AI ด้านความปลอดภัยที่ทรงพลังที่สุดของ Anthropic "Claude Mythos" ถูกแจกจ่ายแบบจำกัดให้เฉพาะพาร์ตเนอร์ที่คัดเลือก แทนการเปิดให้ใช้งานทั่วไป
(simonwillison.net)Anthropic ตัดสินใจจะไม่เปิดตัวโมเดลใหม่ Claude Mythos สู่สาธารณะ แต่จะกระจายให้เฉพาะพาร์ตเนอร์ด้านการวิจัยความปลอดภัยที่ได้รับการคัดเลือกผ่านโปรแกรมพรีวิวแบบจำกัดชื่อ "Project Glasswing" เท่านั้น เหตุผลนั้นตรงไปตรงมา โมเดลนี้มีความสามารถในการตรวจหาช่องโหว่ด้านไซเบอร์ซีเคียวริตี้ที่ทรงพลังเกินไป จนหากถูกนำไปใช้ในทางที่ผิด อาจกลายเป็นภัยคุกคามต่อโครงสร้างพื้นฐานทั่วโลกได้
Claude Mythos คืออะไร?
Mythos เป็นโมเดลอเนกประสงค์ที่คล้ายกับ Claude Opus 4.6 แต่มีความสามารถด้านการวิจัยความปลอดภัยไซเบอร์ที่โดดเด่นอย่างท่วมท้น Anthropic ระบุว่าโมเดลนี้ได้ค้นพบ ช่องโหว่ความเสี่ยงสูงหลายพันรายการ ครอบคลุมทั้งระบบปฏิบัติการหลักทั้งหมดและเว็บเบราว์เซอร์แล้ว
ตัวอย่างความสามารถที่เป็นรูปธรรม ได้แก่:
- ระหว่างการเขียนเว็บเบราว์เซอร์เอ็กซ์พลอยต์ มันสามารถสร้างโค้ดโจมตีที่ซับซ้อนโดยเชื่อมใช้ช่องโหว่ 4 รายการต่อเนื่องกัน เพื่อหลบหนีทั้ง renderer และ OS sandbox ได้
- ในการทดลองแปลงช่องโหว่ของ JavaScript engine ใน Firefox 147 ให้เป็นเอ็กซ์พลอยต์นั้น Opus 4.6 สำเร็จ 2 ครั้งจากความพยายามหลายร้อยครั้ง ขณะที่ Mythos สำเร็จถึง 181 ครั้ง และยังควบคุมรีจิสเตอร์ได้สำเร็จเพิ่มเติมอีก 29 ครั้ง
ช่องโหว่ที่ค้นพบจริง
Nicholas Carlini แห่ง Anthropic กล่าวว่า:
"ตลอดหลายสัปดาห์ที่ผ่านมา ผมพบบั๊กมากกว่าที่เคยพบมาตลอดชีวิตของตัวเอง ใน OpenBSD ผมเจอบั๊กที่มีอยู่มานาน 27 ปี ซึ่งเป็นช่องโหว่ที่ทำให้เซิร์ฟเวอร์แครชได้เพียงแค่ส่งข้อมูลไม่กี่ชิ้นเข้าไป"
มีการยืนยันแล้วว่าช่องโหว่ใน OpenBSD ดังกล่าวได้รับการแก้ไขเสร็จสิ้นผ่านแพตช์เมื่อวันที่ 25 มีนาคม 2026
สัญญาณเตือนจากอุตสาหกรรม
ก่อนหน้านี้ ในหมู่ผู้เชี่ยวชาญด้านความปลอดภัยก็เริ่มมีสัญญาณเตือนเกี่ยวกับความสามารถของ AI ในการค้นหาช่องโหว่อยู่แล้ว
- Greg Kroah-Hartman แห่ง Linux kernel: "ประมาณหนึ่งเดือนก่อน มีบางอย่างเปลี่ยนไป ตอนนี้รายงานความปลอดภัยจริงที่สร้างโดย AI หลั่งไหลเข้ามา และคุณภาพก็สูงด้วย"
- Daniel Stenberg แห่ง curl: "ประเด็นความปลอดภัยที่เกี่ยวกับ AI เปลี่ยนจาก 'สึนามิขยะ AI' ไปเป็น 'สึนามิรายงานความปลอดภัยจริง' แล้ว ตอนนี้ผมใช้เวลาหลายชั่วโมงต่อวันจัดการเรื่องนี้อย่างเดียว"
Project Glasswing คืออะไร?
แทนที่จะเปิด Mythos ให้ใช้งานทั่วไป Anthropic เลือกแนวทางให้ AWS, Apple, Microsoft, Google, Linux Foundation และองค์กรอื่น ๆ เข้าร่วมเป็นพาร์ตเนอร์ เพื่อให้พวกเขาค้นหาและแก้ไขช่องโหว่ในระบบของตนเองได้ก่อน โดยโครงการนี้รวมถึงเครดิตการใช้งานมูลค่า 100 ล้านดอลลาร์ และเงินบริจาคโดยตรง 4 ล้านดอลลาร์ให้แก่องค์กรด้านความปลอดภัยโอเพนซอร์ส
ความเห็นของผู้เขียน
Simon Willison ผู้เขียนบล็อกระบุว่า แม้คำพูดว่า "โมเดลของเราอันตรายเกินไป" อาจฟังดูเหมือนการตลาด แต่ในกรณีนี้ ความระมัดระวังดังกล่าวมีเหตุผลรองรับเพียงพอ และเขาสนับสนุนการตัดสินใจแจกจ่ายแบบจำกัด เขามองว่าสถานการณ์นี้เป็น "การเปลี่ยนแปลงครั้งใหญ่" ที่ต้องการการตอบสนองจากทั้งอุตสาหกรรม และหวังว่า OpenAI จะเข้าร่วมโครงการนี้ด้วย
ข้อสังเกต
สารสำคัญของบทความนี้คือ ความสามารถของ AI ในการค้นหาช่องโหว่ด้านความปลอดภัยได้ไปถึงระดับที่เหนือกว่าผู้เชี่ยวชาญมนุษย์แล้ว นี่คือหนึ่งในความเสี่ยงที่เป็นรูปธรรมที่สุดที่ AI อาจก่อขึ้น และเป็นประเด็นที่มีนัยสำคัญต่อทุกองค์กรที่ดูแลโครงสร้างพื้นฐาน
ต้นฉบับ: Simon Willison's Weblog, 2026.04.07
5 ความคิดเห็น
ผมทำงานพัฒนาด้านความปลอดภัยบนมือถืออยู่ เรื่องนี้ทำให้รู้สึกน่ากลัวพอสมควร
ฝั่งแอปการเงินที่ผ่านมา เราออกแบบการป้องกันโดยตั้งสมมติฐานว่าผู้โจมตีจะวิเคราะห์ด้วยมือผ่าน Frida หรือ Ghidra กันมาตลอดครับ ระดับความลึกของการทำ obfuscation หรือลอจิกการตรวจจับต่าง ๆ ก็สุดท้ายอิงกับเวลาที่มนุษย์ใช้ในการวิเคราะห์ แต่พอมองช่วงนี้แล้ว รู้สึกว่าสมมติฐานนั้นเริ่มสั่นคลอนอยู่เหมือนกัน
ยังบอกไม่ได้ชัดว่าคืออะไร แต่ความเร็วมันต่างออกไปครับ รู้สึกเหมือนวงการความปลอดภัยกำลังจะเปลี่ยนไปแบบหมดหน้าตัก...
ถ้าระดับนั้นจริง การหาช่องโหว่ด้านความปลอดภัยจากโค้ดที่ reverse assembly มา ก็คงใช้เวลาไม่นานเลยนะครับ
ถึงขนาดส่งแพตช์ไปให้ ffmpeg ด้วย และก็ถูกรับเข้าไปแล้ว
https://x.com/ffmpeg/status/2041612029459374511
แน่นอนว่าอาจเป็นไปเพื่อการประชาสัมพันธ์ แต่ก็เป็นแบบที่ ffmpeg พูดอยู่เสมอว่า "บริษัทอื่นไม่ได้ส่งมา แต่" ..
นึกถึงตอนที่แซม อัลต์แมนก็พูดเกินจริงก่อน GPT5 จะออกเหมือนกันเลย lol-
ดูเหมือนว่าจะเปิดให้ผู้ใช้ Max แบบมีค่าใช้จ่ายเพิ่มเติม..