ASIC cảnh báo các công ty tài chính về rủi ro an ninh mạng do AI

Ủy ban Chứng khoán và Đầu tư Úc (ASIC) cảnh báo các công ty tài chính cần tăng cường phòng thủ mạng, cho biết các mô hình AI tiên tiến như Mythos của Anthropic đang làm lộ các lỗ hổng phần mềm, theo Reuters. Ủy viên ASIC Simone Constant cho rằng các doanh nghiệp nên hành động trước khi mối đe dọa trở nên rõ ràng hơn và tập trung vào các biện pháp cơ bản về khả năng phục hồi an ninh mạng.

Bối cảnh quy định

Cảnh báo này được đưa ra một tháng sau khi Cơ quan Quản lý Thận trọng Úc về Tài chính (Australian Prudential Regulation Authority) phát hành cảnh báo riêng về việc các thực hành an ninh đang gặp khó khăn trong việc theo kịp AI. Nghiên cứu độc lập từ Cambridge Centre for Alternative Finance cho thấy chỉ 20% cơ quan quản lý đã áp dụng AI tiên tiến và các cơ quan giám sát đang tụt hậu so với các công ty tài chính trong việc theo dõi các tác hại mới nổi.

Khả năng khai thác của Mythos

Bản xem trước Mythos của Anthropologic không chỉ dừng ở việc nhận diện lỗ hổng—nó có thể viết các đoạn mã khai thác (exploit) hoạt động cho các lỗi phần mềm. Mô hình đã tự tìm ra và khai thác một lỗi đã 27 năm tuổi trong OpenBSD, một hệ điều hành mã nguồn mở được xây dựng cho mục tiêu an ninh. Mythos cũng sử dụng CVE-2026-4747 để đạt thực thi mã từ xa với quyền root thông qua Network File System (NFS) trên FreeBSD, một hệ điều hành mã nguồn mở khác.

Anthropic cho biết mô hình đã tìm ra hàng nghìn lỗ hổng mức độ nghiêm trọng cao trong các hệ điều hành và trình duyệt web lớn, nhiều trong số đó đã không được phát hiện trong nhiều năm hoặc nhiều thập kỷ. Việc truy cập Mythos Preview bị hạn chế, và Project Glasswing tập hợp Amazon Web Services, các nhóm bảo mật của Apple, Google, Microsoft, NVIDIA và những đơn vị khác để bảo đảm các phần mềm được sử dụng rộng rãi trước khi các công cụ tương tự lan rộng.

Tác động đến kinh tế học an ninh mạng

Khả năng này thay đổi đáng kể chi phí và thời gian để triển khai các cuộc tấn công mạng. Các lỗi từng được xem là rủi ro thấp nay gây lo ngại hơn vì Mythos Preview có thể xây dựng exploit trong vài giờ—một công việc mà các chuyên gia kiểm thử xâm nhập cho biết trước đây sẽ mất vài tuần nếu dùng phương pháp truyền thống. Sự thay đổi này có thể khiến các công ty tài chính và các tổ chức khác cần chu kỳ vá nhanh hơn và các biện pháp phòng vệ tự động hơn.

Các thử nghiệm với những mô hình AI tiên phong khác cho thấy kỹ năng an ninh mạng nâng cao đi kèm với tiến bộ AI rộng hơn, cho thấy mối đe dọa nhiều khả năng sẽ ngày càng tăng.

Câu hỏi thường gặp

Mythos là gì và vì sao nó đáng lo đối với các công ty tài chính?

Mythos là mô hình AI tiên tiến của Anthropic có thể nhận diện lỗ hổng phần mềm và viết các exploit hoạt động. ASIC đã cảnh báo các công ty tài chính vì Mythos có thể làm lộ các lỗ hổng bảo mật trong các hệ thống được sử dụng rộng rãi, qua đó giảm thời gian và chi phí cần thiết để triển khai các cuộc tấn công mạng xuống mức giá của một khóa API. Mô hình đã chứng minh khả năng tìm ra hàng nghìn lỗ hổng mức độ nghiêm trọng cao trong các hệ điều hành và trình duyệt web.

Mythos có thể tạo exploit nhanh cỡ nào so với phương pháp truyền thống?

Mythos có thể xây dựng exploit trong vài giờ, trong khi các chuyên gia kiểm thử xâm nhập cho biết cùng một công việc sẽ mất vài tuần nếu dùng phương pháp truyền thống. Sự gia tốc này thay đổi nền tảng kinh tế học an ninh mạng và làm tăng mức độ cấp bách của việc vá các lỗ hổng.

Các cơ quan quản lý đang làm gì để đối phó rủi ro an ninh mạng do AI thúc đẩy?

ASIC khuyến nghị các công ty tài chính tăng cường phòng thủ mạng và tập trung vào các biện pháp phục hồi an ninh mạng cơ bản trước khi mối đe dọa trở nên rõ ràng hơn. Cơ quan Quản lý Thận trọng Úc về Tài chính đã đưa ra một cảnh báo tương tự về việc các thực hành bảo mật đang tụt hậu so với sự phát triển của AI. Project Glasswing, với sự tham gia của các công ty công nghệ và điện toán đám mây lớn, nhằm bảo đảm các phần mềm được sử dụng rộng rãi trước khi các công cụ tạo exploit tương tự trở nên phổ biến.