Các nhà nghiên cứu bảo mật của Mozilla vừa hé lộ rõ hơn cách mô hình AI Mythos đang thay đổi quy trình an ninh mạng của trình duyệt web Firefox, đồng thời cho thấy AI có thể tạo ra bước ngoặt lớn trong lĩnh vực bảo mật phần mềm.

Khi Anthropic ra mắt mô hình AI mới mang tên Mythos hồi tháng 4 vừa qua, công ty này đã đưa ra một cảnh báo đáng chú ý với giới phát triển phần mềm. Theo Anthropic, Mythos sở hữu khả năng phát hiện lỗ hổng bảo mật mạnh đến mức đã tìm ra hàng ngàn lỗi nghiêm trọng trong mã nguồn của phần mềm bất kỳ, buộc các nhà phát triển phải điều chỉnh trước khi xem xét phát hành rộng rãi mô hình này, để tránh bị lạm dụng.

Trong bài đăng mới đây trên trang blog của hãng, Mozilla cho biết Mythos đã phát hiện hàng loạt lỗ hổng nghiêm trọng, bao gồm nhiều lỗi đã “ngủ quên” trong mã nguồn suốt hơn một thập kỷ. Đây được xem là bước tiến lớn so với các công cụ AI dò lỗi chỉ vài tháng trước, vốn thường tạo ra quá nhiều cảnh báo sai hoặc báo cáo chất lượng thấp khiến đội ngũ bảo mật mất thời gian xử lý.

Theo các nhà nghiên cứu Mozilla, sự cải thiện ấn tượng này là do mô hình AI ngày càng mạnh hơn, cụ thể là các hệ thống AI dạng “agentic” (tác nhân) hiện đã có thể tự đánh giá kết quả, lọc bỏ các phát hiện kém chính xác trước khi gởi tới chuyên gia bảo mật.

“Rất khó để diễn tả mức độ thay đổi chỉ trong vài tháng ngắn ngủi”, nhóm nghiên cứu viết. “Các mô hình AI đã trở nên mạnh hơn rất nhiều, đồng thời chúng tôi cũng cải thiện đáng kể cách khai thác năng lực của chúng.”

Kết quả mang lại khá ấn tượng. Trong tháng 4-2026, Firefox đã phát hành bản vá cho 423 lỗi bảo mật, trong khi cùng kỳ năm trước chỉ sửa được 31 lỗi. Mozilla cũng công bố chi tiết 12 lỗ hổng tiêu biểu, từ các lỗi hiếm gặp trong hệ thống sandbox (hộp cát) cho tới 1 lỗi đã tồn tại suốt 15 năm liên quan đến cách trình duyệt web phân tích một thành phần HTML.

Số lỗ hổng của trình duyệt web Firefox được phát hiện và vá lỗi tăng lên đáng kể trong tháng 4. Ảnh: Mozilla

Brian Grinstead, kỹ sư cấp cao tại Mozilla, nhận định các công cụ AI hiện nay đã đạt tới ngưỡng hoàn toàn mới. “Chúng thực sự đột nhiên trở nên rất giỏi”, ông nói với TechCrunch. “Chúng tôi nhận thấy điều đó qua hệ thống quét nội bộ, qua báo cáo lỗi bên ngoài và qua rất nhiều tín hiệu trong toàn ngành.”

Đáng chú ý, Mythos đặc biệt hiệu quả trong việc phát hiện lỗ hổng liên quan đến sandbox - lớp bảo vệ quan trọng nhất của trình duyệt web. Đây là dạng lỗi cực kỳ khó khai thác, bởi AI phải tự tạo ra một bản vá bị xâm nhập, sau đó dùng đoạn mã mới để tấn công phần an toàn nhất của trình duyệt web. Toàn bộ quá trình đòi hỏi nhiều bước phức tạp cùng khả năng suy luận và phân tích cao.

Mozilla cho biết chương trình săn lỗi bảo mật của hãng sẵn sàng trả tới 20.000 USD cho những ai phát hiện được lỗi sandbox trong Firefox - mức thưởng cao nhất hiện nay. Tuy nhiên, theo Grinstead, Mythos vẫn tìm ra số lượng lỗi sandbox nhiều hơn đáng kể so với các nhà nghiên cứu.

Dù AI ngày càng giỏi trong việc phát hiện lỗ hổng, Mozilla cho biết họ vẫn chưa tin tưởng để giao hoàn toàn việc sửa lỗi cho AI. Nhóm phát triển có sử dụng AI để tạo mã vá lỗi cho mỗi lỗi, nhưng các đoạn mã này chủ yếu chỉ đóng vai trò tham khảo cho các kỹ sư.

Hiện giới công nghệ vẫn chưa thể xác định AI sẽ thay đổi cán cân an ninh mạng theo hướng nào. Dù Anthropic tuân thủ nghiêm ngặt quy trình công bố có trách nhiệm, nhiều chuyên gia lo ngại rằng các nhóm tấn công mạng cũng đang âm thầm sử dụng những kỹ thuật tương tự để tìm lỗ hổng trước khi chúng được vá.

Phát biểu tại một sự kiện gần đây, CEO Dario Amodei của Anthropic tỏ ra lạc quan rằng AI cuối cùng sẽ mang lại lợi thế cho bên phòng thủ. Theo ông, khi ngày càng nhiều lỗ hổng được phát hiện và sửa chữa, môi trường an ninh mạng có thể sẽ an toàn hơn trước.

Trong khi đó, Brian Grinstead đưa ra góc nhìn thận trọng hơn. Ông cho rằng AI là công cụ hữu ích cho cả tin tặc lẫn các chuyên gia bảo mật, nhưng ở thời điểm hiện tại, nó đang giúp bên phòng thủ nhỉnh hơn đôi chút. “Thực tế là chưa ai có câu trả lời chắc chắn cho điều này” - ông nói.

LÊ PHI (Theo Techcrunch, Mozilla)