lỗ hổng CVE trong Mozilla Firefox đang được nhìn nhận theo một góc độ mới khi mô hình AI frontier Claude Mythos Preview phát hiện tới 271 zero-day vulnerabilities. Kết quả này đã được xử lý trong Firefox 150, tạo thành đợt vá lỗi lớn nhất trong lịch sử trình duyệt này và là một ví dụ rõ ràng về cảnh báo CVE do AI hỗ trợ.
AI phát hiện 271 lỗ hổng CVE trong Firefox
Mozilla cho biết nhóm bảo mật Firefox đã phối hợp với Anthropic từ tháng 2/2026 để quét mã nguồn trình duyệt bằng các mô hình AI tiên tiến. Ở giai đoạn trước đó, Claude Opus 4.6 đã tìm thấy 22 lỗ hổng, trong đó có 14 lỗ hổng mức high-severity, và các bản sửa đã được phát hành trong Firefox 148.
Trên nền tảng đó, Mozilla tiếp tục áp dụng Claude Mythos Preview cho toàn bộ codebase của Firefox. Kết quả đánh giá mới phát hiện 271 lỗ hổng CVE chỉ trong một lần quét, và toàn bộ đã được vá trong bản phát hành Firefox 150.
So sánh với số liệu trước đó
Năm 2025, Mozilla đã xử lý khoảng 73 lỗ hổng high-severity trong cả năm. Con số 271 lỗ hổng được phát hiện trong một đợt quét AI riêng lẻ cho thấy tốc độ và phạm vi của lỗ hổng CVE có thể được phát hiện nhanh hơn đáng kể so với quy trình rà soát truyền thống.
Khả năng khai thác zero-day và ảnh hưởng hệ thống
Claude Mythos được mô tả là có thể tự động tìm và khai thác zero-day trên các hệ điều hành và trình duyệt lớn mà không cần can thiệp của con người sau prompt ban đầu. Đây là đặc điểm quan trọng khi đánh giá rủi ro bảo mật của các nền tảng có bề mặt tấn công lớn.
Các benchmark cho thấy mô hình đạt 93,9% trên SWE-bench và 97,6% trên USAMO. Riêng trong Firefox JavaScript shell, Mythos chuyển được 72,4% số lỗ hổng đã xác định thành exploit thành công, và thêm 11,6% số lần thử đạt mức register control.
Về mặt kỹ thuật, điều này cho thấy một phần đáng kể các lỗ hổng trong môi trường thực thi có thể dẫn tới remote code execution hoặc kiểm soát luồng xử lý, tùy theo bối cảnh và loại lỗi cụ thể. Với đội phòng thủ, việc phát hiện sớm các lỗ hổng CVE kiểu này giúp giảm nguy cơ hệ thống bị xâm nhập.
lỗ hổng CVE và giá trị của AI trong rà soát mã nguồn
Điểm đáng chú ý của chiến dịch này là khả năng mở rộng sang các hệ thống phức tạp. Mythos cũng đã phát hiện các lỗi tồn tại lâu năm trong những thành phần hạ tầng quan trọng, gồm:
- OpenBSD: lỗi tồn tại 27 năm
- FFmpeg: lỗi tồn tại 16 năm
- FreeBSD: lỗi tồn tại 17 năm
Những phát hiện này cho thấy lỗ hổng CVE không chỉ xuất hiện ở các thành phần mới mà còn có thể nằm ẩn trong các dự án trưởng thành, nơi nhiều lớp phân tích tự động và thủ công trước đó không phát hiện được.
Ngữ cảnh kỹ thuật của phát hiện
Một mô hình có thể xác định lỗi, tạo exploit thử nghiệm và đạt quyền kiểm soát thanh ghi trong môi trường giới hạn là tín hiệu quan trọng đối với threat intelligence và quy trình phát hiện xâm nhập. Điều này không đồng nghĩa mọi lỗ hổng đều dẫn tới khai thác thực tế, nhưng nó giúp ưu tiên vá lỗi theo mức độ rủi ro thực thi.
Trong trường hợp Firefox, toàn bộ các phát hiện đã được khắc phục trong Firefox 150. Thông tin chi tiết có thể tham khảo từ Mozilla tại: Mozilla Security Blog.
Ảnh hưởng đối với quy trình bảo mật
Sự kiện này cho thấy cảnh báo CVE ngày càng có thể được tạo ra ở quy mô lớn hơn nhờ AI. Với đội vận hành, trọng tâm không chỉ là cập nhật bản vá mà còn là kiểm tra mức độ ảnh hưởng của từng lỗ hổng CVE đối với bề mặt tấn công cụ thể của ứng dụng.
Trong bối cảnh trình duyệt và runtime là điểm tiếp xúc phổ biến, các tổ chức cần ưu tiên update vá lỗi nhanh, đặc biệt với các thành phần xử lý JavaScript, parser, media stack và các module có khả năng dẫn tới chiếm quyền điều khiển hoặc thoát khỏi sandbox nếu bị khai thác.
Điểm chính cần theo dõi
- 271 zero-day vulnerabilities được phát hiện trong Firefox
- Đã được vá trong Firefox 150
- Giai đoạn trước đó: 22 lỗ hổng, gồm 14 high-severity
- Mythos đạt 72,4% thành công khai thác trong Firefox JavaScript shell
- Đã phát hiện lỗi tồn tại lâu năm trong OpenBSD, FFmpeg, và FreeBSD
Khuyến nghị kỹ thuật cho đội phòng thủ
Với các hệ thống có phụ thuộc vào trình duyệt hoặc thư viện xử lý nội dung, việc theo dõi lỗ hổng CVE cần đi kèm rà soát phiên bản, áp dụng bản vá bảo mật và kiểm tra các điểm có thể bị remote code execution. Trong môi trường kiểm thử, nên tái dựng các điều kiện khai thác ở mức lab để xác định khả năng thực thi thực tế, thay vì chỉ dựa vào mô tả mức độ nghiêm trọng.
Trường hợp phát hiện lỗ hổng mới, các đội an toàn thông tin cần ưu tiên phân loại theo: khả năng khai thác, phạm vi ảnh hưởng hệ thống, mức độ ổn định của exploit và khả năng dẫn tới hệ thống bị tấn công. Đây là cách tiếp cận phù hợp khi một đợt quét AI có thể tạo ra số lượng lỗ hổng CVE rất lớn trong thời gian ngắn.
