Claude Mythos có thể xâu chuỗi bốn lỗ hổng bảo mật chỉ qua một đêm. Dự án Glasswing của Anthropic cho thấy mô hình bảo mật của Web3 đã lỗi thời.
Anthropic đã âm thầm xác nhận một điều mà ngành công nghiệp blockchain đáng lẽ phải lo sợ. Mô hình tiên phong chưa được phát hành của họ, Claude Mythos, đã vượt qua một ngưỡng mà các nhà nghiên cứu bảo mật đã hy vọng sẽ không bao giờ xảy ra trong nhiều năm. Giờ đây, các kỹ sư không có nền tảng bảo mật nào có thể nhắc nó hoạt động qua đêm và thức dậy với một phương thức khai thác thực thi mã từ xa đã hoàn thiện.
Đó không phải là một cảnh báo về tương lai. Nó đã xảy ra rồi.
Theo alicharts trên X, Mythos đã xác định được một lỗi tồn tại 27 năm trong OpenBSD mà các kiểm toán viên con người đã bỏ sót trong nhiều thập kỷ. Cùng một mô hình đã xâu chuỗi bốn lỗ hổng riêng biệt để thoát khỏi sandbox trình duyệt. Nhiệm vụ đó thường mất nhiều tháng để các đội ngũ chuyên gia ưu tú thực hiện.
Điều Mà Web3 Từ Chối Thừa Nhận
Anthropic đã công bố trực tiếp các chi tiết. Ngôn ngữ được sử dụng có chủ ý và rõ ràng. Mythos Preview đã tìm thấy hàng nghìn lỗ hổng nghiêm trọng, bao gồm một số trong mọi hệ điều hành và trình duyệt web chính. Các giao thức blockchain, vốn phụ thuộc vào việc kiểm toán định kỳ bởi con người, nằm ngay trong tầm ngắm đó.
Dự án Glasswing là câu trả lời. Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA, Palo Alto Networks và Linux Foundation đã tham gia nỗ lực này. Anthropic cam kết lên đến 100 triệu USD tín dụng sử dụng cho việc triển khai phòng thủ của mô hình. Thêm 4 triệu USD nữa được chuyển trực tiếp đến các tổ chức bảo mật mã nguồn mở.
Thông điệp từ Anthropic rất rõ ràng. Khả năng AI như Mythos sẽ lan rộng, và chúng sẽ đến tay các tác nhân không cam kết triển khai chúng một cách an toàn. Hậu quả đối với an toàn công cộng và an ninh quốc gia có thể nghiêm trọng.
Doanh thu khai thác từ các cuộc tấn công có sự hỗ trợ của AI vào hợp đồng thông minh blockchain đã tăng gấp đôi khoảng mỗi 1,3 tháng. Xu hướng đó có trước cả khi Mythos được công bố rộng rãi.
Kiểm Toán Định Kỳ Đã Chấm Dứt
Như alicharts đã lưu ý trên X, mô hình truyền thống của các đợt đánh giá bảo mật định kỳ đã kết thúc. Các giao thức blockchain không tích hợp lớp khiên AI tự trị vào hệ thống của họ sẽ bị tháo rời bởi thế hệ tác nhân đối nghịch tiếp theo. Bài đăng trên X mô tả Mythos như một “kẻ hủy diệt thể loại” chính xác vì khả năng chuỗi tấn công đa bước của nó.
Điều đó phù hợp với những gì tài liệu nghiên cứu PDF của Anthropic cho thấy. Nghiên cứu Mythos Preview đã chỉ ra rằng tốc độ gia tăng đủ dốc để yêu cầu hành động ngay bây giờ, chứ không phải sau khi xảy ra vụ vi phạm giao thức lớn tiếp theo.
Trang xem trước Glasswing đã nêu rõ vấn đề cốt lõi: Khả năng viết mã của AI đã vượt qua tất cả mọi người, trừ những người có kỹ năng cao nhất, trong việc tìm kiếm và khai thác lỗ hổng. Các giao thức Web3, nhiều trong số đó vẫn dựa vào việc kiểm toán của bên thứ ba không thường xuyên, không được xây dựng với mô hình mối đe dọa này trong tâm trí.
Giao thức cho vay DeFi Moonwell đã mất khoảng 1,78 triệu USD trong một sự cố riêng biệt nhưng có liên quan, liên quan đến mã được hỗ trợ bởi AI. Kiểm toán viên hợp đồng thông minh pashov đã đăng trên X về điều mà anh ta mô tả có thể là cuộc khai thác đầu tiên trực tiếp liên quan đến Solidity được viết theo cảm tính (vibe-coded). Người xem xét vẫn ký duyệt. Đó chính là khoảng cách mà Mythos khai thác. Bức tranh đầy đủ về cách Claude đang định hình lại việc kiểm toán mã Web3 đã phát triển trong nhiều tháng.
Nỗ Lực Phòng Thủ 100 Triệu USD, Không Có Bảo Đảm Nào
Bốn mươi tổ chức bổ sung đang xây dựng hoặc duy trì cơ sở hạ tầng phần mềm quan trọng đã được tiếp cận sớm với Mythos Preview để quét phòng thủ. Anthropic đã nói rõ. Không một tổ chức đơn lẻ nào có thể tự mình giải quyết vấn đề này. Khả năng AI tiên phong có khả năng sẽ tiến bộ đáng kể chỉ trong vài tháng tới.
Web3 không được đề cập bằng tên trong liên minh Glasswing ban đầu. Sự vắng mặt đó nói lên nhiều điều.
Cuộc đua giữa các cuộc tấn công được AI hỗ trợ và phòng thủ được AI hỗ trợ giờ đây là cuộc kiểm toán duy nhất có ý nghĩa. Các giao thức blockchain dựa vào việc xem xét bảo mật thủ công đang làm việc với một mô hình vốn đã lỗi thời trước khi Mythos được công bố.
Để lại một bình luận