เจาะกลยุทธ์ 'ล่าฝูง' ถอดรหัส AI ที่การ์ดสูงที่สุดของ Anthropic ภายใน 24 ชั่วโมง

แต่คำกล่าวอ้างนั้นอยู่ได้เพียงวันเดียว

ในวันที่ 10 มิถุนายน นักวิจัยนิรนามนามว่า พลินี ผู้ปลดปล่อย (Pliny the Liberator) ประกาศว่าเขาสามารถทะลวงผ่านระบบคัดกรองความปลอดภัยของ Fable 5 ได้แล้ว โดยดึงข้อมูล System Prompt ความยาว 120,000 ตัวอักษรออกมา (และนำไปเผยแพร่บน GitHub) และยังสามารถทำให้โมเดลสร้างโค้ดสำหรับพัฒนาโปรแกรมเจาะระบบ ขั้นตอนการโจมตีทางไซเบอร์ และคำแนะนำทางเคมีต้องห้ามได้อีกด้วย ความเร็วในการฝ่ากำแพงครั้งนี้—ภายใน 24 ถึง 48 ชั่วโมงหลังเปิดตัว —กลายเป็นจุดเปลี่ยนสำคัญของดีเบตสาธารณะว่า AI ขั้นสูงสามารถถูกควบคุมด้วยวิธีด้านความปลอดภัยในปัจจุบันได้จริงหรือไม่

กลยุทธ์ 'ล่าฝูง' (Pack Hunt): วิธีการโจมตี

พลินีเรียกวิธีการของเขาว่า "Pack Hunt" — หรือการล่าเป็นฝูง — เป็นเทคนิคแบบหลายเอเจนท์ (Multi-Agent) ที่ประสานงานกัน แทนที่จะเป็นเพียงการป้อนคำสั่งที่ชาญฉลาดเพียงอย่างเดียว การโจมตีนี้ผสมผสานกลยุทธ์หลายอย่างที่แต่ละส่วนมีส่วนช่วยในการเจาะระบบแบบสะสม:

• การประสานงานแบบหลายเอเจนท์: พลินีใช้ Claude Opus 4.8 ที่ถูกเจลเบรคมาก่อนหน้านี้เป็นเอเจนท์ในการโจมตี แทนที่เขาจะเขียนคำสั่งเอง เขากลับตั้งให้เอเจนท์ AI ตัวหนึ่งค่อยๆ หาช่องโหว่และโจมตี AI อีกตัวอย่างเป็นระบบ วิธีการนี้สะท้อนเทคนิคก่อนหน้านี้ของเขา: เอเจนท์ Opus 4.7 อัตโนมัติที่เจาะ Opus 4.8 ได้ภายใน 7 นาทีหลังจากเปิดตัวเมื่อไม่กี่สัปดาห์ก่อน
• การอำพรางด้วยอักษรยูนิโคด: คำสั่งอันตรายถูกเข้ารหัสด้วยตัวอักษรยูนิโคดที่ดูคล้ายกันเพื่อเล็ดลอดผ่านระบบตรวจจับคำนำเข้า (Input Classifiers) ที่ Anthropic ฝึกมาเพื่อจับสตริงข้อความอันตราย
• การชักใยบริบทขนาดยาวและการวางกรอบเรื่อง: คำขอที่เป็นอันตรายถูกฝังไว้ในสถานการณ์สวมบทบาทที่ยืดยาว เนื้อหาที่เลียนแบบตำรา หรือบทสนทนาแบบโสเครติส "การวางกรอบเรื่องราว" นี้ช่วยปกปิดเจตนาที่แท้จริงของคำขอนานพอที่โมเดลจะเริ่มประมวลผลมันภายในบริบทที่ 'เชื่อใจ' ได้
• การแยกส่วนคำขออันตราย: งานอย่าง "เขียนโค้ดโจมตี Stack Buffer Overflow" จะถูกแตกออกเป็นขั้นตอนย่อยๆ ที่ดูไร้พิษภัยทีละขั้น ซึ่งแต่ละขั้นดูไม่เป็นอันตรายต่อระบบความปลอดภัยเลย โมเดลจะประมวลผลไปทีละขั้นจนกว่าเจตนาร้ายที่แท้จริงจะชัดเจน จากคำกล่าวของพลินี การแยกส่วนและประกอบคืน (Decomposition-Recomposition) นั้นมีประสิทธิภาพเป็นพิเศษ เพราะแต่ละคำสั่งดูไม่มีอะไรในตัวเอง
• การยกระดับทีละน้อยในสภาพแวดล้อมอาร์ติแฟกต์: พลินีเคยเปิดเผยต่อสาธารณะว่า การย้ายบทสนทนาไปสู่สภาพแวดล้อมการแสดงผลอาร์ติแฟกต์ (Artifact Render) จะทำให้เกิดสัญญาณรบกวนของโทเค็นจากโค้ดจำนวนมาก ซึ่งสามารถกลบตัวกระตุ้นความปลอดภัยได้ เมื่ออยู่ในสภาพแวดล้อมที่รบกวนมากขึ้นนี้ เขาสามารถค่อยๆ เพิ่มระดับความรุนแรงของคำขอในลักษณะของบทสนทนาโสเครติสแบบหลายขั้นตอนได้

ผลลัพธ์คือการฝ่ากำแพงที่ทำให้ได้โค้ดเจาะระบบที่ใช้งานได้ คำแนะนำการสังเคราะห์สารเคมีอย่างละเอียด และ System Prompt ฉบับเต็มที่ Anthropic ออกแบบให้ Fable 5 ยึดเป็นแกนหลักในการทำงาน

คำกล่าวอ้างด้านความปลอดภัยของ Anthropic ก่อนเปิดตัว

ก่อนการเปิดตัว Fable 5 นั้น Anthropic ได้วางท่าทีด้านความปลอดภัยต่อสาธารณะอย่างละเอียดเป็นพิเศษ:

• การรับรองโดยทีม Red Team: บริษัทรายงานว่าโครงการ Bug Bounty ภายนอกของพวกเขา ไม่พบ Universal Jailbreak แม้แต่ครั้งเดียวในการทดสอบกว่า 1,000 ชั่วโมง และองค์กร Red-Teaming ภายนอกเองก็ไม่สามารถหาพบได้เช่นกัน
• สถาปัตยกรรมระบบคัดกรอง: Fable 5 ใช้ระบบคัดกรองด้วย AI แยกต่างหากที่ถูกฝึกให้ตรวจจับและสกัดกั้นคำถามความเสี่ยงสูงในสี่โดเมน เมื่อระบบทำงาน มันไม่ได้ปฏิเสธคำขอทันที แต่จะเปลี่ยนเส้นทางไปยัง Claude Opus 4.8 ซึ่งเป็นโมเดลที่ความสามารถต่ำกว่าแทน บริษัทระบุว่ามาตรการป้องกันนี้ถูกกระตุ้นการทำงานใน น้อยกว่า 5% ของเซสชันผู้ใช้โดยเฉลี่ย
• หลักฐานจาก Benchmark: ในการทดสอบ Gray Swan/UK AISI Agentic Red-Teaming Benchmark (เปิดใช้ฟีเจอร์ Thinking) Fable 5 มีอัตราความสำเร็จในการโจมตีเพียง 4.8% (ที่ k=100) เทียบกับ 9.6% ของ Opus 4.8, 30.8% ของ GPT-5.5, และ 45.5% ของ Gemini 3.1 Pro ที่ k=1 อัตราความสำเร็จยิ่งลดลงเหลือเพียง 0.1%

การเจลเบรคที่รวดเร็วนี้สั่นคลอนตัวเลขเหล่านั้นอย่างมีนัยสำคัญ ระบบความปลอดภัยที่ได้รับการรับรองจากการทดสอบกว่า 1,000 ชั่วโมง กลับถูกเจาะโดยนักวิจัยเพียงคนเดียวใน 1 วัน โดยใช้เทคนิคที่ไม่ได้พึ่งพาช่องโหว่ของซอฟต์แวร์ใหม่ๆ เลย แต่เป็นกลยุทธ์การป้อนคำสั่งในสไตล์ "วิศวกรรมสังคม" (Social Engineering) ซึ่งการฝึกของระบบคัดกรองดูเหมือนจะพลาดไป

รูปแบบการเจลเบรคที่รวดเร็วซ้ำแล้วซ้ำเล่า

เหตุการณ์ Fable 5 ไม่ใช่เรื่องที่เกิดขึ้นเพียงครั้งเดียว มันคือภาคต่อของรูปแบบที่มีการบันทึกไว้เป็นอย่างดีจากนักวิจัยคนเดิม:

• Claude Opus 4.8 (พ.ค. 2026): ภายใน 7 นาที หลังการเปิดตัวอย่างเป็นทางการของโมเดล พลินีได้รับการแจ้งเตือนอัตโนมัติจากเอเจนท์ Opus 4.7 ที่เขาติดตั้งไว้ล่วงหน้า ซึ่งรายงานว่ามันเจาะโมเดลใหม่นี้ได้ในครั้งเดียว (one shot) เทคนิคคือการใส่ข้อความล่วงหน้าแบบลึกที่ปลอมเป็น "บทที่ 7" ของตำราเรียนที่เขียนค้างไว้ ซึ่งโมเดลก็จัดการเขียนต่อจนจบให้ โดยสร้างผลลัพธ์ที่เป็นอันตรายออกมานับพันโทเค็น
• โมเดล GPT-OSS (ส.ค. 2025): พลินีเจาะโมเดล Open-Weight ตัวแรกๆ ของ OpenAI ได้ภายในไม่กี่ชั่วโมงหลังเปิดตัว โดยสามารถดึงคำแนะนำการผลิตเมทแอมเฟตามีนและการสังเคราะห์ก๊าซพิษ VX ได้
• Claude Opus 4.7 (เม.ย. 2026): มีการสาธิตการเจลเบรคตัวเอง (Self-Jailbreak) ในเวลาไม่ถึง 20 นาที โดยให้เอเจนท์ Opus 4.7 พัฒนาช่องโหว่แบบสากลเพื่อโจมตีตัวเอง

รากฐานของรูปแบบนี้คือการเปลี่ยนแปลงวิธีคิดที่พลินีอธิบายไว้ว่าเป็น "โมเดลเจลเบรคโมเดล" (Models Jailbreaking Models) แทนที่จะนั่งปั้นคำสั่งทีละบรรทัด ผู้โจมตีปล่อยให้โมเดลที่ถูกเจาะแล้วตัวหนึ่งทำหน้าที่เป็นเอเจนท์อัตโนมัติในการจู่โจมเป้าหมายใหม่ ซึ่งวิธีการแบบใช้เอเจนท์, หลายขั้นตอน, และแยกส่วนประกอบคำขอ ได้พิสูจน์แล้วว่ายากต่อการตรวจจับของระบบความปลอดภัยแบบ Classifier มากกว่าการโจมตีด้วยคำสั่งแบบครั้งเดียว (Single-prompt) ที่ระบบถูกฝึกมาให้เฝ้าระวัง

วงการวิจัยในวงกว้างก็สังเกตเห็นวิวัฒนาการในทิศทางเดียวกัน บริษัทความปลอดภัย Repello ซึ่งได้วิเคราะห์เทรนด์การเจลเบรคในปี 2026 ตั้งข้อสังเกตว่า การโจมตีที่อันตรายที่สุดในการปฏิบัติการจริงไม่ใช่การเจลเบรคด้วยคำสั่งเดียวอีกต่อไป แต่เป็นลำดับการโจมตีแบบหลายขั้นตอนที่คืบหน้าผ่านขั้นตอนที่ดูไม่มีพิษภัยทีละขั้น ซึ่งเป็นคำอธิบายที่สอดคล้องกับกรอบการทำงาน "Pack Hunt" อย่างยิ่ง

นัยสำคัญต่อการทดสอบความปลอดภัยของ AI

การเจลเบรค Fable 5 ไม่ได้พิสูจน์ว่าคำกล่าวอ้างด้านความปลอดภัยของ Anthropic เป็นเรื่องหลอกลวง แต่มันทำให้เกิดคำถามที่น่าอึดอัดเกี่ยวกับความสามารถในการขยายผล (Scalability) การทำ Red-Teaming กว่า 1,000 ชั่วโมงโดยองค์กรมืออาชีพไม่พบสิ่งที่นักวิจัยอิสระผู้มุ่งมั่นคนหนึ่งค้นพบในเวลาไม่ถึงวัน ช่องว่างนี้บ่งชี้ว่าโปรแกรมการรับรองในปัจจุบัน แม้จะเข้มงวดเพียงใด อาจไม่สามารถสะท้อนความหลากหลายของความคิดสร้างสรรค์ของศัตรูในโลกแห่งความเป็นจริงได้อย่างเพียงพอ โดยเฉพาะอย่างยิ่งในแนวทางที่ได้แรงบันดาลใจจากวิศวกรรมสังคม, การใช้เอเจนท์, และการโต้ตอบหลายขั้นตอน

นอกจากนี้ยังก่อให้เกิดภาวะกลืนไม่เข้าคายไม่ออก: หากกำแพงป้องกันของโมเดลแข็งแกร่งพอที่จะทนต่อการทดสอบอย่างมีโครงสร้างนานหลายเดือน แต่กลับพังทลายเมื่อเผชิญหน้ากับการโจมตีแบบหลายเอเจนท์ที่ประสานงานกัน แล้วคำว่า "ผ่านการรับรองว่าปลอดภัย" สำหรับโมเดลระดับสูงที่ปล่อยให้สาธารณะใช้งานจริงหมายถึงอะไรกันแน่? ความเร็วและความสามารถในการทำซ้ำของรูปแบบการเจาะของพลินีในบริษัทและสถาปัตยกรรมที่แตกต่างกัน บ่งชี้ว่าความท้าทายนี้ไม่ได้จำเพาะเจาะจงกับการออกแบบโมเดลใดโมเดลหนึ่ง แต่อาจเป็นปัญหาโดยธรรมชาติของกระบวนทัศน์ความปลอดภัยในปัจจุบันที่พึ่งพาระบบคัดกรองที่ระดับคำสั่ง (Prompt-level Safety Classifiers)