Cú lừa thế kỷ: Model AI 'hạt tiêu' cũng mò ra bug xịn như siêu AI Mythos

Anh em dạo này lướt mạng chắc cũng ngấy tận cổ với mấy bài PR về AI đi săn bug, đe dọa đập nồi cơm của dân pentest rồi đúng không? Gần đây có một con hàng tên Mythos được tung hô như thần thánh vì mò ra được mớ lỗ hổng bảo mật khét lẹt. Dân tình thì trầm trồ, mấy sếp thì bắt đầu rục rịch tính bài cắt giảm nhân sự. Nhưng đời làm quái gì như là mơ...

Tóm tắt nhanh vụ "siêu AI" bị bóc phốt

Chuyện là Mythos được quảng cáo là xịn xò con bò, tìm ra mấy cái vuln (lỗ hổng) mà các công cụ static analysis truyền thống chịu chết. Cả làng tưởng đâu singularity tới nơi rồi. Đùng một phát, một bài blog trên Aisle bế sự thật ra ánh sáng: Hóa ra, mấy con model nhỏ xíu (small models) cùi bắp, chạy nhẹ hều ở local cũng tìm ra y chang mấy cái bug đó!

Đúng vậy các đồng đạo ạ. Khác biệt ở đây đ*o phải là kích thước model hay bạn đốt bao nhiêu triệu đô cho tiền điện, mà là ở cái context bạn ném cho nó. Tác giả bài viết đã chứng minh rằng khi được cung cấp đủ bối cảnh (code path, data flow), một con model bé tí hon cũng có khả năng suy luận và túm cổ bug không thua gì mấy con quái vật ngốn hàng chục tỷ parameter. Kiểu như bạn định vác dao mổ trâu đi cắt chanh, trong khi con dao Thái Lan 10 cành làm còn ngọt hơn. Đem con model nhỏ lên chạy trên một con vps cùi cùi khéo còn dư xăng, tội gì phải cúng tiền cho các pháp sư bán API giá trên trời.

Giang cư mận Hacker News combat ra sao?

Cái post này trên Hacker News hút tới hơn 700 điểm, anh em dev vào xâu xé nhiệt tình lắm. Tóm cái váy lại thì có mấy luồng ý kiến chiếm sóng thế này:

• Phe hả hê bóc mẽ "lùa gà": Đa số anh em đều cười khẩy vào mặt mấy startup AI "giả cầy". Lấy API của OpenAI hay Anthropic, bọc cái wrapper mỏng dính rồi chém gió là AI bảo mật thế hệ mới, bán SaaS giá cắt cổ. Giờ thì lòi đuôi chuột.
• Phe thực dụng (Data > Model): Một rổ các pháp sư ẩn danh khẳng định: Small models + RAG ngon + Data pipeline sạch sẽ thì vả vỡ mồm model to mà prompt lởm. "Rác đầu vào thì rác đầu ra", nhồi nhét cho con GPT-4 một mớ code hỗn độn không có context thì nó cũng ảo giác (hallucinate) tung chảo thôi.
• Phe Sec-ops thở phào: Mấy lão quái ngành bảo mật thì chép miệng. Dùng AI để review code, tìm bug tĩnh thì ok, mượt. Nhưng kêu nó tự động nhảy vào hệ thống, exploit từ A-Z, leo thang đặc quyền các kiểu thì còn khướt. Cần câu cơm của anh em vẫn an toàn nhé.

Góc nhìn từ Coding4Food: Tỉnh táo đi các đạo hữu

Sự việc này lại một lần nữa chứng minh định lý muôn thuở trong ngành IT: Hype là việc của marketing, còn thực dụng mới là chân lý của dev. Size doesn't matter (ít nhất là trong trường hợp này).

Bài học rút ra là gì? Đừng có thấy trend là đâm đầu vào cúng tiền cho mấy cái API đắt đỏ. Trước khi giải quyết một bài toán, hãy thử với những tool nhỏ nhất, rẻ nhất, dễ kiểm soát nhất. Kỹ năng thực sự của kỹ sư AI/Software bây giờ không phải là biết gọi API của model to nhất, mà là kỹ năng làm sạch dữ liệu, chia nhỏ vấn đề và thiết kế luồng context (RAG) sao cho model ngu nhất cũng hiểu được.

Anh em cứ an tâm mà code tiếp, AI chưa cướp việc của anh em ngày mai đâu. Chỉ có mấy thanh niên dùng AI mõm mới bị sa thải thôi!

---

Nguồn: Small models also found the vulnerabilities that Mythos found