Siêu AI Của Anthropic Tự Động Tìm Thấy 22 Lỗ Hổng Lớn Trên Firefox Chỉ Trong 2 Tuần!

Trong một dự án hợp tác bảo mật mang tính bước ngoặt, công ty trí tuệ nhân tạo Anthropic đã cấp quyền cho siêu AI Claude Opus 4.6 phân tích mã nguồn của trình duyệt Firefox. Kết quả trả về đã làm chấn động giới công nghệ: AI này đã săn được 22 lỗ hổng bảo mật mới toanh với tốc độ mà con người không thể đuổi kịp.

Khi AI trở thành "Thợ săn tiền thưởng" (Bug Hunter)

Trình duyệt web là một trong những khối phần mềm phức tạp và được bảo mật kỹ lưỡng nhất trên thế giới. Để tìm ra một điểm yếu trong hàng triệu dòng code, các chuyên gia bảo mật (con người) thường phải dò dẫm hàng tháng trời. Nhưng với AI, câu chuyện lại hoàn toàn khác.

Trong quá trình phân tích gần 6.000 tệp tin C++ của Firefox, AI Claude Opus 4.6 đã thiết lập những kỷ lục khó tin:

• Tốc độ "bàn thờ": Chỉ mất vỏn vẹn 20 phút, Claude đã tìm ra lỗ hổng đầu tiên — một lỗi "Use-After-Free" cực kỳ nguy hiểm trong lõi xử lý JavaScript.

• Hiệu suất vô tiền khoáng hậu: Chỉ trong vỏn vẹn 14 ngày (2 tuần), AI này đã bắt thành công 22 lỗi bảo mật.

• Chất lượng hơn số lượng: Trong số 22 lỗi đó, có tới 14 lỗi được xếp hạng "Nghiêm trọng" (High-severity). Để dễ hình dung, con số này bằng gần 1/5 tổng số lỗi nghiêm trọng mà toàn bộ cộng đồng bảo mật toàn cầu tìm được cho Firefox trong suốt cả năm ngoái!

Sự xuất sắc này khiến chính các kỹ sư của Mozilla cũng phải kinh ngạc vì AI không chỉ báo lỗi suông, nó còn tự động đính kèm các đoạn mã kiểm tra (test cases) chuẩn xác giúp Mozilla vá lỗi ngay lập tức.

AI rất giỏi tìm lỗi, nhưng việc "Phá hoại" thì sao?

Sự kiện này mang lại hai nửa cảm xúc trái ngược: Chúng ta có một trợ lý siêu việt, nhưng lỡ hacker cũng dùng AI này để tấn công thì sao?

Tin mừng "hú vía" là: Tìm lỗi thì dễ, nhưng khai thác lỗi để hack máy tính vẫn là bài toán cực khó với AI. Khi các nhà nghiên cứu yêu cầu Claude thử viết mã khai thác (Exploit) để tấn công vào chính những lỗ hổng nó vừa tìm ra, AI này tỏ ra khá lúng túng. Dù tiêu tốn tới 4.000 USD tiền chạy lệnh (API credits) và thử nghiệm hàng trăm lần, Claude chỉ chế tạo thành công vũ khí tấn công trong đúng 2 trường hợp, và cũng chỉ hoạt động được trong môi trường phòng thí nghiệm đã bị gỡ bỏ các lớp bảo vệ cơ bản.

• Kết luận của chuyên gia: AI hiện tại săn lỗi cực giỏi và chi phí cực rẻ, nhưng để biến lỗ hổng đó thành một đòn tấn công thực tế thì vẫn cần đến sự ranh ma và kinh nghiệm thực chiến của một hacker con người.

Người dùng Firefox cần làm gì ngay lúc này?

Thử nghiệm đã kết thúc, và Mozilla đã làm việc ngày đêm để vá lại những "lỗ hổng" do AI chỉ điểm. Toàn bộ 22 lỗi này (bao gồm cả CVE-2026-2796) đã được khắc phục triệt để. Tuy nhiên, bản vá chỉ có tác dụng nếu bạn cài đặt nó!

1. Cập nhật Firefox lên phiên bản 148 (hoặc mới hơn):

   • Nhấp vào menu 3 gạch ngang ở góc trên cùng bên phải trình duyệt.

   • Chọn Trợ giúp (Help) > Giới thiệu về Firefox (About Firefox).

   • Trình duyệt sẽ tự động kiểm tra, tải về bản cập nhật và yêu cầu bạn Khởi động lại (Restart).

2. Đừng tắt tự động cập nhật: Cuộc đua vũ trang bằng AI đã bắt đầu. Hôm nay AI giúp Mozilla tìm lỗi để vá, nhưng ngày mai hacker có thể dùng AI khác để tìm lỗi và tấn công. Việc để trình duyệt tự động cập nhật ngầm là tấm khiên duy nhất của bạn.

Trí tuệ nhân tạo đang giúp Internet an toàn hơn với tốc độ ánh sáng. Hãy chung tay hoàn thành nốt công việc bằng cách cập nhật thiết bị của bạn ngay hôm nay.

Hương - Theo TheHackerNews