Tóm tắt
Epoch AI ghi nhận số lượng CVE mức high và critical tăng mạnh trong năm 2026. Riêng tháng 6/2026, các tổ chức lớn công bố khoảng 1.500 CVE nghiêm trọng, cao hơn 3,5 lần so với kỷ lục theo tháng trước thời điểm Claude Mythos Preview được công bố.
Mốc thời gian đáng quan tâm là tháng 4/2026, khi Anthropic nói Claude Mythos Preview có thể tự động phát hiện và khai thác vulnerability. Anthropic cũng cho biết Project Glasswing đã được các đối tác như Microsoft, Google, Apple và AWS dùng để tìm và sửa bug trước khi model được public rộng hơn. OpenAI cũng có hướng tương tự với Daybreak.
Dữ liệu được đo
Epoch dùng dữ liệu từ CVE.org, tập trung vào disclosure từ 21 tổ chức lớn để giảm nhiễu từ submission chất lượng thấp. Danh sách này gồm Microsoft, Google, Apple, Adobe, Oracle, Cisco, IBM, Red Hat, Intel, AMD, NVIDIA, Qualcomm, Samsung, SAP, AWS, VMware/Broadcom, GitHub, Linux, Mozilla, Apache và OpenSSL.
Kết quả chính:
- Số CVE high/critical tăng rõ sau các công bố về AI-assisted vulnerability discovery.
- Tháng 6/2026 vượt hơn 3,5 lần kỷ lục theo tháng trước đó.
- Con số công khai chưa bao gồm vulnerability đã được phát hiện nhưng chưa disclosure.
- Anthropic nói riêng Project Glasswing đã tìm hơn 10.000 vulnerability high/critical, nhiều cái chưa được công bố riêng lẻ.
Giới hạn của kết luận
Epoch không khẳng định Claude Mythos là nguyên nhân duy nhất của spike. Disclosure công khai có thể tăng vì nhiều lý do: khả năng tìm bug tốt hơn, nhiều người quan tâm hơn đến bug hunting, hoặc các chương trình coordinated disclosure được đẩy mạnh.
Vì vậy, cách đọc hợp lý là: AI đang làm vulnerability discovery dễ scale hơn, nhưng dữ liệu CVE chỉ đo phần nổi đã được publish. Nó không cho biết đầy đủ bao nhiêu bug đang nằm trong queue nội bộ, đang được embargo, hoặc chưa được vendor triage.
Ý nghĩa với Dev
Dev nên quan tâm vì bottleneck sắp chuyển từ “tìm bug” sang “xử lý bug”. Khi AI làm bug discovery rẻ hơn, backlog security sẽ tăng: dependency update, patch release, regression test và incident response phải chạy nhanh hơn.
Với team product, vài việc nên làm ngay:
- Tự động hóa dependency scanning và ưu tiên CVE theo exploitability, không chỉ theo điểm severity.
- Giữ test suite đủ nhanh để patch bảo mật không bị kẹt nhiều ngày.
- Chuẩn hóa quy trình release hotfix và rollback.
- Theo dõi disclosure từ vendor chính trong stack của mình, đặc biệt cloud, database, browser, runtime và framework.
AI có thể giúp tìm lỗi nhanh hơn, nhưng không tự ship patch an toàn cho bạn. Phần đó vẫn là engineering discipline: triage rõ, test chắc, deploy có kiểm soát.