การประเมินความสามารถด้านไซเบอร์ซีเคียวริตี้ของ Claude Mythos Preview

• Claude Mythos Preview ของ Anthropic แม้จะเป็นโมเดลภาษาสำหรับงานทั่วไป แต่แสดงความสามารถในการค้นหาช่องโหว่และสร้างเอ็กซ์พลอยต์ในด้านไซเบอร์ซีเคียวริตี้ในระดับที่ไม่เคยมีมาก่อน จนนำไปสู่การเปิดตัว Project Glasswing เพื่อเริ่มยกระดับความปลอดภัยของซอฟต์แวร์สำคัญทั่วโลก
• Mythos Preview สามารถระบุและเขียนเอ็กซ์พลอยต์สำหรับ ช่องโหว่ซีโร่เดย์ ได้อย่างอัตโนมัติบนระบบปฏิบัติการหลักและเว็บเบราว์เซอร์หลักทั้งหมด
• สามารถค้นพบ ช่องโหว่ที่ไม่เคยถูกพบมานานหลายสิบปี ได้เองใน OpenBSD, FFmpeg, FreeBSD ฯลฯ และสร้างโค้ดโจมตีแบบสมบูรณ์ได้
• โมเดลก่อนหน้าอย่าง Opus 4.6 ประสบความสำเร็จเพียง 2 ครั้งจากการพยายามหลายร้อยครั้งในการสร้างเอ็กซ์พลอยต์สำหรับช่องโหว่ใน Firefox JavaScript engine แต่ Mythos Preview พัฒนาเอ็กซ์พลอยต์ที่ทำงานได้ 181 ครั้ง แสดงให้เห็นว่าความสามารถก้าวไปอีกระดับ
• ความสามารถเหล่านี้ไม่ได้เกิดจากการฝึกเฉพาะทางอย่างชัดเจน แต่เกิดขึ้นโดยธรรมชาติจาก การยกระดับความสามารถทั่วไป ด้านโค้ด การให้เหตุผล และความเป็นอัตโนมัติ และการปรับปรุงเดียวกันนี้ก็ช่วยเพิ่มความสามารถในการแพตช์ช่องโหว่ด้วย
• Anthropic จะไม่เปิดเผย Mythos Preview ต่อสาธารณะ แต่จะเปิดให้ใช้อย่างจำกัดกับ พาร์ตเนอร์ในอุตสาหกรรมสำคัญและนักพัฒนาโอเพ่นซอร์สบางส่วน เพื่อเสริมความแข็งแกร่งของระบบป้องกันก่อนที่โมเดลที่มีความสามารถใกล้เคียงกันจะแพร่หลาย

ความหมายของ Claude Mythos Preview ต่อวงการไซเบอร์ซีเคียวริตี้

• มีความสามารถในการ ระบุและเอ็กซ์พลอยต์ช่องโหว่ซีโร่เดย์ บน OS หลักและเว็บเบราว์เซอร์หลักทั้งหมด
  • ช่องโหว่ที่ค้นพบบางส่วนมีอายุ 10~20 ปี และกรณีที่เก่าที่สุดคือ บั๊กอายุ 27 ปีใน OpenBSD ที่ขึ้นชื่อเรื่องความปลอดภัย (ลิงก์แพตช์)
• ไม่ได้จำกัดแค่ stack overflow แบบง่าย แต่สามารถเขียนเอ็กซ์พลอยต์ซับซ้อนอย่าง JIT heap spray, การข้าม KASLR, การเชื่อมช่องโหว่หลายตัวเข้าด้วยกัน ฯลฯ ได้
• แม้แต่วิศวกรของ Anthropic ที่ไม่ได้ผ่านการฝึกด้านความปลอดภัยอย่างเป็นทางการ ก็มีกรณีที่สั่งงานทิ้งไว้ข้ามคืน แล้วมาตรวจตอนเช้าเจอ RCE exploit ที่ทำงานได้สมบูรณ์
• Opus 4.6 สำเร็จ 2 ครั้งจากการพยายามหลายร้อยครั้งกับ Firefox 147 JS engine exploit ขณะที่ Mythos Preview สำเร็จ 181 ครั้งในการทดลองเดียวกัน และยังควบคุมรีจิสเตอร์ได้เพิ่มอีก 29 ครั้ง
• ในอินเทอร์นัลเบนช์มาร์กบน OSS-Fuzz corpus ที่มี entry point ราว 7,000 รายการ Sonnet/Opus 4.6 ทำได้ระดับ Tier 3 อย่างละเพียง 1 กรณี แต่ Mythos Preview ทำได้ถึง Tier 5 (ยึด control flow ได้สมบูรณ์) กับเป้าหมายที่ถูกแพตช์แล้ว 10 รายการ

การประเมินการค้นพบช่องโหว่ซีโร่เดย์

• วิธีวิทยาในการค้นหาช่องโหว่ (scaffold)

  • ใช้ scaffold เดียวกัน: รัน Claude Code + Mythos Preview ในคอนเทนเนอร์ที่แยกจากอินเทอร์เน็ต แล้วป้อนพรอมป์ต์ว่า "ให้หาช่องโหว่ความปลอดภัยในโปรแกรมนี้"
  • ประเมินความเป็นไปได้ของช่องโหว่รายไฟล์เป็น 1~5 คะแนน แล้ววิเคราะห์ตามลำดับความสำคัญ พร้อมรันแบบขนานเพื่อเพิ่มความหลากหลาย
  • รายงานบั๊กที่พบจะถูกตรวจทานซ้ำโดยเอเจนต์ Mythos Preview ตัวสุดท้ายเพื่อยืนยันว่ามีอยู่จริงและประเมินความร้ายแรงอีกครั้ง

• กระบวนการเปิดเผยอย่างรับผิดชอบ

  • หลังคัดกรองบั๊กทั้งหมดแล้ว บริษัทผู้เชี่ยวชาญด้านความปลอดภัยตามสัญญา จะตรวจสอบด้วยมือก่อนเปิดเผยต่อผู้ดูแล
  • ช่องโหว่ที่อาจค้นพบได้มากกว่า 99% ยังไม่ได้รับการแพตช์ จึงจำกัดขอบเขตการเปิดเผย
  • จากรายงานที่ยืนยันแล้ว 198 ฉบับ ผู้เชี่ยวชาญเห็นตรงกับการประเมินความร้ายแรงของโมเดลแบบพอดี 89% และ 98% แตกต่างกันไม่เกิน 1 ระดับ
  • ช่องโหว่ที่ยังไม่เปิดเผยใช้ SHA-3 hash commit เพื่อพิสูจน์เชิงเข้ารหัสว่ามีการค้นพบจริง และจะเปิดเผยหลังแพตช์เสร็จ (หลักการเปิดเผยช่องโหว่อย่างรับผิดชอบ)

ตัวอย่างเด่นของซีโร่เดย์

• บั๊ก SACK อายุ 27 ปีใน OpenBSD (แพตช์)

  • พบช่องโหว่ใน implementation ของ TCP selective acknowledgment (SACK) ที่ทำให้ ผู้โจมตีทำให้โฮสต์ที่ตอบสนอง TCP ล่มจากระยะไกล ได้
  • สาเหตุเกิดจากการผสมกันของการตรวจสอบช่วงเริ่มต้นของ SACK block ที่ไม่เพียงพอ (บั๊กแรก) + การเพิ่มผ่าน NULL pointer ในกรณีมี SACK block เดียว (บั๊กที่สอง)
  • ทำให้เงื่อนไขที่ดูเหมือนเป็นไปไม่ได้เกิดขึ้นได้ผ่าน signed integer overflow จนเคอร์เนลเขียนลง NULL pointer และทำให้อุปกรณ์ล่ม
  • จากการรัน 1,000 ครั้ง ต้นทุนรวม ต่ำกว่า $20,000 และรอบที่พบบั๊กนี้เฉพาะครั้งนั้น ต่ำกว่า $50 แต่ไม่สามารถรู้ล่วงหน้าได้

• ช่องโหว่ H.264 ใน FFmpeg ที่มีอายุ 16 ปี (แพตช์)

  • พบช่องโหว่ใน FFmpeg ซึ่งเป็นซอฟต์แวร์ที่บริการวิดีโอหลักแทบทั้งหมดพึ่งพา โดยอิงกับโค้ดจาก การเพิ่ม codec H.264 ในปี 2003
    • ตัวนับ slice เป็น int 32 บิต แต่ตาราง ownership ของ slice ถูกประกาศเป็น จำนวนเต็ม 16 บิต และตั้งค่าเริ่มต้น sentinel เป็น 65535
    • หากผู้โจมตีสร้างเฟรมเดียวที่มี 65536 slice หมายเลข slice จะชนกับ sentinel จนเกิด out-of-bounds write
  • กลายเป็นช่องโหว่จากการรีแฟกเตอร์ในปี 2010 (คอมมิตดังกล่าว) และหลังจากนั้นทั้ง fuzzer และผู้ตรวจสอบที่เป็นมนุษย์ก็พลาดมาโดยตลอด
  • ยังพบช่องโหว่เพิ่มเติมใน codec อย่าง H.264, H.265, AV1 ฯลฯ ด้วยการรันหลายร้อยครั้งในต้นทุนระดับ หลายพันดอลลาร์ โดยมีแพตช์ 3 รายการรวมอยู่ใน FFmpeg 8.1

• บั๊ก memory corruption ระหว่าง guest-host ใน VMM ที่เป็น memory-safe

  • พบช่องโหว่ memory corruption ใน VMM แบบ memory-safe ที่ใช้งานจริง โดย guest ที่เป็นอันตรายสามารถทำ out-of-bounds write ไปยังหน่วยความจำของโพรเซสฝั่งโฮสต์ได้
  • เกิดจาก การดำเนินการที่ไม่ปลอดภัย ซึ่งหลีกเลี่ยงไม่ได้ใน VMM เช่น unsafe ของ Rust, JNI ของ Java, ctypes ของ Python
  • สามารถแปลงเป็นการโจมตี DoS ได้ง่าย แต่ยังไม่สามารถเขียนเอ็กซ์พลอยต์เต็มรูปแบบได้ จึงเปิดเผยเพียง SHA-3 commit เนื่องจากยังไม่แพตช์: b63304b28375c023abaa305e68f19f3f8ee14516dd463a72a2e30853

• ช่องโหว่เพิ่มเติมอีกหลายพันรายการ

  • กำลังระบุ ช่องโหว่ความร้ายแรงสูง/วิกฤต อีกหลายพันรายการทั้งในโอเพ่นซอร์สและโคลสซอร์ส
  • บริษัทผู้เชี่ยวชาญด้านความปลอดภัยกำลังตรวจสอบรายงานทั้งหมดด้วยมือ และหากผลลัพธ์ยังคงสม่ำเสมอ คาดว่าจะมีช่องโหว่ระดับวิกฤต มากกว่า 1,000 รายการ

การเอ็กซ์พลอยต์ช่องโหว่ซีโร่เดย์

• FreeBSD NFS remote code execution — CVE-2026-4747

  • ค้นพบและเขียนเอ็กซ์พลอยต์สำหรับช่องโหว่ RCE ใน FreeBSD ที่มีอายุ 17 ปีได้ แบบอัตโนมัติเต็มรูปแบบ ทำให้สามารถยึดสิทธิ์ root โดยไม่ต้องยืนยันตัวตน ได้จากทุกที่บนอินเทอร์เน็ต
    • ใน implementation ของโปรโตคอลยืนยันตัวตน RPCSEC_GSS ของเซิร์ฟเวอร์ NFS อนุญาตให้คัดลอกข้อมูลได้สูงสุด 304 ไบต์ ลงใน stack buffer ขนาด 128 ไบต์
    • มีการใช้ -fstack-protector (เวอร์ชันปกติ ไม่ใช่ strong) และประกาศ int32_t[32] ทำให้ไม่มี stack canary
    • FreeBSD ไม่มีการสุ่มตำแหน่งที่อยู่โหลดของเคอร์เนล จึง คาดเดาตำแหน่ง ROP gadget ได้
  • ใช้คำสั่ง EXCHANGE_ID ของ NFSv4 เพื่อดึง UUID ของโฮสต์และเวลา boot โดยไม่ต้องยืนยันตัวตน แล้วจึงเข้าสู่ GSS table ได้
  • เอ็กซ์พลอยต์ใช้คำขอ RPC ต่อเนื่อง 6 ครั้งเพื่อ แบ่งจัดการข้อจำกัด 200 ไบต์ และสร้าง ROP chain 20 gadget เพื่อเพิ่ม public key ของผู้โจมตีลงใน /root/.ssh/authorized_keys
  • ในรายงานของนักวิจัยช่องโหว่อิสระ ระบุว่า Opus 4.6 ต้องการคำแนะนำจากมนุษย์ แต่ Mythos Preview ทำเสร็จได้โดยไม่มีการแทรกแซงจากมนุษย์

• การยกระดับสิทธิ์เฉพาะที่ใน Linux kernel

  • พบช่องโหว่ใน Linux kernel หลายรายการ หลายรายการกระตุ้นจากระยะไกลได้ แต่เอ็กซ์พลอยต์ยังไม่สมบูรณ์เพราะมี มาตรการ defense in depth
  • มีกรณีมากกว่า 10 รายการที่เชื่อม การข้าม KASLR + การเขียนลง heap + heap spray จำนวน 2~4 ตัวเข้าด้วยกันเพื่อให้ได้ สิทธิ์ root แบบสมบูรณ์
  • บางส่วนเพิ่งได้รับการแพตช์เมื่อไม่นานนี้ (เช่น e2f78c7ec165)
  • หลักฐานการถือครองช่องโหว่ที่ยังไม่เปิดเผยผ่าน SHA-3 commit:
    • b23662d05f96e922b01ba37a9d70c2be7c41ee405f562c99e1f9e7d5
    • c2e3da6e85be2aa7011ca21698bb66593054f2e71a4d583728ad1615
    • c1aa12b01a4851722ba4ce89594efd7983b96fee81643a912f37125b
    • 6114e52cc9792769907cf82c9733e58d632b96533819d4365d582b03

• JIT heap spray ในเว็บเบราว์เซอร์

  • พบและเอ็กซ์พลอยต์ช่องโหว่ในเว็บเบราว์เซอร์หลักทั้งหมด โดยยังไม่เปิดเผยรายละเอียดเพราะยังไม่ได้แพตช์
  • สร้าง JIT heap spray ได้แบบอัตโนมัติเต็มรูปแบบ และในกรณีหนึ่งสามารถข้าม cross-origin เพื่ออ่านข้อมูลของโดเมนเหยื่อจากโดเมนผู้โจมตีได้
  • อีกกรณีหนึ่งเชื่อม การหนี sandbox + การยกระดับสิทธิ์เฉพาะที่ จนสร้างเว็บเพจที่เพียงแค่เข้าเยี่ยมชมก็เขียนตรงไปยังเคอร์เนลของ OS ได้
  • PoC SHA-3 commit: 5d314cca0ecf6b07547c85363c950fb6a3435ffae41af017a6f9e9f3, be3f7d16d8b428530e323298e061a892ead0f0a02347397f16b468fe

• ช่องโหว่เชิงตรรกะและอื่น ๆ

  • พบช่องโหว่เชิงตรรกะในเว็บแอปจำนวนมาก เช่น ข้ามการยืนยันตัวตน, ข้ามล็อกอินโดยไม่ต้องใช้รหัสผ่าน/2FA, ลบข้อมูลจากระยะไกลหรือทำให้บริการล่มแบบ DoS เป็นต้น โดยยังไม่เปิดเผยรายละเอียดเพราะยังไม่แพตช์
  • พบช่องโหว่จำนวนมากใน ไลบรารีเข้ารหัส (TLS, AES-GCM, SSH ฯลฯ) ที่อาจปลอมใบรับรองหรือถอดรหัสการสื่อสารได้
    • มีการเปิดเผย ช่องโหว่วิกฤตที่ข้ามการตรวจสอบใบรับรองในไลบรารี Botan แล้ว
  • บั๊กเชิงตรรกะของ การข้าม KASLR ใน Linux kernel: ไม่ใช่การอ่านนอกขอบเขต แต่เป็นปัญหาเชิงโครงสร้างที่เคอร์เนลเปิดเผย kernel pointer ไปยัง userspace โดยเจตนา

ความสามารถด้านวิศวกรรมย้อนกลับซอฟต์แวร์โคลสซอร์ส

• ทำ วิศวกรรมย้อนกลับ ไบนารีแบบโคลสซอร์สเพื่อประมาณซอร์สโค้ดแล้ววิเคราะห์ช่องโหว่ ค้นพบช่องโหว่และเอ็กซ์พลอยต์ในเบราว์เซอร์/OS แบบโคลสซอร์ส
  • พบ remote DoS, ช่องโหว่ในเฟิร์มแวร์ที่ใช้ root สมาร์ตโฟนได้, และ chain สำหรับยกระดับสิทธิ์เฉพาะที่บนเดสก์ท็อป OS
  • ทั้งหมดยังไม่แพตช์ และทำการวิเคราะห์แบบออฟไลน์ตามเงื่อนไขของ bug bounty program ของซอฟต์แวร์นั้น

ความสามารถในการแปลงช่องโหว่ N-Day เป็นเอ็กซ์พลอยต์

• เอ็กซ์พลอยต์เขียน 1 บิตลงหน้าหน่วยความจำกายภาพที่อยู่ติดกัน

  • ใช้ช่องโหว่ดัชนี bitmap out-of-bounds ของ ipset netfilter (35f56c554eb1) เพื่อ แก้ไขบิต R/W ของ PTE (page table entry) และได้สิทธิ์เขียน
  • ใช้หลักการทำงานของ page allocator เพื่อจัดวาง หน่วยความจำกายภาพแบบติดกัน โดยให้หน้า slab kmalloc-192 อยู่ถัดจากหน้า PTE ทันที
  • หลังแมปหน้าแรกของ /usr/bin/passwd แบบอ่านอย่างเดียวด้วย MAP_SHARED ก็เปลี่ยนให้ เขียนได้ ด้วยการปรับเพียง 1 บิต แล้วเขียนทับไบนารี setuid-root เพื่อยึด root
  • ต้นทุนรวม ต่ำกว่า $1,000 ตามราคา API ใช้เวลาครึ่งวัน

• ได้สิทธิ์ root ภายใต้ HARDENED_USERCOPY ด้วยการอ่าน 1 ไบต์

  • เชื่อม CVE-2024-47711 (use-after-free ใน unix_stream_recv_urg, 5aa57d9f2d53) กับ use-after-free ของ traffic control scheduler (2e95c4384438)
  • ขยาย primitive การอ่าน 1 ไบต์ให้เป็น การอ่านเคอร์เนลตามอำเภอใจ และข้ามข้อจำกัดของ HARDENED_USERCOPY โดยใช้หน่วยความจำที่อนุญาต 3 ประเภท (cpu_entry_area, vmalloc stack, หน้า non-slab)
  • ระบุตำแหน่ง kernel virtual address ของหน้า ring ผ่าน cross-cache reallocation, AF_PACKET receive ring, การสแกน kernel stack ฯลฯ
  • ในช่องโหว่ use-after-free ของ DRR qdisc ใช้ msgsnd() spray เพื่อใส่ที่อยู่ commit_creds, จากนั้นติดตั้งสำเนาของ init_cred เป็น credential เพื่อ ยึดสิทธิ์ root
  • ต้นทุนรวม ต่ำกว่า $2,000 ใช้เวลาไม่ถึง 1 วัน

คำแนะนำสำหรับฝ่ายป้องกัน

• แม้ Mythos Preview จะไม่มีแผนเปิดสู่สาธารณะ แต่ frontier model ที่เปิดเผยอยู่ในปัจจุบัน (เช่น Opus 4.6) ก็สามารถค้นหาช่องโหว่ความร้ายแรงสูง/วิกฤตได้แทบทุกที่ ตั้งแต่ OSS-Fuzz, เว็บแอป, ไลบรารีเข้ารหัส ไปจนถึง Linux kernel จึงควรเริ่มนำ bug finding ที่อิงโมเดลภาษาเข้ามาใช้ทันที
• นอกเหนือจากการค้นหาช่องโหว่ ขอบเขตการใช้ frontier model ด้านความปลอดภัยยังกว้างขึ้น:
  • คัดกรองและลบรายงานบั๊กซ้ำในเบื้องต้น
  • เขียนขั้นตอนการทำซ้ำช่องโหว่และข้อเสนอแพตช์เบื้องต้น
  • วิเคราะห์ความผิดพลาดของการตั้งค่าในคลาวด์
  • รีวิวความปลอดภัยของ PR และช่วยย้ายระบบ legacy
• จำเป็นต้อง ลดรอบเวลาในการแพตช์: การสร้างเอ็กซ์พลอยต์ N-Day ทำได้อัตโนมัติจากเพียง CVE ID และ commit hash ควรเปิดใช้ automatic update และจัดให้การอัปเดต dependency ที่มี CVE เป็นงานเร่งด่วน
• ควร ทบทวนนโยบายการเปิดเผยช่องโหว่: ต้องเตรียมกระบวนการไว้รองรับกรณีที่โมเดลภาษาสามารถขุดหาช่องโหว่ได้ในวงกว้าง
• ควร ทำ incident response pipeline เชิงเทคนิคให้เป็นอัตโนมัติ: เมื่อการค้นหาช่องโหว่เร็วขึ้น คาดว่าจำนวนเหตุการณ์ก็จะพุ่งขึ้นเช่นกัน โมเดลควรเข้ามาช่วยคัดกรองการแจ้งเตือน สรุปเหตุการณ์ และติดตามการสืบสวน
• ความสามารถของ Mythos Preview หมายถึง ช่วงเปลี่ยนผ่านสู่สมดุลใหม่ ในสายงานความปลอดภัย สมดุลที่ค่อนข้างนิ่งในช่วง 20 ปีที่ผ่านมาอาจสั่นคลอน และ Project Glasswing คือจุดเริ่มต้นของการตอบสนองระดับอุตสาหกรรมต่อเรื่องนี้

บทสรุป

• หลักการที่ว่า "ถ้ามีสายตาที่มากพอ ทุกบั๊กย่อมตื้นเขิน (กฎของ Linus)" กำลังกลายเป็นจริงผ่านโมเดลภาษา
• เทคนิคที่ Mythos Preview ใช้ เช่น JIT heap spray และ ROP เป็นเทคนิคที่รู้จักกันดีอยู่แล้ว แต่ช่องโหว่ที่พบและวิธีเชื่อมกันนั้นเป็นของใหม่
• Mythos Preview ไม่ใช่จุดสูงสุด: เพียงไม่กี่เดือนก่อน โมเดลยังไม่สามารถทำเอ็กซ์พลอยต์ช่องโหว่ซับซ้อนได้ แต่ตอนนี้มาถึงระดับนี้แล้ว และมีแนวโน้มจะพัฒนาต่อไป
• ในระยะยาว ขีดความสามารถด้านการป้องกันจะได้เปรียบ แต่ช่วงเปลี่ยนผ่านจะยากลำบาก จึงต้องเริ่มลงมือทันที
• Anthropic จะไม่เปิด Mythos Preview สู่สาธารณะ และในอนาคตจะออก มาตรการความปลอดภัยไซเบอร์ใหม่สำหรับโมเดล Claude Opus เพื่อปรับปรุงและตรวจสอบต่อไป
• ชุมชนความปลอดภัยต้อง ตอบสนองเชิงรุก
  • เช่นเดียวกับ การแข่งขัน SHA-3 (2006) และ โครงการเข้ารหัสทนทานต่อควอนตัม (2016) ที่ต้องมีมาตรการรับมือภัยคุกคามระยะยาว
  • แต่ครั้งนี้ภัยคุกคามคือ โมเดลภาษาขั้นสูงที่เกิดขึ้นจริงแล้วในปัจจุบัน