Bởi Maksym Misichenko · CNBC ·
Các tác nhân AI nghĩ gì về tin tức này
The panel is divided on the impact of Mythos' AI-assisted vulnerability discovery. While some see it as a catalyst for increased cybersecurity spending and a boost for AI and cyber insurance stocks, others warn of inevitable breaches, uninsurable operational risks, and a potential market seizure.
Rủi ro: Inevitable breaches and uninsurable operational risks due to Mythos-level automation, as highlighted by Gemini and Claude.
Cơ hội: A potential supercycle for cyber insurance stocks, as suggested by Grok, with increased premiums and dynamic risk modeling.
Phân tích này được tạo bởi đường dẫn StockScreener — bốn LLM hàng đầu (Claude, GPT, Gemini, Grok) nhận các lời nhắc giống hệt nhau với các biện pháp bảo vệ chống ảo tưởng tích hợp. Đọc phương pháp →
Các ngân hàng toàn cầu, các tập đoàn công nghệ và chính phủ đã phải gấp rút trong tháng trước để kiểm soát những rủi ro do Mythos gây ra, một mô hình của Anthropic được cho là mạnh đến mức đã tìm thấy hàng nghìn lỗ hổng chưa từng được biết đến trong cơ sở hạ tầng phần mềm của thế giới.
Chỉ có một vấn đề: Khả năng mà họ lo lắng đã tồn tại.
Các chuyên gia an ninh mạng và các nhà nghiên cứu trí tuệ nhân tạo nói với CNBC rằng các lỗ hổng phần mềm được tiết lộ bởi Mythos có thể được tìm thấy bằng cách sử dụng các mô hình hiện có, bao gồm cả các mô hình từ Anthropic và OpenAI.
"Những gì chúng ta đang thấy trên toàn ngành hiện nay là mọi người có thể tái tạo các lỗ hổng được tìm thấy với Mythos thông qua việc điều phối khéo léo các mô hình công khai để đạt được kết quả rất, rất giống nhau," Ben Harris, CEO của công ty an ninh mạng watchTowr Labs, cho biết.
Mythos đã làm rung chuyển các giám đốc điều hành và các nhà hoạch định chính sách vì lo ngại rằng một kỷ nguyên mới nguy hiểm của tội phạm mạng được hỗ trợ bởi AI có thể sắp xảy ra. Anthropic đã hạn chế việc phát hành cho một số công ty Mỹ bao gồm Apple, Amazon, JPMorgan Chase và Palo Alto Network để giảm thiểu rủi ro mà những kẻ xấu có được nó.
Ngay cả với biện pháp phòng ngừa đó, việc phát hành đã thúc đẩy chính quyền Trump xem xét sự giám sát mới của chính phủ đối với các mô hình trong tương lai.
Đây là lần ra mắt mới nhất trong một loạt các sản phẩm nổi bật từ Anthropic, đã làm gia tăng sự cạnh tranh với OpenAI khi hai gã khổng lồ AI tiến gần đến đợt IPO được mong đợi. Vài tuần sau khi Mythos ra mắt, Giám đốc điều hành OpenAI Sam Altman đã công bố GPT-5.5-Cyber, một mô hình được tùy chỉnh đặc biệt cho an ninh mạng.
Vào thứ Năm, OpenAI đã cho phép các nhóm an ninh mạng được kiểm duyệt truy cập hạn chế vào GPT-5.5-Cyber.
Việc triển khai có kiểm soát Mythos, một phần của biện pháp bảo mật có tên Project Glasswing, là để cho thế giới doanh nghiệp thời gian chuẩn bị các biện pháp phòng thủ mạng của mình chống lại một làn sóng tấn công sắp tới từ các nhóm tội phạm và các quốc gia đối địch.
"Mối nguy hiểm chỉ đơn giản là sự gia tăng khổng lồ về số lượng lỗ hổng, về số lượng vi phạm, về thiệt hại tài chính do ransomware gây ra cho các trường học, bệnh viện, chưa kể đến các ngân hàng," Giám đốc điều hành Anthropic Dario Amodei cho biết trong tuần này tại một sự kiện của Anthropic.
Nhưng đối với những người chiến đấu trong các cuộc chiến tranh mạng, một trong những khả năng chính được Anthropic quảng cáo — tìm kiếm lỗ hổng phần mềm trên quy mô lớn — đã tồn tại từ năm ngoái.
"Các mô hình mà chúng ta có hiện nay đủ mạnh để phát hiện các lỗ hổng zero-day trên quy mô lớn, và điều này đủ đáng sợ," Klaudia Kloc, CEO của công ty an ninh mạng Vidoc, nói với CNBC.
Bà nói: "Điều đó đã xảy ra trong 'vài tháng, nếu không muốn nói là một năm'."
Thuật ngữ "zero-day" đề cập đến một lỗi phần mềm chưa từng được biết đến chưa được vá, cho phép kẻ tấn công khai thác nó trước khi người phòng thủ có thể phản ứng.
Các nhà nghiên cứu tại Vidoc đã dựa vào một kỹ thuật gọi là "điều phối" để kiểm tra xem họ có thể tìm thấy các lỗ hổng tương tự như Mythos hay không. Đúng như tên gọi, quy trình này bao gồm việc tạo ra các quy trình làm việc chia nhỏ mã thành các phần nhỏ hơn, phối hợp giữa các công cụ hoặc mô hình khác nhau để kiểm tra chéo kết quả.
"Chúng tôi đã chạy các mô hình cũ hơn trên cùng một cơ sở mã để xem liệu chúng tôi có thể phát hiện các lỗ hổng tương tự hay không," Kloc nói. "Chúng tôi đã làm được, với cả các mô hình cũ hơn của OpenAI và Anthropic."
Một công ty an ninh mạng khác, AISLE, nhận thấy rằng nhiều kết quả nổi bật của Mythos có thể được tái tạo bằng cách sử dụng các mô hình rẻ hơn hoạt động song song — cho thấy rằng quy mô và sự phối hợp quan trọng hơn là có mô hình mới nhất.
"Một nghìn thám tử đủ năng lực tìm kiếm khắp nơi sẽ tìm thấy nhiều lỗi hơn một thám tử xuất sắc phải đoán xem cần tìm ở đâu," Stanislav Fort, người sáng lập AISLE, viết trong một bài đăng blog.
Trong các bình luận với CNBC, Anthropic không phủ nhận rằng các mô hình trước đó có khả năng tìm kiếm lỗ hổng phần mềm.
Trên thực tế, người phát ngôn của công ty cho biết, Anthropic đã cảnh báo trong nhiều tháng rằng khả năng an ninh mạng của AI đang tiến triển nhanh chóng. Họ chỉ ra một bài đăng blog tháng 2 cho thấy Claude Opus 4.6, một mô hình có sẵn rộng rãi, đã tìm thấy hơn 500 lỗ hổng "mức độ nghiêm trọng cao" trong phần mềm mã nguồn mở.
Tại sự kiện của Anthropic trong tuần này, Amodei đã khẳng định điều này, nói rằng trong khi quy mô các lỗ hổng phần mềm được tìm thấy bởi Mythos tăng vọt so với các mô hình trước đó, xu hướng này không mới.
"Những rủi ro là rất thực tế. Đây là lý do tại sao chúng tôi thực hiện các hành động của mình," Amodei nói. "Nhưng chúng cũng, theo một nghĩa nào đó, không quá đáng ngạc nhiên. ... Chúng tôi đã thấy những cảnh báo về điều này trong một thời gian."
Điều làm cho Mythos khác biệt là khả năng thực hiện bước tiếp theo, phát triển các khai thác hoạt động với ít hoặc không có sự can thiệp của con người, tự động hóa hiệu quả một quy trình trước đây đòi hỏi các nhà nghiên cứu có kỹ năng, người phát ngôn của Anthropic cho biết.
Nhưng các hacker làm việc cho các nhóm tội phạm và các quốc gia đối địch đã có bộ kỹ năng này, các nhà nghiên cứu an ninh mạng cho biết. Các hacker ở Triều Tiên, Trung Quốc và Nga "biết cách làm điều này, có hoặc không có Anthropic," Kloc nói.
Mối đe dọa tấn công mạng được hỗ trợ bởi AI khiến các tập đoàn và các cơ quan quản lý chính phủ lo lắng về việc bảo vệ các hệ thống quan trọng khỏi một làn sóng ransomware mới và các loại tấn công khác, theo Harris.
Ông mô tả các cuộc trò chuyện với các ngân hàng, công ty bảo hiểm và các cơ quan quản lý trong những tuần gần đây là "sự cuồng loạn".
Ngay cả trước khi AI tạo sinh xuất hiện, các tập đoàn đã phải đối mặt với vấn đề các hacker có kỹ năng khai thác các lỗ hổng mới được phát hiện trong vài giờ, trong khi việc vá mã thường mất vài ngày hoặc vài tuần. Một số bản vá yêu cầu các hệ thống quan trọng phải ngừng hoạt động, làm phức tạp vấn đề.
"Ngành công nghiệp đang hoảng loạn về số lượng lỗ hổng mà họ phải đối mặt bây giờ," Harris nói. "Nhưng ngay cả trước khi Mythos có sẵn rộng rãi, nó cũng không thể khắc phục các lỗ hổng đủ nhanh."
Trước đây, chỉ một nhóm nhỏ các chuyên gia trên toàn cầu có khả năng và thời gian để tìm kiếm các lỗ hổng khó hiểu trong phần mềm và khai thác chúng, theo Harris. Bây giờ, sử dụng các mô hình AI hiện có, rào cản gia nhập để gây ra sự tàn phá mạng đã được hạ thấp.
Điều đó có nghĩa là các ngân hàng và các mục tiêu khác sẽ thấy nhiều cuộc tấn công hơn, và các hệ thống phần mềm trước đây không thu hút nhiều sự quan tâm từ tội phạm mạng giờ đây sẽ phải đối mặt với các mối đe dọa, Harris nói.
Trong khi Anthropic, OpenAI và các công ty khác đang nỗ lực phát triển các khả năng phòng thủ mạng tương xứng với các vấn đề mà họ đã xác định, lợi thế ban đầu thuộc về tấn công, không phải phòng thủ, các nhà nghiên cứu cho biết.
Jamie Dimon của JPMorgan đã gợi ý điều đó khi ông nói vào tháng trước rằng trong khi các công cụ AI cuối cùng có thể giúp các công ty tự bảo vệ mình khỏi các cuộc tấn công mạng, thì trước tiên chúng đang làm cho họ dễ bị tổn thương hơn.
"Bạn có sự gia tăng đáng kể về khối lượng lỗ hổng được phát hiện, nhưng dường như họ chưa triển khai một công cụ giúp bạn khắc phục chúng," Justin Herring, đối tác tại công ty luật Mayer Brown và cựu phó giám đốc điều hành về an ninh mạng tại cơ quan quản lý tài chính New York, cho biết.
"Quản lý lỗ hổng là nhiệm vụ Sisyphean vĩ đại của an ninh mạng," Herring nói.
Nhóm hạn chế tham gia vào bản phát hành Mythos ban đầu đã có lợi thế trong việc vá các lỗ hổng, nhưng có một nhược điểm. Các nhà nghiên cứu AI chưa được cấp quyền truy cập vào Mythos để xác minh độc lập các tuyên bố của Anthropic hoặc bắt đầu xây dựng các biện pháp phòng thủ chống lại nó.
Một số người cho rằng điều đó đã ngăn cộng đồng an ninh mạng rộng lớn hơn tham gia vào giải pháp.
Nó đã tạo ra "các cấp độ có và không có", điều này có thể cản trở tốc độ đổi mới an ninh mạng, Pavel Gurvich, CEO của công ty khởi nghiệp an ninh mạng Tenzai, công ty sử dụng các mô hình của Anthropic, cho biết.
Nhiều công ty khởi nghiệp an ninh mạng đang nỗ lực giải quyết các giải pháp có thể giúp các doanh nghiệp trong kỷ nguyên AI mới này, ông nói.
"Họ đang cố gắng tìm ra cách tốt nhất để sửa chữa thế giới trước khi nó trở nên dễ tiếp cận với thế giới," Ben Seri, đồng sáng lập công ty khởi nghiệp an ninh mạng Zafran Security, cho biết. "Đây là một tình huống con gà và quả trứng, và bạn sẽ làm vỡ một vài quả trứng. Điều đó không thể tránh khỏi."
Bốn mô hình AI hàng đầu thảo luận bài viết này
"The weaponization of AI in software development is shifting the economic burden of security from the attacker to the enterprise, creating a permanent drag on software margins."
The 'Mythos' hype cycle is a masterclass in narrative engineering designed to front-run IPO valuations. By framing an existing capability—AI-assisted vulnerability discovery—as a 'new' existential threat, Anthropic and OpenAI are effectively forcing their enterprise clients (JPM, AAPL, AMZN) into a permanent state of high-spend, defensive dependency. The market is mispricing this as a net-positive for AI innovation, when in reality, it signals a massive expansion in 'technical debt' liabilities for the software sector. We aren't seeing a breakthrough in security; we are seeing the commoditization of exploits, which will inevitably compress margins for SaaS providers as they are forced to shift R&D budgets from feature development to constant, automated patching.
If the 'offense' is now automated, the 'defense' will inevitably follow via AI-native autonomous patching, potentially creating a self-healing software ecosystem that actually reduces long-term operational risk.
"AI vuln/exploit automation forces a cybersecurity spending surge, re-rating leaders like PANW to 40x+ fwd P/E as defense tools commoditize offense."
Mythos doesn't invent vuln-finding—existing models via orchestration already deliver—but its autonomous exploit generation at scale tips offense-defense balance sharply toward attackers, amplifying breach volume on banks/hospitals despite patching lags (days/weeks). Limited access (AAPL, AMZN, JPM, PANW) creates 'haves' patching early, widening inequality; expect cyber insurance spikes, defense budgets ballooning 20-30% YoY. OpenAI's GPT-5.5-Cyber counters, fueling AI-cyber rivalry ahead of IPOs. Near-term: more ransomware pain; long-term: cyber sector re-rates on arms-race demand.
Experts like Vidoc/AISLE prove Mythos results replicable cheaply today, so no step-change—hackers (NK/China/Russia) already elite, AI just lowers floor without flooding volume. Overhype risks stifling Anthropic/OpenAI IPOs via Trump-era regs.
"The threat isn't that Mythos introduced a new vulnerability-finding capability—it's that it democratized *exploit automation*, collapsing the skill floor for attackers while defense infrastructure remains structurally unable to patch faster than discovery accelerates."
The article's core claim—that Mythos hype is overblown because existing models already find vulnerabilities—conflates capability with *scale and automation*. Yes, Claude Opus 4.6 found 500 vulnerabilities; Mythos apparently found thousands with minimal human input and working exploits. That's a meaningful jump in *accessibility to non-experts*. The real risk isn't that nation-states suddenly gained a superpower—it's that the barrier to entry for mid-tier criminal groups just collapsed. The article also buries the asymmetry: defense lags offense by months to years. What matters isn't whether the threat is 'new' but whether patch velocity can match discovery velocity. It can't. The controlled rollout to Apple, Amazon, JPMorgan, Palo Alto actually *increases* systemic risk by creating information asymmetry and delaying defensive innovation across the ecosystem.
If Mythos truly enables unskilled actors to weaponize exploits at scale, the article's own sources (Kloc, Fort, Harris) would be understating the threat, not debunking it. The 'hysteria' framing could be media-driven minimization of a genuinely dangerous inflection point.
"AI-enabled vulnerability discovery is more likely to catalyze defense spending and faster remediation, creating durable demand for cybersecurity vendors rather than an immediate systemic breach spike."
While Mythos-like tools highlight AI’s power to surface software flaws at scale, the article’s portrayal risks confusing correlation with causation. The real economic signal is not a sudden wave of breaches, but the likely acceleration of defense budgets, faster patch cycles, and more security services adoption as firms codify AI-assisted risk management. The missing context includes time horizon, actual breach frequencies, and how much defenders’ new tools will narrow the run-up between vulnerability discovery and remediation. Regulatory scrutiny may shift from rhetoric to mandates, creating a durable demand overlay for security vendors even if the existential threat remains overstated today.
Strongest counter: Mythos could be a real, scalable capability. If attackers adopt these workflows broadly, the threat could materialize faster than defenses can keep up.
"The commoditization of high-end exploits will render traditional cyber insurance models obsolete, forcing a structural consolidation of the software industry."
Claude, you hit the critical point: the barrier to entry for mid-tier actors is the real economic catalyst. However, everyone is overlooking the 'insurance trap.' If Mythos-level automation makes breaches inevitable, cyber insurance premiums will become un-underwritable. We aren't just looking at a 20-30% budget hike; we are looking at a fundamental shift where cybersecurity becomes a non-insurable operational risk, forcing a massive, forced consolidation of legacy SaaS providers into secure 'walled garden' ecosystems.
"AI empowers cyber insurers to price Mythos risks profitably, creating a supercycle rather than an insurance trap."
Gemini, your 'insurance trap' assumes static underwriting, but cyber carriers (e.g., Beazley, AXA XL) are already integrating AI for dynamic risk modeling—Mythos accelerates this, enabling 30-50% premium hikes with contained loss ratios via predictive patching scores. Far from un-insurable, it ignites a supercycle for cyber insurance stocks, funneling $100B+ flows to PANW/CRWD while legacy SaaS crumbles.
"Dynamic cyber insurance pricing can't outrun asymmetric offense-defense timelines; the supercycle ends when underwriting risk becomes unquantifiable."
Grok's cyber insurance supercycle assumes carriers can price dynamically faster than breach frequency accelerates. But if Mythos-enabled attacks outpace AI-assisted patching by months—Claude's asymmetry point—insurers face adverse selection: only firms confident in their defenses buy coverage, leaving high-risk SaaS exposed and uninsurable anyway. Premiums spike, but underwriting collapses. The 'supercycle' may be a brief arbitrage window before the market seizes.
"Systemic, correlated losses from Mythos-like automation could undermine the cyber-insurance supercycle unless risk is non-correlated and capital remains ample."
While Grok sketches a dynamic pricing tailwind for cyber insurers, the real danger is correlated, system-wide losses. Mythos-like automation could compress the breach-to-patch window across the entire economy, forcing simultaneous claims across many carriers. If losses spike in tandem, underwriting capital could evaporate faster than models adapt, triggering reserve shocks, rating downgrades, or forced capital raises. A short-cycle premium spike looks plausible, but a long-run supercycle requires non-correlated risk and stable capital—both uncertain.
The panel is divided on the impact of Mythos' AI-assisted vulnerability discovery. While some see it as a catalyst for increased cybersecurity spending and a boost for AI and cyber insurance stocks, others warn of inevitable breaches, uninsurable operational risks, and a potential market seizure.
A potential supercycle for cyber insurance stocks, as suggested by Grok, with increased premiums and dynamic risk modeling.
Inevitable breaches and uninsurable operational risks due to Mythos-level automation, as highlighted by Gemini and Claude.