Reuters hôm 12/5 dẫn nguồn tin thân cận cho biết, khi thử nghiệm Mythos, một số ngân hàng lớn của Mỹ nhận thấy mô hình này xuất sắc trong việc tìm kiếm lỗ hổng bảo mật trong cả mã nguồn mở lẫn độc quyền, đồng thời giỏi kết hợp các lỗ hổng rủi ro thấp thành lỗ hổng rủi ro cao.
Công cụ AI của Anthropic đã phát hiện hàng trăm đến hàng nghìn lỗ hổng bảo mật xếp hạng từ thấp đến trung bình, gây áp lực buộc nhiều ngân hàng nhanh chóng kiểm tra và nâng cấp phần mềm. Các ngân hàng lớn cũng đang hỗ trợ những ngân hàng nhỏ hơn vốn không có quyền truy cập trực tiếp vào công cụ này.
Sự việc gây xáo trộn không nhỏ vì ngân hàng phải tiến hành vá lỗi với tốc độ chưa từng thấy, đôi khi chỉ trong vài ngày với một lỗi mà trước đây cần vài tuần. Khối lượng công việc gia tăng có thể khiến ngân hàng phải dừng hoạt động thường xuyên hơn, dù họ sẽ tìm cách tối thiểu hóa sự gián đoạn.
Một quan chức quản lý ngân hàng cấp cao cho biết, Mythos mạnh đúng như dự đoán và cực kỳ thành thạo trong việc kết nối dữ kiện để làm nổi bật những lỗ hổng mà con người có thể mất nhiều thời gian hơn đáng kể mới nhận ra. Giới chuyên gia cảnh báo, những ngân hàng không có quyền truy cập công cụ này nên chủ động bảo vệ hệ thống.
Theo Bernard Montel, Giám đốc kỹ thuật kiêm chiến lược gia an ninh khu vực châu Âu – Trung Đông – châu Phi của công ty Tenable, các lĩnh vực khác cũng dễ tổn thương, nhưng công nghệ là xương sống của ngành ngân hàng, tức việc gián đoạn hệ thống sẽ ảnh hưởng đến hoạt động cốt lõi.
Anthropic từ chối bình luận về sự việc.
Trước đó, hồi đầu tháng 3, Jared Kaplan, nhà đồng sáng lập kiêm Giám đốc khoa học Anthropic, cùng một nhà đồng sáng lập khác là Sam McCandlish trình bày về Mythos với ban giám đốc. Cả hai cho biết AI này quá rủi ro nếu phát hành rộng rãi, nhưng có thể cho phép các công ty khác, thậm chí đối thủ cạnh tranh, dùng thử.
Đến 7/4, sau nhiều lần cân nhắc, Anthropic công bố AI mới với tên gọi “Mythos Preview”. Thay vì thương mại hóa, công ty chỉ cấp quyền truy cập cho 12 đối tác trong Dự án Glasswing – được mô tả là “nỗ lực nhằm bảo vệ những phần mềm quan trọng nhất thế giới” – và khoảng 40 tổ chức khác. Một số cái tên được cấp quyền gồm ngân hàng JPMorgan Chase, Amazon Web Services, Apple, Microsoft, Google, Nvidia, Broadcom, CrowdStrike, Mozilla.
Anthropic cho biết trong các thử nghiệm, Mythos có kỹ năng rất cao với tác vụ an ninh mạng và hack, thậm chí vượt con người. Trong phép đo CyberGym – bài kiểm tra khả năng tìm lỗ hổng bảo mật của tác nhân AI trong các dự án phần mềm mã nguồn mở thực tế, Mythos đạt điểm cao kỷ lục 83,1%. Để so sánh, công cụ GLM 5.1 của Zhipu AI đạt 68,7%, còn Moonshot AI đạt 41,3%.
Ciaran Martin, cựu lãnh đạo Trung tâm An ninh mạng quốc gia Anh, đánh giá việc Mythos có thể phát hiện lỗ hổng nghiêm trọng nhanh hơn nhiều so với những mô hình AI khác “thực sự gây chấn động”. Ông nói với BBC: “Ngay cả những thứ chúng ta biết tồn tại hay chưa tồn tại, Mythos vẫn phát hiện ra. Nó đơn giản là một siêu hacker”.
Mythos Preview cũng được nhận xét là đắt đỏ. Giống như các mô hình AI khác, công cụ này được định giá dựa trên số lượng token (đơn vị dữ liệu đầu vào cơ bản) phải tiêu thụ để phản hồi câu lệnh của người dùng. Chi phí của Mythos là 25 USD cho một triệu token đầu vào và 125 USD cho một triệu token đầu ra, cao gấp 5 lần Opus 4.7, mô hình AI hàng đầu phổ biến hơn của Anthropic.
Tuy nhiên, Anthropic cho biết sẽ cung cấp khoản tín dụng trị giá 100 triệu USD cho các đối tác Glasswing và khách hàng khác truy cập Mythos, cho rằng số tiền này đủ trả cho mức sử dụng lớn trong giai đoạn nghiên cứu thử nghiệm. Anthropic đưa ra một số khuyến nghị giúp các công ty củng cố hệ thống phòng thủ ngay cả khi không có quyền truy cập Mythos. Claude Security, một công cụ khác của công ty, cũng có khả năng quét lỗ hổng bảo mật và đang được phân bố rộng rãi hơn.
Trong tuần này, nhiều người dùng đã phản ánh về việc xuất hiện các quảng cáo dài 90 giây không thể bỏ qua trên ứng dụng YouTube dành cho TV và điều này đã gây ra sự không hài lòng. Ngay sau khi vấn đề được phát hiện, YouTube đã điều tra và thông báo đang triển khai bản vá lỗi.
Theo thông tin từ YouTube được chia sẻ với trang 9to5Google, các sự cố video quảng cáo 90 giây không bỏ qua này xuất phát từ một lỗi kỹ thuật, khiến ứng dụng hiển thị "thời gian dài hơn và không chính xác" cho các quảng cáo thực tế, vốn không dài 90 giây. YouTube khẳng định hiện tượng này không phải là cố ý và không liên quan đến bất kỳ thử nghiệm nào về định dạng quảng cáo mới.
Theo chính sách của YouTube, quảng cáo không thể bỏ qua chỉ được giới hạn ở 30 giây. Mặc dù có thể có quảng cáo dài hơn, nhưng những quảng cáo yêu cầu người xem phải xem hết không được vượt quá thời gian này. Mặc dù vậy, các báo cáo gần đây cho thấy một số quảng cáo trên ứng dụng YouTube dành cho TV lại hiển thị bộ đếm ngược 90 giây, điều đó rõ ràng thông tin từ YouTube là không đúng.
YouTube cho biết: "Chúng tôi đã xác định đây là do một lỗi phần mềm, dẫn đến việc hiển thị bộ đếm thời gian cao hơn và không chính xác cho các quảng cáo ngắn hơn. Chúng tôi đang triển khai bản sửa lỗi ngay từ bây giờ. Như đã nói, chúng tôi không có định dạng quảng cáo 90 giây không thể bỏ qua và đây không phải là một thử nghiệm".
Hiện tại, bản chất của lỗi vẫn chưa được làm rõ và thời gian hoàn tất bản vá vẫn chưa được xác định. Tuy nhiên, người dùng sẽ sớm không còn phải chịu đựng tình trạng chờ đợi kéo dài bất thường này.
Nếu như trước đây, tội phạm mạng chủ yếu dựa vào kỹ năng và công cụ truyền thống, thì hiện nay sự can thiệp của AI đã làm thay đổi căn bản phương thức và bản chất của các mối đe dọa đến lĩnh vực an ninh mạng toàn cầu.
Phân tích tại hội thảo "Bảo mật trong kỷ nguyên AI - Chiến lược hình thành tương lai số" do Hiệp hội An ninh mạng quốc gia (NCA) phối hợp cùng Check Point Software Technologies tổ chức sáng 7.4 tại Hà Nội, đại tá Nguyễn Hồng Quân - Phó cục trưởng Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao (A05 - Bộ Công an), Trưởng ban An ninh dữ liệu và Bảo vệ dữ liệu cá nhân (NCA) chỉ rõ: "Không gian mạng đang trở thành 'mặt trận nóng', nơi các mối đe dọa gia tăng cả về quy mô lẫn mức độ tinh vi. Với sự hỗ trợ của AI, các cuộc tấn công mạng có thể được tự động hóa, cá nhân hóa và triển khai nhanh chóng trên diện rộng".
Thực tế tại Việt Nam, các hình thức lừa đảo tinh vi như giả mạo danh tính, sử dụng công nghệ deepfake hay phát tán mã độc có khả năng tự thích nghi để né tránh hệ thống phòng thủ đang diễn ra phức tạp. Tội phạm mạng đang chuyển dần sang mô hình có tổ chức, mang tính "công nghiệp", tận dụng AI để tối ưu hóa hiệu quả tấn công, tạo áp lực tâm lý buộc nạn nhân chuyển tiền hoặc cung cấp dữ liệu nhạy cảm.
Ở góc nhìn quốc tế, bà Ruma Balasubramanian - Chủ tịch Check Point Software Technologies khu vực châu Á - Thái Bình Dương và Nhật Bản cũng đồng tình khi nhận định: "AI đang tái định hình cả sự đổi mới trong kinh doanh lẫn các rủi ro an ninh mạng". Bà Ruma phân loại mối đe dọa đặc thù của AI hiện nay thành ba nhóm chính: rò rỉ dữ liệu, tấn công chèn lệnh (prompt injection) và can thiệp quy trình. Những rủi ro này có quy mô và tốc độ lây lan vượt xa các phương thức truyền thống như lừa đảo qua email.
Đứng trước các nguy cơ, hành lang pháp lý tại Việt Nam đang được khẩn trương hoàn thiện, tiêu biểu là luật An ninh mạng và Chiến lược AI đến năm 2030, trong đó nhấn mạnh yêu cầu an toàn, minh bạch trong toàn bộ vòng đời công nghệ.
Theo đại tá Nguyễn Hồng Quân, giải pháp cốt lõi hiện nay nằm ở hai khía cạnh: bảo mật cho AI (Security for AI) và dùng AI cho an ninh (AI for Security). AI hoạt động như một bộ não ra quyết định; nếu bị tấn công hoặc "đầu độc dữ liệu", trí tuệ nhân tạo sẽ đưa ra sai lầm nghiêm trọng. Ngược lại, chính AI với năng lực xử lý vượt trội lại là công cụ đắc lực để nhận diện sớm mô hình tấn công mạng.
Nhằm giúp các doanh nghiệp xây dựng hạ tầng AI an toàn, đại diện Check Point đã đề xuất các giải pháp kỹ thuật như mô hình "AI Factory Security Blueprint", một kiến trúc tham chiếu giúp kiểm soát rủi ro từ hạ tầng GPU đến các mô hình ngôn ngữ lớn (LLM). Đồng thời, nền tảng "AI Defense Plane" được giới thiệu nhằm cung cấp lớp phòng thủ đa tầng trước các hành vi độc hại từ AI agents và ngăn chặn rò rỉ dữ liệu, quản trị chặt chẽ các công cụ AI mà nhân viên sử dụng (tránh tình trạng Shadow AI).
Tuy nhiên, bài toán an ninh mạng không thể chỉ giải quyết bằng công nghệ đơn lẻ. Ông Nguyễn Hồng Quân nhấn mạnh: "AI không chỉ là công cụ, mà đang trở thành một yếu tố định hình lại không gian an ninh mạng và an ninh quốc gia. Việc chủ động nắm bắt, làm chủ và bảo đảm an toàn cho các công nghệ AI sẽ là yếu tố quyết định đối với sự phát triển bền vững và an toàn của mỗi quốc gia trong tương lai".
Để làm được điều đó, sự hợp tác là chìa khóa. Lãnh đạo NCA nhấn mạnh cần xây dựng hệ sinh thái an ninh mạng mở, nơi các bên cùng chia sẻ thông tin, phối hợp nghiên cứu và triển khai giải pháp công nghệ tiên tiến.
Từ ngày 1.7, người chơi game tại Việt Nam có thể bị phạt tới 3 triệu đồng nếu mua bán vật phẩm ảo, đơn vị ảo hoặc điểm thưởng trong trò chơi điện tử, theo quy định mới của Chính phủ.
Nghị định 174/2026/NĐ-CP được ban hành ngày 15.5, có hiệu lực từ 1.7, quy định xử phạt vi phạm hành chính trong các lĩnh vực bưu chính, viễn thông, công nghệ thông tin, an toàn thông tin mạng và giao dịch điện tử. Trong đó, Điều 101 đưa ra các mức xử phạt trực tiếp với người chơi trò chơi điện tử.
Theo quy định, người chơi có hành vi mua, bán vật phẩm ảo hoặc đơn vị ảo hoặc điểm thưởng trong trò chơi điện tử sẽ bị phạt tiền từ 2 - 3 triệu đồng. Đây là một trong những mức xử phạt cao nhất áp dụng trực tiếp với nhóm đối tượng là người chơi trong điều khoản này.
Ngoài hành vi liên quan giao dịch vật phẩm ảo, nghị định cũng quy định cảnh cáo với người chơi đăng ký không đúng thông tin cá nhân khi tham gia trò chơi điện tử G1. Người không chấp hành quy định về quản lý giờ chơi tại điểm cung cấp dịch vụ trò chơi điện tử công cộng có thể bị phạt từ 600.000 đồng đến 1 triệu đồng.
Cùng mức phạt từ 2 - 3 triệu đồng, người lợi dụng trò chơi điện tử để thực hiện hành vi vi phạm pháp luật, gây mất trật tự, an toàn xã hội hoặc ảnh hưởng đến an ninh quốc gia cũng thuộc diện bị xử lý.
Điểm cần lưu ý là các quy định này áp dụng với người chơi, không phải nhóm nghĩa vụ dành cho doanh nghiệp phát hành hoặc đơn vị cung cấp dịch vụ trò chơi điện tử trên mạng. Điều này cho thấy nghị định mới không chỉ siết trách nhiệm của đơn vị vận hành game mà còn bổ sung chế tài cụ thể với hành vi của người dùng.
Hoạt động mua bán vật phẩm, tài nguyên hoặc điểm thưởng trong game từ lâu đã xuất hiện trên nhiều nhóm trao đổi giữa người chơi, đặc biệt với các tựa game có hệ thống vật phẩm giá trị cao hoặc cơ chế tích lũy tài nguyên. Với quy định mới, những giao dịch thuộc nhóm hành vi bị cấm theo nghị định có thể trở thành căn cứ để xử phạt hành chính từ tháng 7.
