CRN รายงานว่า หลังจาก Anthropic ประกาศความคืบหน้าของ Claude Mythos ในด้านการค้นหาช่องโหว่ด้วย AI แล้ว OpenAI ก็ออกประกาศของตัวเองในพื้นที่เดียวกันตามมา จึงไม่แปลกที่เรื่องนี้จะถูกเล่าเป็นการปะทะกันตรง ๆ ระหว่าง OpenAI กับ Claude
แต่การค้นหาช่องโหว่ไม่ใช่ความสามารถเดียวจบ โมเดลอาจต้องอ่านโค้ดขนาดใหญ่ ระบุข้อบกพร่องที่ตรวจสอบได้ ลดผลบวกลวง เสนอแนวทางแก้ไข หรือไปไกลถึงการทำหลักฐานว่าโจมตีได้จริง งานเหล่านี้ไม่เหมือนกันทั้งหมด หากไม่มีเงื่อนไขทดสอบร่วมกัน การสาธิตหรือประกาศจากบริษัทเพียงบางชุดยังไม่พอจะจัดอันดับภาพรวมได้
บทความ Cyber Competitions ของ Anthropic กล่าวถึง HackTheBox AI vs Human CTF Challenge ที่จัดขึ้นระหว่างวันที่ 14–16 มีนาคม 2025 โดยอธิบายว่าเป็นการแข่งขันที่ให้ AI agents แข่งกับผู้เข้าแข่งขันแบบเปิด สำหรับผู้อ่านที่ไม่คุ้นกับวงการนี้ CTF หรือ capture-the-flag คือรูปแบบการแข่งขันด้านไซเบอร์ที่ให้ผู้เล่นแก้โจทย์ เช่น วิเคราะห์ช่องโหว่หรือระบบ เพื่อเก็บคะแนน
สัญญาณเตือนจากการทดสอบลักษณะนี้คือ AI อาจลดกำแพงของการอัตโนมัติการใช้ประโยชน์จากช่องโหว่พื้นฐาน ความสามารถชุดเดียวกัน เช่น การให้เหตุผล การอ่านโค้ด และการใช้เครื่องมือ อาจช่วยฝ่ายป้องกันวิเคราะห์ช่องโหว่ได้เร็วขึ้น แต่ก็อาจช่วยฝ่ายโจมตีเปลี่ยนจุดอ่อนที่รู้แล้วให้เป็นขั้นตอนปฏิบัติได้เร็วขึ้นเช่นกัน
การแข่งขันด้าน AI ไซเบอร์ไม่ได้วัดแค่ว่าโมเดลทำอะไรได้ แต่ยังรวมถึงคำถามว่าใครได้รับสิทธิ์ใช้ ใช้ภายใต้เงื่อนไขใด และมีมาตรการกำกับดูแลอย่างไร CRN วางโครงการ Trusted Access for Cyber ของ OpenAI ไว้ในบริบทการแข่งขันเดียวกัน ซึ่งสะท้อนว่าอุตสาหกรรมกำลังให้ความสำคัญกับการควบคุมการเข้าถึงความสามารถด้านไซเบอร์ที่มีความเสี่ยง
Anthropic ก็พูดถึงการกำกับดูแลการใช้งานผิดวัตถุประสงค์เช่นกัน โดยระบุว่าทีม Safeguards เคยตรวจพบและแบนผู้ใช้รายหนึ่งที่มีทักษะเขียนโค้ดจำกัด แต่ใช้ Claude เพื่อพัฒนามัลแวร์ เรื่องนี้ไม่ได้หมายความว่าการใช้ AI ด้านไซเบอร์ทั้งหมดจะกลายเป็นการกระทำอันตราย แต่ชี้ว่าเมื่อปล่อยใช้งานจริงแล้ว การเฝ้าระวัง การตรวจจับ การระงับบัญชี และการรับมือหลังเกิดเหตุเป็นส่วนหนึ่งของการประเมินความสามารถไปแล้ว
การเปรียบเทียบ OpenAI กับ Claude อย่างน่าเชื่อถือในงานไซเบอร์อย่างน้อยต้องมีเงื่อนไขพื้นฐานร่วมกัน ได้แก่ ชุดงานเดียวกัน รุ่นโมเดลเดียวกันหรือระบุชัดเจน สิทธิ์ใช้เครื่องมือเท่ากัน ระดับความช่วยเหลือจากมนุษย์เท่ากัน ข้อจำกัดด้านความปลอดภัยเท่ากัน และเกณฑ์ให้คะแนนที่เปิดเผยและทำซ้ำได้
ข้อมูลสาธารณะที่มีอยู่ยังไม่เข้าเงื่อนไขเหล่านี้ บทความของ Anthropic ให้ภาพประสบการณ์การทดสอบ Claude ในการแข่งขันไซเบอร์และการจัดการความเสี่ยง ส่วนบทวิเคราะห์ของ CRN สรุปบริบทการแข่งขันระหว่าง OpenAI กับ Anthropic ในด้านการค้นหาช่องโหว่และการปล่อยใช้ความสามารถอย่างมีการควบคุม ทั้งหมดนี้ช่วยให้เห็นแนวโน้ม แต่ยังไม่สามารถแปลงเป็นตารางคะแนนรวมของโมเดลได้โดยตรง
นี่คือเหตุผลที่กรอบประเมินอย่าง CYBENCH มีความสำคัญ CYBENCH ถูกวางให้เป็นกรอบสำหรับประเมินความสามารถของ AI ในงานความมั่นคงไซเบอร์ แสดงให้เห็นว่านักวิจัยกำลังพยายามวัดผลด้วยวิธีที่เป็นโครงสร้างมากขึ้น แต่ CYBENCH ไม่ใช่ประกาศผลแพ้ชนะระหว่าง OpenAI กับ Claude
ก่อนเลือกหรือทดลองใช้ AI ด้านไซเบอร์ ควรถามให้ชัดว่าใช้เพื่ออะไร เช่น จัดประเภทช่องโหว่ ตรวจโค้ด ตอบสนองเหตุการณ์ วิเคราะห์โจทย์ CTF หรือเข้าใกล้การทดสอบ exploit มากขึ้น Anthropic เตือนว่า AI อาจทำให้การใช้ประโยชน์จากช่องโหว่พื้นฐานเป็นอัตโนมัติได้ง่ายขึ้น ดังนั้นยิ่งงานเข้าใกล้ห่วงโซ่การโจมตีมากเท่าไร ข้อกำกับดูแลก็ยิ่งต้องเข้มขึ้น
ประกาศจากบริษัท บทความ red team งานวิชาการ และการทดลองใช้ภายในองค์กร ล้วนมีคุณค่า แต่ไม่ใช่หลักฐานประเภทเดียวกัน หากจะจัดซื้อหรือใช้งานเครื่องมือ AI ด้านไซเบอร์ ควรขอผลทดสอบที่ทำซ้ำได้ ตัวอย่างกรณีที่โมเดลล้มเหลว และวิธีประเมินที่สอดคล้องกับสภาพแวดล้อมขององค์กรเอง กรอบอย่าง CYBENCH ช่วยตอกย้ำว่าการประเมินแบบเป็นระบบสำคัญเพียงใด
ความเสี่ยงของโมเดลไซเบอร์ที่มีความสามารถสูงไม่ได้อยู่ที่คำตอบของโมเดลอย่างเดียว แต่อยู่ที่ใครเข้าถึงได้ ใช้กับระบบใด และมีบริบทการใช้งานแบบไหน รายงานของ CRN ที่กล่าวถึง Trusted Access for Cyber ของ OpenAI สะท้อนว่าแนวคิดเรื่องการคัดกรองผู้ใช้และการกำกับการใช้งานกำลังกลายเป็นส่วนหนึ่งของยุทธศาสตร์การปล่อยใช้ AI ด้านไซเบอร์
กรณีที่ Anthropic เปิดเผยว่ามีการแบนผู้ใช้ที่นำ Claude ไปช่วยพัฒนามัลแวร์ ทำให้การตรวจจับการใช้ผิดวัตถุประสงค์ การตรวจสอบย้อนหลัง และกระบวนการระงับสิทธิ์กลายเป็นมาตรการหลักในการใช้งาน AI ด้านไซเบอร์ หากผู้ให้บริการโชว์ได้แค่ความสามารถของโมเดล แต่ไม่อธิบายว่าจะเฝ้าระวังและจัดการการใช้ผิดวัตถุประสงค์อย่างไร ความเสี่ยงก็อาจถูกประเมินต่ำเกินไป
ศึก OpenAI vs Claude ในสนาม AI ไซเบอร์ยังไม่มีผู้ชนะที่เชื่อถือได้จากข้อมูลสาธารณะ สิ่งที่เห็นได้คือ Anthropic/Claude นำประเด็นการแข่งขันไซเบอร์ การอัตโนมัติการใช้ประโยชน์จากช่องโหว่ และการกำกับดูแลการใช้ผิดวัตถุประสงค์ขึ้นมาพูดอย่างชัดเจน ขณะที่ OpenAI ถูกวางร่วมกับ Anthropic ในบริบทการแข่งขันด้าน AI ช่วยค้นหาช่องโหว่และยุทธศาสตร์การเข้าถึงแบบควบคุม