Ngân hàng Trung ương châu Âu (ECB) đã triệu tập các ngân hàng lớn để đàm phán khẩn cấp về các mối đe dọa an ninh mạng từ các mô hình trí tuệ nhân tạo tiên tiến, cụ thể là Claude Mythos của Anthropic. ECB cảnh báo rằng kẻ tấn công giờ đây có thể đảo ngược kỹ thuật các bản vá bảo mật trong vòng chưa đầy 30 phút, tốc độ có nguy cơ vượt xa chu kỳ vá lỗi truyền thống. Động thái này diễn ra khi các cơ quan quản lý đang gấp rút kiểm soát hậu quả từ các lỗ hổng do AI gây ra, vốn đang định hình lại bối cảnh mối đe dọa.
Mô hình AI phá vỡ các chuẩn mực phòng thủ
Viện An ninh AI của Vương quốc Anh đã thử nghiệm Claude Mythos Preview và phát hiện nó vượt qua 73% thử thách Capture the Flag cấp chuyên gia — một cột mốc chưa từng có mô hình AI nào đạt được trước tháng 4 năm 2025. Các bài tập Capture the Flag mô phỏng các cuộc tấn công mạng trong thế giới thực và đòi hỏi khả năng suy luận kỹ thuật sâu. Kết quả của viện cho thấy các hệ thống AI tiên tiến giờ có thể xác định và khai thác điểm yếu nhanh hơn so với khả năng giảm thiểu của các đội an ninh con người.
Phản ứng vá lỗi của Mozilla
Mozilla đã phải phát hành 271 bản vá bảo mật trong Firefox 150 dựa trên các lỗ hổng được Claude Mythos phát hiện. Con số đó vượt xa các bản vá được tạo ra từ mô hình trước đó, Opus 4.6, và cho thấy AI có thể tìm ra lỗi trong các phần mềm phổ biến nhanh như thế nào. Sự kiện này nhấn mạnh áp lực lên các nhà phát triển trong việc sửa lỗi trước khi kẻ tấn công vũ khí hóa chúng.
Sự khẩn cấp của ECB: 'andante sang presto'
Phó Chủ tịch ECB Frank Elderson cho biết các ngân hàng cần tăng tốc triển khai vá lỗi từ nhịp độ 'andante' lên 'presto' vì AI đang đẩy nhanh các mối đe dọa. ECB giám sát 111 ngân hàng lớn ở Eurozone, hầu hết trong số đó không có quyền truy cập trực tiếp vào các mô hình AI tiên tiến như Claude Mythos thông qua sáng kiến Project Glasswing do ngân hàng dẫn dắt. Khoảng trống đó khiến nhiều tổ chức mù mờ trước chính những công cụ mà đối thủ của họ có thể đang sử dụng.
Cảnh báo của Elderson chỉ ra một vấn đề đơn giản: nếu người phòng thủ không thể thử nghiệm với AI mới nhất, họ không thể lường trước các cuộc tấn công mà AI đó có thể thực hiện. ECB chưa đưa ra thời hạn cụ thể để tuân thủ, nhưng thông điệp rất rõ ràng — chu kỳ vá lỗi chậm chạp không còn được chấp nhận.
Truy cập không đồng đều vào AI tiên tiến
Project Glasswing được thành lập để cung cấp cho các ngân hàng quyền truy cập vào các mô hình AI tiên tiến, nhưng sự tham gia còn hạn chế. Phần lớn các ngân hàng do ECB giám sát vẫn bị khóa ngoài. Sự bất đối xứng đó tạo ra một động lực nguy hiểm — kẻ tấn công có thể khai thác điểm yếu mà người phòng thủ thậm chí chưa thấy được mô hình hóa. ECB đang thúc đẩy mở rộng quyền truy cập, nhưng chưa có lịch trình nào được công bố.
Câu hỏi trước mắt là liệu 111 ngân hàng dưới sự giám sát của ECB có nhận được các công cụ cần thiết để theo kịp hay không, hay khoảng cách giữa tấn công và phòng thủ sẽ tiếp tục gia tăng.
