Lỗ hổng zero-day đã khiến Anthropic phải tạm ngừng hoạt động hai trong số các mô hình AI tiên tiến nhất của họ: Fable 5 và Mythos 5. Quyết định này được đưa ra sau khi chính phủ Hoa Kỳ ban hành chỉ thị kiểm soát xuất khẩu vào ngày 12 tháng 6, yêu cầu công ty chặn quyền truy cập của tất cả các cá nhân không phải là công dân Hoa Kỳ, bất kể họ đang ở đâu, bao gồm cả nhân viên nước ngoài của chính Anthropic.
Do Anthropic không có khả năng phân tách người dùng nước ngoài khỏi các cơ sở người dùng còn lại trong thời gian thực một cách đáng tin cậy, hệ quả là hai mô hình này bị ngừng hoạt động trên toàn cầu. Các mô hình khác của Anthropic vẫn hoạt động bình thường.
Chính phủ Hoa Kỳ, viện dẫn các thẩm quyền an ninh quốc gia, đã gửi chỉ thị này tới Anthropic vào lúc 5:21 PM ET ngày thứ Sáu, 12 tháng 6 năm 2026. Lệnh này quy định rằng không một cá nhân không phải là công dân Hoa Kỳ nào, dù ở trong hay ngoài Hoa Kỳ, bao gồm cả nhân viên nước ngoài của Anthropic, được phép truy cập vào hai mô hình này.
Quyết định này nhấn mạnh các rủi ro bảo mật tiềm ẩn khi các mô hình AI tiên tiến có thể bị khai thác cho các mục đích bất hợp pháp hoặc nguy hiểm.
Chi tiết chỉ thị và lý do
Chỉ thị không cung cấp chi tiết cụ thể về mối quan ngại an ninh quốc gia. Tuy nhiên, theo Anthropic, chính phủ tin rằng họ đã phát hiện ra một phương pháp để vượt qua hoặc “jailbreak” mô hình Fable 5.
Kỹ thuật jailbreak được cho là liên quan đến việc yêu cầu mô hình đọc một cơ sở mã cụ thể và xác định các lỗ hổng phần mềm. Theo Anthropic, chính phủ chỉ cung cấp bằng chứng bằng lời nói về một khả năng jailbreak tiềm ẩn, hẹp và không phổ biến.
Anthropic đã xem xét một buổi trình diễn về kỹ thuật cụ thể này và nhận thấy rằng nó chỉ đưa ra một số ít các lỗ hổng đã biết trước đó và có mức độ nghiêm trọng thấp. Quan trọng hơn, công ty tuyên bố rằng các mô hình công khai khác, bao gồm GPT-5.5 của OpenAI, có thể tạo ra cùng một kết quả mà không cần bất kỳ biện pháp vượt qua nào.
Chiến lược phòng thủ của Anthropic
Anthropic thừa nhận rằng khả năng chống jailbreak hoàn hảo hiện chưa đạt được với bất kỳ nhà cung cấp mô hình nào. Để đối phó, công ty đã áp dụng một chiến lược phòng thủ theo chiều sâu (defense-in-depth).
Chiến lược này bao gồm việc thiết kế các kỹ thuật jailbreak không phổ biến để có phạm vi hẹp và các kỹ thuật jailbreak phổ biến có chi phí sản xuất cao, kết hợp với giám sát toàn diện để phát hiện và chặn các cuộc tấn công thành công một cách nhanh chóng.
Là một phần của chiến lược này, Anthropic đã triển khai chính sách lưu giữ dữ liệu khách hàng 30 ngày cho các mô hình lớp Mythos để hỗ trợ nghiên cứu và giảm thiểu jailbreak liên tục.
Ảnh hưởng và các bước tiếp theo
Việc tạm ngừng hoạt động của Fable 5 và Mythos 5 có khả năng ảnh hưởng đáng kể đến các tổ chức và nhà nghiên cứu đang sử dụng các mô hình này cho các ứng dụng phức tạp.
Anthropic đã xin lỗi các khách hàng bị ảnh hưởng và tuyên bố rằng họ đang khẩn trương làm việc để khôi phục quyền truy cập. Công ty cam kết sẽ công bố thêm các chi tiết kỹ thuật trong vòng 24 giờ kể từ khi nhận được chỉ thị.
Các cơ quan quản lý và các nhà phát triển AI khác đang theo dõi chặt chẽ tình hình này, vì nó có thể định hình các quy định trong tương lai đối với việc phát triển và triển khai các mô hình AI mạnh mẽ. Việc kiểm soát xuất khẩu các công nghệ AI tiên tiến đang trở thành một vấn đề quan trọng liên quan đến an ninh mạng quốc gia và toàn cầu.
Sự kiện này cũng làm nổi bật tầm quan trọng của việc liên tục nghiên cứu và phát triển các biện pháp bảo mật cho các hệ thống AI. Việc chủ động vá lỗi và nâng cao khả năng phòng thủ trước các mối đe dọa mới nổi là điều cần thiết để duy trì sự an toàn và tin cậy của công nghệ AI.
Các chuyên gia trong ngành khuyến nghị các tổ chức sử dụng các mô hình AI nên theo dõi chặt chẽ các bản tin bảo mật và tuân thủ các hướng dẫn mới nhất từ các nhà cung cấp và cơ quan quản lý. Việc cập nhật các bản vá bảo mật kịp thời và áp dụng các biện pháp giảm thiểu rủi ro là cực kỳ quan trọng.
Thông tin chi tiết về các lỗ hổng và phương pháp khai thác được cập nhật thường xuyên trên các nguồn đáng tin cậy như CISA (Cybersecurity and Infrastructure Security Agency).
