Vào tháng 9 năm ngoái, Apple công bố một trong những lớp bảo mật tham vọng nhất lịch sử macOS. Công nghệ này mang tên Memory Integrity Enforcement, viết tắt là MIE, một công nghệ bảo mật bộ nhớ mà Apple mô tả là "đỉnh cao của nỗ lực thiết kế và kỹ thuật chưa từng có.”

Apple mô tả đây là kết quả của “nửa thập kỷ thiết kế và kỹ thuật”, được tạo ra để khóa chặt bộ nhớ hệ thống và ngăn chặn hình thức tấn công nguy hiểm nhất trong bảo mật máy tính: kẻ xấu ghi đè lên vùng bộ nhớ được bảo vệ để leo thang đặc quyền và chiếm quyền kiểm soát hoàn toàn thiết bị.

Thế nhưng vào ngày 25 tháng 4 năm 2025, nhóm nghiên cứu bảo mật tại Calif, một công ty có trụ sở ở Palo Alto, bắt đầu kiểm thử một phiên bản thử nghiệm của Mythos, mô hình AI mới nhất và chưa được phát hành công khai của Anthropic. Chưa đầy một tuần sau, lớp bảo vệ mà Apple mất nửa thập kỷ xây dựng đã bị xuyên thủng.

Để hiểu tại sao điều này đáng lo ngại, cần biết Mythos không phải là mô hình AI thông thường. Anthropic chủ động giữ lại Mythos, không phát hành rộng rãi, vì chính các kỹ sư của hãng cảnh báo rằng khả năng tìm lỗ hổng phần mềm của mô hình này quá mạnh để đưa ra công chúng mà không có biện pháp kiểm soát chặt chẽ.

Thực tế đã chứng minh lo ngại đó có cơ sở: trước vụ MacOS, Mythos từng phát hiện một lỗ hổng trong hệ điều hành OpenBSD tồn tại âm thầm suốt 27 năm, đồng thời xác định nhiều điểm yếu trong Linux có thể bị dùng để chiếm quyền kiểm soát máy chủ.

Thay vì phát hành tự do, Anthropic triển khai Mythos trong khuôn khổ Project Glasswing, một chương trình nghiên cứu bảo mật phòng thủ cấp tín dụng sử dụng lên đến 100 triệu USD cho khoảng 40 tổ chức được chọn lọc, bao gồm Apple, Google và Microsoft. Mục tiêu là để các tổ chức này dùng Mythos tìm lỗ hổng trong chính hệ thống của mình trước khi tin tặc làm điều đó.

Chính trong khuôn khổ đó, nhóm Calif sử dụng Mythos để rà soát mã nguồn macOS và xác định được hai lỗ hổng chưa từng được ghi nhận. Riêng lẻ, mỗi lỗ hổng chưa đủ để tạo ra mối đe dọa nghiêm trọng. Nhưng khi ghép hai lỗ hổng lại với nhau và kết hợp thêm một số kỹ thuật tấn công bộ nhớ, nhóm Calif tạo ra được một chuỗi exploit leo thang chiếm quyền hệ thống hoàn chỉnh, cho phép tiến trình thông thường vượt qua MIE và xâm nhập vào các vùng hệ thống đáng lẽ hoàn toàn bất khả xâm phạm.

AI vẫn cần con người

Đáng chú ý là Mythos không thể tự làm được điều này một mình. CEO của Calif, ông Thai Duong, thừa nhận thẳng thắn với Wall Street Journal: "Chúng tôi chưa thấy trường hợp nào mà nó tự nghĩ ra kỹ thuật tấn công hoàn toàn mới." Mythos giỏi tái tạo và kết hợp các kỹ thuật đã được ghi chép, nhưng việc nhận ra đây là điểm yếu thực sự đáng khai thác vẫn đòi hỏi chuyên môn con người của các hacker tại Calif.

CEO của Calif, ông Thai Duong

Dù vậy, tốc độ thực hiện mới là điều khiến giới bảo mật lo ngại. Đến ngày 1 tháng 5, chỉ 5 ngày sau khi bắt đầu kiểm thử, nhóm Calif đã hoàn thiện công cụ khai thác hoàn chỉnh. Michał Zalewski, cựu chuyên gia bảo mật Google, người độc lập xem xét nghiên cứu này, xác nhận rằng các công cụ AI thế hệ mới hoàn toàn có thể được dùng cho "nghiên cứu lỗ hổng và kiểm tra mã nguồn có giá trị thực sự."

Ngay sau khi hoàn tất báo cáo kỹ thuật dài 55 trang, nhóm Calif không gửi email mà lái xe thẳng từ Palo Alto xuống trụ sở Apple tại Cupertino để trình bày trực tiếp. Apple xác nhận đang xem xét báo cáo và cho biết "bảo mật là ưu tiên hàng đầu." Ông Duong cho rằng các lỗ hổng sẽ được vá khá nhanh, và chi tiết kỹ thuật đầy đủ sẽ không được công bố cho đến khi bản vá được phát hành.

Ở cấp độ rộng hơn, vụ việc này đang gây ra những rung chuyển vượt ra ngoài phạm vi một lỗ hổng phần mềm. Nhà Trắng trước đây từng phản đối Anthropic mở rộng quyền truy cập Mythos, và những lo ngại về khả năng của các mô hình AI thế hệ mới đang buộc chính quyền Mỹ xem xét lại chiến lược AI theo hướng quản lý chặt hơn, bao gồm khả năng ban hành sắc lệnh hành pháp trao cho chính phủ quyền giám sát các mô hình AI tiên tiến nhất.