เจาะลึก Project Glasswing และ Claude Mythos: AI ค้นหาช่องโหว่ไซเบอร์ได้เก่งแค่ไหน?

ผลลัพธ์เดือนแรก: พบช่องโหว่มากกว่า 10,000 จุด

รายงานอัปเดตแรกของ Anthropic ระบุผลลัพธ์ที่มีขนาดใหญ่ผิดปกติสำหรับโครงการด้านความปลอดภัย

• พบช่องโหว่ระดับ high หรือ critical มากกว่า 10,000 จุด จากการทำงานร่วมกันของ Anthropic และพันธมิตรประมาณ 50 องค์กร
• พันธมิตรแต่ละองค์กรพบช่องโหว่ร้ายแรง หลายร้อยจุดภายในเดือนแรก
• บางทีมรายงานว่า อัตราการค้นหา bug เพิ่มขึ้นมากกว่า 10 เท่า หลังใช้ระบบนี้

ตัวอย่างหนึ่งคือ Cloudflare ซึ่งรายงานว่าพบ บั๊กประมาณ 2,000 จุด ในบริการหลักของบริษัท โดยในจำนวนนี้มี 400 จุดที่เป็นระดับ high หรือ critical

ตัวเลขเหล่านี้ชี้ว่า AI อาจช่วยให้ทีมความปลอดภัยตรวจสอบโค้ดขนาดใหญ่ได้เร็วขึ้นมากเมื่อเทียบกับการตรวจแบบแมนนวล

ความสามารถทางเทคนิคของ Claude Mythos

การประเมินบางส่วนจากภายนอกก็ชี้ว่าโมเดลมีความสามารถสูง

สถาบัน UK AI Security Institute รายงานว่า Claude Mythos Preview สามารถแก้โจทย์ด้านความปลอดภัยแบบ capture‑the‑flag ระดับผู้เชี่ยวชาญได้ 73% ของโจทย์ทั้งหมด ซึ่งเป็นหนึ่งใน benchmark ที่ใช้วัดทักษะการค้นหาช่องโหว่จริง

รายงานและการวิเคราะห์หลายแหล่งยังระบุความสามารถเพิ่มเติม เช่น

• ค้นหา zero‑day vulnerabilities ที่นักพัฒนายังไม่รู้มาก่อน
• เชื่อมช่องโหว่หลายจุดเข้าด้วยกัน เพื่อยกระดับสิทธิ์หรือควบคุมระบบ
• สร้าง โค้ด exploit ที่ใช้งานได้จริง เพื่อแสดงผลกระทบของช่องโหว่

งานเหล่านี้ปกติเป็นงานของนักวิจัยความปลอดภัยระดับสูง

ตัวอย่างช่องโหว่ที่รายงาน

แม้รายละเอียดส่วนใหญ่ยังไม่เปิดเผย แต่มีตัวอย่างบางกรณีที่ถูกกล่าวถึง

• ช่องโหว่ใน OpenBSD kernel อายุ 27 ปี ที่เกี่ยวข้องกับตัวเลือก TCP SACK
• บั๊กใน FFmpeg อายุ 16 ปี ที่รอดจากการทดสอบอัตโนมัติหลายล้านครั้งโดยไม่ถูกพบ
• การเชื่อมช่องโหว่หลายจุดใน Linux kernel เพื่อยกระดับสิทธิ์จากผู้ใช้ธรรมดาเป็นควบคุมระบบเต็มรูปแบบ

Anthropic ระบุว่าไม่สามารถเปิดเผยรายละเอียดส่วนใหญ่ได้ในตอนนี้ เพราะ มากกว่า 99% ของช่องโหว่ที่ค้นพบยังไม่ได้รับการแพตช์ ตามกระบวนการเปิดเผยช่องโหว่อย่างรับผิดชอบ (coordinated disclosure)

บริษัทและองค์กรที่เข้าร่วม

Project Glasswing ทำงานในรูปแบบพันธมิตรระหว่างบริษัทเทคโนโลยีและองค์กรด้านความปลอดภัย

ผู้เข้าร่วมช่วงเปิดตัวที่มีรายงาน ได้แก่

• Amazon Web Services (AWS)
• Apple
• Google
• Microsoft
• NVIDIA
• Cisco
• Broadcom
• CrowdStrike
• Palo Alto Networks
• JPMorgan Chase
• Linux Foundation

รวมแล้วมีพันธมิตรประมาณ 50 องค์กร ที่ใช้โมเดลนี้ตรวจสอบซอฟต์แวร์ของตนเองและโครงการโอเพ่นซอร์สสำคัญ

ทำไมโมเดลนี้ยังไม่เปิดให้สาธารณะ

Anthropic ระบุชัดว่า Mythos ถูกจำกัดการใช้งานเพราะความสามารถด้านไซเบอร์อาจถูกนำไปใช้โจมตีได้เช่นกัน

หากมี AI ที่สามารถค้นหาและสร้าง exploit สำหรับ zero‑day ได้อัตโนมัติ การเข้าถึงแบบเปิดอาจลดต้นทุนของการโจมตีไซเบอร์อย่างมาก

โมเดลพันธมิตรจึงถูกออกแบบมาเพื่อ แก้ไขช่องโหว่ให้มากที่สุดก่อน ที่เทคโนโลยีลักษณะนี้จะกลายเป็นเรื่องแพร่หลาย

เสียงวิจารณ์และข้อสงสัยจากผู้เชี่ยวชาญ

แม้ตัวเลขจะน่าประทับใจ แต่นักวิจัยด้านความปลอดภัยหลายคนยังตั้งคำถามอยู่

1. การตรวจสอบจากภายนอกยังจำกัด
ตัวเลขใหญ่ เช่น 10,000 ช่องโหว่ มาจากรายงานของ Anthropic เป็นหลัก และเนื่องจากช่องโหว่ส่วนใหญ่ยังไม่เปิดเผย นักวิจัยภายนอกจึงยังตรวจสอบไม่ได้โดยตรง

2. อาจไม่ใช่ความสามารถใหม่ทั้งหมด
นักวิจัยบางกลุ่มระบุว่าการทดลองของพวกเขาสามารถจำลองผลลัพธ์บางส่วนของ Mythos ได้โดยใช้โมเดลสาธารณะและเครื่องมือที่มีอยู่แล้ว

3. ข้อมูลการยืนยันช่องโหว่จริงยังไม่ชัดเจน
แม้จะมี benchmark เช่นอัตราสำเร็จ 73% ใน CTF แต่สถิติว่าช่องโหว่ที่ AI รายงานถูกยืนยันและแพตช์ในระบบจริงกี่เปอร์เซ็นต์ยังไม่ได้เผยแพร่ละเอียด

บทสรุป

หากตัวเลขที่รายงานได้รับการยืนยันในอนาคต Project Glasswing อาจเป็นหนึ่งในโครงการค้นหาช่องโหว่ด้วย AI ที่ใหญ่ที่สุดเท่าที่เคยมีมา โดยเพียงเดือนแรกก็พบช่องโหว่ระดับร้ายแรงมากกว่า 10,000 จุด ในซอฟต์แวร์สำคัญทั่วโลก

อย่างไรก็ตาม เนื่องจากช่องโหว่ส่วนใหญ่ยังอยู่ในขั้นตอนการแก้ไข ชุมชนความปลอดภัยไซเบอร์จึงยังรอข้อมูลยืนยันจากภายนอกเพิ่มเติม

สิ่งที่เห็นได้ชัดแล้วคือ AI กำลังกลายเป็นเครื่องมือสำคัญในการวิจัยความปลอดภัยซอฟต์แวร์ ไม่ว่าจะเป็นการสแกนโค้ดจำนวนมหาศาล การค้นหาช่องโหว่ที่ซ่อนอยู่ หรือแม้แต่การสร้าง exploit เพื่อพิสูจน์ความเสี่ยง — และคำถามสำคัญในอีกไม่กี่ปีข้างหน้าคือ เทคโนโลยีแบบ Mythos เป็นก้าวกระโดดจริง หรือเป็นเพียงจุดเริ่มต้นของแนวโน้มใหม่ในวงการความปลอดภัยไซเบอร์