được Anthropic giới thiệu công khai khi cho ra mắt Claude Mythos hôm 7/4 vừa qua, trong khi Goldman Sachs, Citigroup, Bank of America và Morgan Stanley sau đó cũng được quyền truy cập vào Claude Mythos, theo Reuters có đưa tin.

Ông Adam Meyers, người phụ trách hoạt động chống lại đối thủ tại CrowdStrike, hãng phụ trách an ninh mạng tham gia Dự án Glasswing, có cho biết, chỉ vài ngày sau khi được tiếp cận Claude Mythos, ông và đội ngũ chuyên gia của ông đã dành trọn những ngày cuối tuần để tìm cách sử dụng mô hình AI này thật hiệu quả trước khi bắt đầu cho truy tìm lỗi.

Ông cho biết, Claude Mythos đòi hỏi phải xây dựng "cả một phương pháp lý luận và nguồn năng lực mới" để cho khai thác một cách có hiệu quả cao. Adam Meyers cho biết phản ứng đầu tiên của ông khi biết về Claude Mythos là "Ôi trời" ("O my God!").

Một giới chức phụ trách ngân hàng cao cấp có nói, mô hình Claude Mythos thật mạnh mẽ đúng như dự đoán và đặc biệt giỏi trong việc nhanh chóng liên kết các điểm yếu bảo mật để làm nổi bật những lỗ hổng mà con người có thể sẽ phải mất rất nhiều thời gian mới phát hiện ra.

Với các ngân hàng chưa có quyền truy cập vào Claude Mythos, các chuyên gia tư vấn cảnh cáo họ cần nên tăng cường bảo vệ hệ thống.

Theo ông Bernard Montel, Giám đốc phụ trách kỹ thuật và chiến lược an ninh khu vực châu Âu, Trung Đông và châu Phi của hãng an ninh mạng Tenable, dù nhiều lĩnh vực khác cũng dễ bị tổn thương, "ngành ngân hàng có nền tảng cốt lõi là kỹ thuật và đây cũng là điểm khác biệt". Điều đó đồng nghĩa cho thấy, nếu kỹ thuật gặp trục trặc hay bị gián đoạn, các tác động lớn nhỏ sẽ ảnh hưởng trực tiếp đến toàn bộ hoạt động của ngành ngân hàng.