Điều báo cáo không nói: khi một mô hình AI có thể viết mã tấn công hoàn chỉnh qua một đêm, toàn bộ giả định về an ninh mạng của hệ thống tài chính toàn cầu cần được viết lại.
Ngày 7/4/2026, Anthropic công bố Claude Mythos Preview, một mô hình AI có khả năng tự động phát hiện và viết mã khai thác lỗ hổng zero-day trong mọi hệ điều hành và trình duyệt web phổ biến. Khác với mọi lần ra mắt mô hình AI trước đó, Anthropic quyết định không phát hành rộng rãi Mythos vì lý do an ninh mạng.TechCrunch
Ba ngày sau, Bộ trưởng Tài chính Mỹ Scott Bessent và Chủ tịch Cục Dự trữ Liên bang Jerome Powell triệu tập cuộc họp khẩn cấp với CEO các ngân hàng lớn nhất phố Wall.Yahoo Finance Rủi ro thực sự nằm ở chỗ: đây không phải cuộc họp vì khủng hoảng tài chính hay suy thoái kinh tế, mà vì một sản phẩm công nghệ cụ thể.
Mythos: “máy phát hiện lỗ hổng” chưa từng có
Chỉ trong vài tuần thử nghiệm, Mythos Preview đã phát hiện hàng nghìn lỗ hổng zero-day nghiêm trọng, bao gồm cả những lỗi tồn tại hàng thập kỷ mà chưa từng được con người tìm ra.Help Net Security Lỗ hổng cũ nhất được ghi nhận là một bug 27 năm tuổi trong hệ điều hành OpenBSD, vốn nổi tiếng với mức độ bảo mật cao.Tom’s Hardware
Nhưng điều khiến giới tài chính thực sự lo ngại không phải là khả năng tìm lỗ hổng, mà là bước tiếp theo: khi được yêu cầu viết mã khai thác (exploit) từ các lỗ hổng đã phát hiện, Mythos đạt tỷ lệ thành công 72,4%, so với mức gần 0% của Claude Opus 4.6.The Register
Con số 72,4% này cần được đặt trong bối cảnh: trước Mythos, việc viết exploit từ một lỗ hổng zero-day đòi hỏi chuyên gia an ninh mạng hàng đầu làm việc nhiều ngày hoặc nhiều tuần. Mythos thay đổi cán cân này theo cách triệt để. Các kỹ sư tại Anthropic — không có chuyên môn an ninh mạng — đã yêu cầu Mythos tìm lỗ hổng thực thi mã từ xa (remote code execution) qua đêm, và sáng hôm sau nhận được một exploit hoàn chỉnh, sẵn sàng sử dụng.The Register
Đáng chú ý hơn, Mythos có thể ghép nối nhiều lỗ hổng thành một chuỗi tấn công (exploit chain) phức tạp. Trong một thử nghiệm, mô hình này viết chuỗi khai thác trình duyệt web ghép 4 lỗ hổng, vượt qua cả lớp sandbox của renderer lẫn hệ điều hành. Đây là kỹ thuật mà trước đây chỉ nhóm tấn công mạng cấp quốc gia mới đủ năng lực thực hiện.
Cuộc họp khẩn chưa từng có tiền lệ
Ngày 10/4/2026, Bộ trưởng Bessent và Chủ tịch Powell triệu tập CEO các ngân hàng lớn nhất nước Mỹ tại trụ sở Bộ Tài chính ở Washington. Có mặt tại cuộc họp là lãnh đạo của Citigroup, Morgan Stanley, Bank of America, Wells Fargo và Goldman Sachs.Yahoo Finance Đáng chú ý, CEO JPMorgan Chase Jamie Dimon vắng mặt, dù chính JPMorgan là một trong những đối tác của Project Glasswing.
Mục đích cuộc họp: đảm bảo các ngân hàng nhận thức đầy đủ rủi ro từ Mythos và các mô hình AI tương tự, đồng thời đang triển khai biện pháp phòng thủ cho hệ thống. Tất cả các bên đều từ chối bình luận về nội dung chi tiết.
Đây là lần hiếm hoi mà cả Bộ trưởng Tài chính lẫn Chủ tịch Fed cùng triệu tập cuộc họp khẩn với giới ngân hàng vì một sản phẩm công nghệ cụ thể. Tín hiệu từ cuộc họp này rất rõ ràng: ngay cả những người đứng đầu hệ thống tài chính lớn nhất thế giới cũng chưa sẵn sàng cho thực tế AI có thể vũ khí hóa lỗ hổng bảo mật.
Project Glasswing: phòng thủ bằng chính AI
Nhận thức rủi ro lưỡng dụng (dual-use), Anthropic đã triển khai Project Glasswing, cung cấp quyền truy cập Mythos Preview cho các tổ chức phụ trách hạ tầng phần mềm quan trọng.Anthropic
Danh sách đối tác Glasswing bao gồm 11 tổ chức công nghệ hàng đầu: Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA và Palo Alto Networks.Seeking Alpha Ngoài ra, hơn 40 tổ chức bổ sung cũng được cấp quyền tiếp cận.Fortune
Anthropic cam kết đầu tư 100 triệu USD tín dụng sử dụng và 4 triệu USD tài trợ cho các tổ chức an ninh mã nguồn mở trong khuôn khổ Glasswing.Decode The Future
Logic của Glasswing đơn giản nhưng nghiêm trọng: nếu AI có thể tìm zero-day nhanh hơn con người, thì cách duy nhất để phòng thủ là dùng chính AI đó để tìm và vá lỗ hổng trước khi kẻ tấn công kịp khai thác. Cuộc chạy đua giữa tấn công và phòng thủ giờ đây không còn là cuộc chơi giữa con người với con người, mà là AI chống AI.
Hệ thống tài chính: ba điểm yếu cốt lõi
Vì sao Bộ Tài chính và Fed phản ứng nhanh đến vậy? Bởi hệ thống ngân hàng là mục tiêu hấp dẫn nhất cho tấn công mạng, và rủi ro tập trung ở ba điểm:
Hạ tầng thanh toán phức tạp: Hệ thống SWIFT, các nền tảng thanh toán liên ngân hàng, và phần mềm ngân hàng lõi (core banking) đều chứa hàng triệu dòng mã. Đây chính xác là loại hệ thống mà Mythos giỏi nhất trong việc rà soát lỗ hổng.
Tốc độ khai thác vượt khả năng vá lỗi: Khi AI có thể tạo exploit trong vài phút, thời gian phản ứng của các đội an ninh ngân hàng — thường tính bằng ngày hoặc tuần — trở nên không đủ. Khoảng cách giữa phát hiện và khai thác đã bị AI thu hẹp gần như bằng không.
Hiệu ứng dây chuyền: Nhiều ngân hàng lớn sử dụng chung nền tảng đám mây và phần mềm bên thứ ba. Một lỗ hổng trong hạ tầng chung có thể ảnh hưởng đến toàn bộ hệ thống tài chính, không chỉ một ngân hàng đơn lẻ.
Việt Nam: số hoá nhanh, bề mặt tấn công rộng
Câu chuyện Mythos không chỉ là chuyện của phố Wall. Việt Nam đang đẩy mạnh số hoá ngân hàng với tốc độ thuộc hàng nhanh nhất khu vực, và chính tốc độ này tạo ra bề mặt tấn công rộng hơn.
Theo Chỉ thị số 02/CT-NHNN ngày 9/1/2026 của Ngân hàng Nhà nước, năm 2026 được xác định là năm trọng tâm chuyển đổi số và đảm bảo an toàn thông tin trong hoạt động ngân hàng.Vietnam.vn Từ 1/1/2026, tất cả giao dịch trực tuyến qua Mobile Banking và Internet Banking đều yêu cầu xác thực sinh trắc học.VietnamNet
Tuy nhiên, ngành ngân hàng và tài chính (BFSI) chiếm tới 71% tổng số cuộc tấn công mạng tại Việt Nam, tỷ lệ cao nhất trong mọi ngành. Thị trường an ninh mạng Việt Nam dự kiến đạt 355 triệu USD năm 2026, tăng từ 310 triệu USD năm 2025 — tăng trưởng nhanh (khoảng 14,5%/năm) nhưng vẫn rất nhỏ so với quy mô hệ thống ngân hàng.Mordor Intelligence
Các ngân hàng lớn đang tích hợp AI vào vận hành, đánh giá rủi ro, chăm sóc khách hàng, và mở rộng API. Mỗi điểm tích hợp mới là một vector tấn công tiềm ẩn. Trong bối cảnh Mythos cho thấy AI có thể vũ khí hóa lỗ hổng ở quy mô chưa từng có, câu hỏi đặt ra cho hệ thống ngân hàng Việt Nam không phải “liệu có bị tấn công hay không” mà là “đã sẵn sàng đến đâu”.
Ý nghĩa cho nhà đầu tư
Câu chuyện Mythos mở ra một loại rủi ro đầu tư mà thị trường chưa định giá đầy đủ.
Cổ phiếu ngân hàng chiếm tỷ trọng lớn nhất VN-Index. Chi phí an ninh mạng tăng sẽ ảnh hưởng trực tiếp đến biên lợi nhuận trong trung hạn. Nhưng rủi ro lớn hơn nhiều là một sự cố an ninh mạng nghiêm trọng có thể gây sụp đổ niềm tin đối với bất kỳ ngân hàng nào. VN-Index phiên sáng 10/4 tăng 1,01% lên 1.754 điểm trong bối cảnh thị trường toàn cầu phục hồi, tuy nhiên câu chuyện Mythos có thể tạo ra tâm lý thận trọng hơn trong các phiên tới, đặc biệt với nhóm ngân hàng.
Cổ phiếu an ninh mạng quốc tế, đặc biệt CrowdStrike và Palo Alto Networks — hai đối tác Glasswing — đã tăng mạnh sau tin tức. Đây là nhóm hưởng lợi trực tiếp khi nhu cầu phòng thủ AI tăng vọt.
Góc nhìn dài hạn: khi AI trở thành vũ khí tấn công mạng, chi phí phòng thủ của toàn bộ hệ thống tài chính sẽ tăng cấu trúc. Đây là xu hướng không thể đảo ngược và cần được phản ánh trong định giá ngân hàng. Đặc biệt với Việt Nam, nơi hệ thống ngân hàng đang chuẩn bị đón dòng vốn ngoại lớn hơn sau FTSE nâng hạng (hiệu lực 9/2026), năng lực an ninh mạng sẽ trở thành tiêu chí đánh giá quan trọng từ các quỹ đầu tư quốc tế.
Mythos không phải mối đe dọa trước mắt — Anthropic đang kiểm soát chặt và chỉ cấp quyền truy cập qua Project Glasswing. Nhưng mô hình này là tín hiệu cảnh báo rõ ràng: thời đại mà AI có thể tự tìm và khai thác lỗ hổng bảo mật với tốc độ vượt xa con người đã bắt đầu. Nhà đầu tư nào bỏ qua rủi ro an ninh mạng trong phân tích cổ phiếu ngân hàng sẽ tự đặt mình vào thế bất lợi.
