Siêu AI Của Anthropic Tự Động Tìm Thấy 22 Lỗ Hổng Lớn Trên Firefox Chỉ Trong 2 Tuần
Sản phẩm cá nhân
Cho chính phủ, doanh nghiệp vừa & lớn
Doanh nghiệp nhỏ
Siêu AI Của Anthropic Tự Động Tìm Thấy 22 Lỗ Hổng Lớn Trên Firefox Chỉ Trong 2 Tuần
Trong một dự án hợp tác bảo mật mang tính bước ngoặt, công ty trí tuệ nhân tạo Anthropic đã cấp quyền cho siêu AI Claude Opus 4.6 phân tích mã nguồn của trình duyệt Firefox. Kết quả trả về đã làm chấn động giới công nghệ: AI này đã săn được 22 lỗ hổng bảo mật mới toanh với tốc độ mà con người không thể đuổi kịp.
.png "Siêu AI Của Anthropic Tự Động Tìm Thấy 22 Lỗ Hổng Lớn Trên Firefox Chỉ Trong 2 Tuần")
Khi AI trở thành "Thợ săn tiền thưởng" (Bug Hunter)
Trình duyệt web là một trong những khối phần mềm phức tạp và được bảo mật kỹ lưỡng nhất trên thế giới. Để tìm ra một điểm yếu trong hàng triệu dòng code, các chuyên gia bảo mật (con người) thường phải dò dẫm hàng tháng trời. Nhưng với AI, câu chuyện lại hoàn toàn khác.
Trong quá trình phân tích gần 6.000 tệp tin C++ của Firefox, AI Claude Opus 4.6 đã thiết lập những kỷ lục khó tin:
Tốc độ "bàn thờ": Chỉ mất vỏn vẹn 20 phút, Claude đã tìm ra lỗ hổng đầu tiên — một lỗi "Use-After-Free" cực kỳ nguy hiểm trong lõi xử lý JavaScript.
Hiệu suất vô tiền khoáng hậu: Chỉ trong vỏn vẹn 14 ngày (2 tuần), AI này đã bắt thành công 22 lỗi bảo mật.
Chất lượng hơn số lượng: Trong số 22 lỗi đó, có tới 14 lỗi được xếp hạng "Nghiêm trọng" (High-severity). Để dễ hình dung, con số này bằng gần 1/5 tổng số lỗi nghiêm trọng mà toàn bộ cộng đồng bảo mật toàn cầu tìm được cho Firefox trong suốt cả năm ngoái!
Sự xuất sắc này khiến chính các kỹ sư của Mozilla cũng phải kinh ngạc vì AI không chỉ báo lỗi suông, nó còn tự động đính kèm các đoạn mã kiểm tra (test cases) chuẩn xác giúp Mozilla vá lỗi ngay lập tức.
AI rất giỏi tìm lỗi, nhưng việc "Phá hoại" thì sao?
Sự kiện này mang lại hai nửa cảm xúc trái ngược: Chúng ta có một trợ lý siêu việt, nhưng lỡ hacker cũng dùng AI này để tấn công thì sao?
Tin mừng "hú vía" là: Tìm lỗi thì dễ, nhưng khai thác lỗi để hack máy tính vẫn là bài toán cực khó với AI. Khi các nhà nghiên cứu yêu cầu Claude thử viết mã khai thác (Exploit) để tấn công vào chính những lỗ hổng nó vừa tìm ra, AI này tỏ ra khá lúng túng. Dù tiêu tốn tới 4.000 USD tiền chạy lệnh (API credits) và thử nghiệm hàng trăm lần, Claude chỉ chế tạo thành công vũ khí tấn công trong đúng 2 trường hợp, và cũng chỉ hoạt động được trong môi trường phòng thí nghiệm đã bị gỡ bỏ các lớp bảo vệ cơ bản.
Kết luận của chuyên gia: AI hiện tại săn lỗi cực giỏi và chi phí cực rẻ, nhưng để biến lỗ hổng đó thành một đòn tấn công thực tế thì vẫn cần đến sự ranh ma và kinh nghiệm thực chiến của một hacker con người.
Người dùng Firefox cần làm gì ngay lúc này?
Thử nghiệm đã kết thúc, và Mozilla đã làm việc ngày đêm để vá lại những "lỗ hổng" do AI chỉ điểm. Toàn bộ 22 lỗi này (bao gồm cả CVE-2026-2796) đã được khắc phục triệt để. Tuy nhiên, bản vá chỉ có tác dụng nếu bạn cài đặt nó!
Cập nhật Firefox lên phiên bản 148 (hoặc mới hơn):
Nhấp vào menu 3 gạch ngang ở góc trên cùng bên phải trình duyệt.
Chọn Trợ giúp (Help) > Giới thiệu về Firefox (About Firefox).
Trình duyệt sẽ tự động kiểm tra, tải về bản cập nhật và yêu cầu bạn Khởi động lại (Restart).
Đừng tắt tự động cập nhật: Cuộc đua vũ trang bằng AI đã bắt đầu. Hôm nay AI giúp Mozilla tìm lỗi để vá, nhưng ngày mai hacker có thể dùng AI khác để tìm lỗi và tấn công. Việc để trình duyệt tự động cập nhật ngầm là tấm khiên duy nhất của bạn.
Trí tuệ nhân tạo đang giúp Internet an toàn hơn với tốc độ ánh sáng. Hãy chung tay hoàn thành nốt công việc bằng cách cập nhật thiết bị của bạn ngay hôm nay.
Hương - Theo TheHackerNews
Đến hẹn lại lên, bản cập nhật bảo mật Patch Tuesday tháng 3/2026 của Microsoft đã chính thức được phát hành để khắc phục 84 lỗ hổng trên nhiều thành phần phần mềm. Đáng chú ý nhất, có tới 8 lỗ hổng được xếp hạng "Nghiêm trọng" (Critical) và 2 lỗ hổng Zero-day đã bị rò rỉ thông tin trước khi bản vá kịp ra mắt.
Salesforce vừa phát đi cảnh báo khẩn cấp về sự gia tăng đột biến của các nhóm tin tặc đang tích cực dò quét và khai thác các lỗ hổng cấu hình trên nền tảng Experience Cloud (các trang web dành cho khách hàng/đối tác). Chúng đang sử dụng một vũ khí tự động để hút sạch thông tin liên lạc của người dùng.
Các nhà nghiên cứu bảo mật vừa phát hiện một chiến dịch tấn công chuỗi cung ứng (Supply Chain Attack) tinh vi. Trong đó, tin tặc đã âm thầm mua lại các tiện ích mở rộng (Extension) hợp pháp, có lượng người dùng lớn trên Chrome Web Store, sau đó đẩy một bản cập nhật chứa mã độc để chiếm đoạt dữ liệu của hàng triệu nạn nhân chỉ sau một đêm.
Google Threat Analysis Group (TAG) vừa xác nhận tin tặc đang tích cực vũ khí hóa lỗ hổng CVE-2026-21385 để tiến hành các chiến dịch tấn công có chủ đích. Điểm đáng sợ là lỗ hổng này nhắm sâu vào các thành phần cốt lõi của hệ thống, cho phép kẻ xấu thâu tóm thiết bị của bạn một cách âm thầm.
Các nhà nghiên cứu bảo mật vừa phát hiện chiến dịch tấn công quy mô lớn của APT28 - nhóm tin tặc được cho là có sự hậu thuẫn từ nhà nước. Chúng đang tận dụng lỗ hổng chưa từng được công bố (CVE-2026-21513) trong thành phần MSHTML của Windows để xuyên thủng hệ thống mạng doanh nghiệp và chính phủ thông qua các tệp tài liệu mồi nhử.
