Project Glasswing: ความร่วมมือระดับโลกเพื่อความปลอดภัยของซอฟต์แวร์สำคัญในยุค AI

 (anthropic.com)
7 คะแนน โดย GN⁺ 22 일 전 | 2 ความคิดเห็น | แชร์ทาง WhatsApp
  • Project Glasswing ซึ่งเป็นโครงการความร่วมมือที่มีบริษัทเทคโนโลยีรายใหญ่อย่าง Amazon, Apple, Google และ Microsoft เข้าร่วม ใช้ AI เพื่อ ตรวจจับและป้องกันช่องโหว่ด้านความปลอดภัยในซอฟต์แวร์สำคัญทั่วโลก
  • โมเดล Claude Mythos 2 Preview ของ Anthropic ทำหน้าที่หลัก และได้ค้นพบ ช่องโหว่ความรุนแรงสูงหลายพันรายการ แล้วในระบบปฏิบัติการและเบราว์เซอร์หลัก
  • Mythos Preview สามารถ ตรวจจับและสร้างเอ็กซ์พลอยต์ได้แบบอัตโนมัติโดยไม่ต้องมีมนุษย์แทรกแซง และค้นพบ ข้อบกพร่องที่แฝงอยู่มานานหลายสิบปี ใน OpenBSD, FFmpeg, Linux kernel และอื่น ๆ
  • Anthropic มอบ โมเดลเครดิตมูลค่า 100 ล้านดอลลาร์ ให้โครงการ และ เงินบริจาค 4 ล้านดอลลาร์แก่องค์กรด้านความปลอดภัยโอเพนซอร์ส โดยพันธมิตรจะนำไปใช้สำหรับ การตรวจจับช่องโหว่ การทดสอบความปลอดภัย และการประเมินการเจาะระบบ
  • Glasswing มีเป้าหมายเพื่อจัดทำ มาตรฐานและแนวปฏิบัติด้านความมั่นคงไซเบอร์ สำหรับยุค AI และในระยะยาวมุ่งสร้าง ระบบความปลอดภัยที่ยั่งยืนบนฐานความร่วมมือระหว่างภาครัฐและเอกชน

ภาพรวมของ Project Glasswing

  • Project Glasswing คือ โครงการความร่วมมือด้านไซเบอร์ซีเคียวริตี้ระดับโลก ที่มี Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks และองค์กรอื่น ๆ เข้าร่วม
  • โครงการนี้มีเป้าหมายในการใช้ AI บนพื้นฐานของโมเดล Claude Mythos 2 Preview เพื่อ ตรวจจับและป้องกันช่องโหว่ด้านความปลอดภัยในซอฟต์แวร์สำคัญทั่วโลก
  • Mythos Preview ได้ค้นพบ ช่องโหว่ความรุนแรงสูงหลายพันรายการ ในระบบปฏิบัติการหลักและเว็บเบราว์เซอร์ ซึ่งเป็นระดับประสิทธิภาพที่เหนือกว่าผู้เชี่ยวชาญมนุษย์ส่วนใหญ่
  • Anthropic มอบ เครดิตการใช้งานโมเดลมูลค่าสูงสุด 100 ล้านดอลลาร์ และ เงินบริจาค 4 ล้านดอลลาร์แก่องค์กรด้านความปลอดภัยโอเพนซอร์ส สำหรับโครงการนี้
  • โครงการนี้ถูกวางให้เป็นจุดเริ่มต้นของความร่วมมือระยะยาวเพื่อ จัดทำมาตรฐานและแนวปฏิบัติด้านไซเบอร์ซีเคียวริตี้สำหรับยุค AI

ภูมิทัศน์ไซเบอร์ซีเคียวริตี้ในยุค AI

  • ซอฟต์แวร์โครงสร้างพื้นฐานสำคัญในภาคการเงิน การแพทย์ พลังงาน การขนส่ง และภาครัฐ ต่างมี บั๊กและช่องโหว่ด้านความปลอดภัย อยู่เสมอ
  • ความก้าวหน้าของโมเดล AI ทำให้ ต้นทุนและระดับความเชี่ยวชาญที่ต้องใช้ในการค้นหาและโจมตีช่องโหว่ลดลงอย่างรวดเร็ว
  • Claude Mythos Preview สามารถค้นพบ ช่องโหว่ด้านความปลอดภัยเก่าแก่ ที่ไม่เคยถูกพบมาก่อน แม้ผ่านการตรวจสอบโดยมนุษย์และการทดสอบอัตโนมัติมานานหลายสิบปี
  • หากความสามารถ AI ลักษณะนี้ถูกนำไปใช้ในทางที่ผิด อาจทำให้ ความถี่และความรุนแรงของการโจมตีไซเบอร์ เพิ่มขึ้นอย่างมาก และลุกลามเป็น ภัยคุกคามต่อความมั่นคงของชาติ
  • ขณะเดียวกัน เทคโนโลยีเดียวกันนี้ก็สามารถเป็น เครื่องมือพลิกโฉมในฝั่งการป้องกัน ได้เช่นกัน จึงจำเป็นต้องเร่งเสริมความมั่นคงปลอดภัยด้วย AI

ผลงานการตรวจจับช่องโหว่ของ Claude Mythos Preview

  • ในช่วงไม่กี่สัปดาห์ที่ผ่านมา Mythos Preview ค้นพบ ช่องโหว่ซีโร่เดย์ หลายพันรายการใน ระบบปฏิบัติการหลักและเว็บเบราว์เซอร์ทั้งหมด
  • โมเดลสามารถ ตรวจจับช่องโหว่และพัฒนาเอ็กซ์พลอยต์ได้โดยอัตโนมัติ โดยไม่ต้องมีมนุษย์แทรกแซง
  • ตัวอย่างการค้นพบสำคัญ
    • OpenBSD: พบช่องโหว่ที่มีอยู่มานาน 27 ปี เป็นข้อบกพร่องที่อาจทำให้ระบบระยะไกลล่มได้
    • FFmpeg: พบช่องโหว่ที่มีอยู่มานาน 16 ปี เป็นปัญหาที่ไม่เคยถูกตรวจพบแม้ผ่านการทดสอบอัตโนมัติกว่า 5 ล้านครั้ง
    • Linux kernel: ยืนยันความเป็นไปได้ของ การโจมตียกระดับสิทธิ์ ผ่านการใช้หลายช่องโหว่ต่อเนื่องกัน
  • ช่องโหว่ทั้งหมดได้ถูกรายงานต่อผู้ดูแลโครงการที่เกี่ยวข้องและ แพตช์เรียบร้อยแล้ว
  • ในเบนช์มาร์ก CyberGym นั้น Mythos Preview ทำได้ 83.1% ขณะที่โมเดลก่อนหน้า Opus 4.6 ได้ 66.6%

การเข้าร่วมและการประเมินจากพันธมิตร

  • Cisco: ชี้ว่า AI ได้เปลี่ยนความเร่งด่วนของการปกป้องโครงสร้างพื้นฐานด้านความปลอดภัยโดยพื้นฐาน และ วิธีเสริมความปลอดภัยแบบเดิมเพียงอย่างเดียวไม่เพียงพออีกต่อไป
  • AWS: วิเคราะห์ network flow 400 ล้านล้านรายการต่อวัน และกำลังใช้ Claude Mythos Preview เพื่อ ยกระดับความปลอดภัยบนฐานโค้ด
  • Microsoft: ระบุว่าในเบนช์มาร์ก CTI-REALM นั้น Mythos Preview พัฒนาขึ้นอย่างมากจากโมเดลก่อนหน้า และกำลังผลักดัน การขยายขีดความสามารถด้านความปลอดภัยด้วย AI
  • CrowdStrike: ระบุว่า AI ทำให้ ช่วงเวลาระหว่างการค้นพบช่องโหว่กับการโจมตีสั้นลงเหลือระดับนาที และเน้นย้ำ ความจำเป็นในการปรับใช้ความสามารถด้านการป้องกันด้วย AI อย่างรวดเร็ว
  • ชุมชนโอเพนซอร์ส: ผ่าน Glasswing จะมีการมอบเครื่องมือตรวจจับช่องโหว่ด้วย AI ให้แก่ ผู้ดูแลโอเพนซอร์สที่ขาดแคลนทีมความปลอดภัย
  • JPMorganChase: เน้นย้ำความสำคัญของการรับมือร่วมกันทั้งอุตสาหกรรมเพื่อ เสริมความยืดหยุ่นทางไซเบอร์ของระบบการเงิน
  • Google: ให้บริการ Mythos Preview ผ่าน Vertex AI และเดินหน้าพัฒนา เครื่องมือความปลอดภัยด้วย AI (Big Sleep, CodeMender) อย่างต่อเนื่อง

สมรรถนะทางเทคนิคของ Claude Mythos Preview

  • Mythos Preview มี ความสามารถด้านการเขียนโค้ดและการให้เหตุผล เหนือกว่าโมเดลก่อนหน้าของ Anthropic อย่างมาก
  • ผลลัพธ์เบนช์มาร์กสำคัญ
    • ใน SWE-bench Verified/Pro/Multilingual และอื่น ๆ ดีขึ้นมากกว่า 20~30% เมื่อเทียบกับ Opus 4.6
    • ใน Terminal-Bench 2.0 ทำได้ 92.1% (Opus 4.6 ได้ 77.8%)
    • เมื่อไม่ใช้เครื่องมือ 56.8% vs 40.0%, เมื่อใช้เครื่องมือ 64.7% vs 53.1%
    • ใน Humanity’s Last Exam ทำได้ 86.9% vs 83.7%
    • ใน BrowseComp ทำคะแนนได้สูงกว่าโดยใช้โทเคนน้อยลง 4.9 เท่า
  • Anthropic ระบุว่า ไม่มีแผนเผยแพร่ Mythos Preview สู่สาธารณะ และจะผลักดันการขยายการใช้งานอย่างค่อยเป็นค่อยไปผ่าน โมเดล Claude Opus ที่มีการเสริมมาตรการความปลอดภัย ในอนาคต

แผนต่อไปของ Project Glasswing

  • พันธมิตรจะใช้ Claude Mythos Preview สำหรับ การตรวจจับช่องโหว่ในระบบสำคัญ การทดสอบแบบ black-box กับไบนารี ความปลอดภัยของเอ็นด์พอยต์ และการทดสอบการเจาะระบบ
  • Anthropic จะมอบ เครดิตการใช้งานโมเดลมูลค่า 100 ล้านดอลลาร์ และหลังจากนั้นจะใช้งานได้ในราคา 25 ดอลลาร์ต่อ 1 ล้านโทเคนอินพุต และ 125 ดอลลาร์ต่อ 1 ล้านโทเคนเอาต์พุต

  • การสนับสนุนองค์กรด้านความปลอดภัยโอเพนซอร์ส

    • มอบ 2.5 ล้านดอลลาร์ให้ Alpha-Omega และ OpenSSF ภายใต้ Linux Foundation
    • บริจาค 1.5 ล้านดอลลาร์ให้ Apache Software Foundation
    • ผู้ดูแลโอเพนซอร์สสามารถเข้าถึงได้ผ่าน โปรแกรม Claude for Open Source
    • ภายใน 90 วัน มีแผนเผยแพร่ รายงานการแก้ไขช่องโหว่และรายการปรับปรุง และร่วมกันพัฒนา แนวปฏิบัติด้านความปลอดภัยสำหรับยุค AI
    • ขั้นตอนการเปิดเผยช่องโหว่
    • กระบวนการอัปเดตซอฟต์แวร์
    • ความปลอดภัยของโอเพนซอร์สและซัพพลายเชน
    • วงจรชีวิตการพัฒนาที่ให้ความสำคัญกับความปลอดภัย
    • มาตรฐานอุตสาหกรรมที่อยู่ภายใต้การกำกับดูแล
    • ระบบจัดหมวดหมู่ช่องโหว่และการแพตช์อัตโนมัติ
    • Anthropic กำลัง หารือกับรัฐบาลสหรัฐฯ และมีแผนสนับสนุน การประเมินและบรรเทาผลกระทบด้านความมั่นคงแห่งชาติของขีดความสามารถไซเบอร์ที่ขับเคลื่อนด้วย AI
    • ในระยะยาว โครงการมุ่งสู่โครงสร้างที่มี องค์กรอิสระภายนอกซึ่งขับเคลื่อนความร่วมมือภาครัฐและเอกชน ทำหน้าที่ดูแลโครงการไซเบอร์ซีเคียวริตี้ขนาดใหญ่ต่อเนื่อง

บทความที่เกี่ยวข้อง

2 ความคิดเห็น

 
edwardyoon 20 일 전

ในฐานะสมาชิกของมูลนิธิที่กล่าวถึงข้างต้นแห่งหนึ่ง ฉันเฝ้าดูกระบวนการนี้ด้วยความรู้สึกคลางแคลงใจอย่างลึกซึ้ง ภายนอกชูคำว่า 'AI ที่มีจริยธรรม' แต่ภายใน การตัดสินใจนี้กลับถูกสั่งลงมาจากบนลงล่างโดยไม่มีฉันทามติจากชุมชนใด ๆ เลย

เมื่อความขัดแย้งทางภูมิรัฐศาสตร์เริ่มปะทุขึ้น แม้ฉันจะไม่ได้เคลื่อนไหวมานานแล้ว แต่ก็รู้สึกว่าควรพูดอะไรสักหน่อย จึงเปิดเธรดถกเรื่องจริยธรรมขึ้นมา ทว่าสิ่งที่ได้รับมีเพียงการหลีกเลี่ยงแบบราชการเท่านั้น ริเริ่มนี้ไม่ใช่การปกป้องคุณค่าของโอเพนซอร์ส แต่เป็นกรณีที่กลุ่มทุนขนาดใหญ่ที่ปิดกั้นได้ซื้อเครื่องหมายการค้า Responsible AI จากมูลนิธิโอเพนซอร์สไป
 
GN⁺ 22 일 전
ความคิดเห็นจาก Hacker News

  • เมื่อพูดว่าการแฮ็กที่ได้รับการสนับสนุนจากรัฐจากประเทศอย่างจีน อิหร่าน เกาหลีเหนือ และรัสเซียกำลังคุกคามโครงสร้างพื้นฐาน ฉันกลับคิดว่า PRISM ต่างหากที่เป็นโครงการของรัฐที่ส่งผลกระทบต่อชีวิตพลเรือนมากที่สุด และรู้สึกว่ามีอยู่ประเทศหนึ่งที่หายไปจากรายชื่อนี้

    • ฉันอยากเพิ่มอีกสองประเทศ ประเทศหนึ่งคือ ประเทศที่เพิ่งถูกบล็อกการเข้าถึงโมเดลของ Anthropic และอีกประเทศคือ ประเทศที่กำลังวุ่นกับเหตุเครื่องเพจเจอร์ระเบิด
    • ไม่ได้น่าแปลกใจที่บริษัท AI รายใหญ่ของสหรัฐจะไม่จัดให้สหรัฐเป็นรัฐศัตรูที่กระทำการอันเป็นปฏิปักษ์
    • ในช่วงทศวรรษ 2010 ฉันคิดว่าการเชื่อมต่อเครือข่ายยังไม่หนาแน่นพอ จึงแทบไม่มีความเสียหายที่เป็นรูปธรรมภายในสหรัฐ แต่ตอนนี้ ความเสี่ยงจากสงคราม สูงขึ้นแล้ว ในยามปกติก็เป็นแค่การข่มขู่ แต่ในยามสงครามอาจนำไปสู่ไฟฟ้าดับได้
    • มองจากสถานการณ์ตอนนี้แล้ว คำพูดนั้นฟังดู ประชดประชัน ในตัวเอง
    • ฉันสงสัยว่า PRISM ส่งผลต่อชีวิตพลเรือนจริง ๆ อย่างไรบ้าง

  • ประกาศของ Anthropic อาจเป็น การตลาดที่พูดเกินจริง แต่ต่อให้จริงแค่ครึ่งเดียว ความสามารถในการค้นหาช่องโหว่ก็น่าทึ่งมาก ถ้า Apple หรือ Google นำไปใช้กับ codebase ของ OS ได้ อุตสาหกรรมสปายแวร์เชิงพาณิชย์ อาจพังทลายได้เลย ฉันเคยคิดว่าบริษัทอย่าง NSO Group คงใช้เครื่องมือหาบั๊กแบบอัตโนมัติมานานแล้ว แต่ตอนนี้ สมดุลของเกม อาจเริ่มกลับมา

    • หากดู วิดีโอบรรยาย ของนักวิจัยด้านความปลอดภัยของ Anthropic อย่าง Nicholas Carlini จะเห็นว่าเดโมทั้งหมดใช้ Opus 4.6
    • Apple แทบจะกันการแฮ็กได้อยู่แล้วด้วย memory tagging และ Lockdown Mode การปรับปรุงสถาปัตยกรรม ภาษาแบบปลอดภัย และ sandboxing มีประสิทธิภาพมากกว่าการแก้บั๊กอย่างเดียวมาก
    • ถ้านี่เป็นเรื่องจริง Anthropic กำลังใช้กลยุทธ์ปิดความเสี่ยงจากการถูกนำไปใช้ในทางที่ผิดล่วงหน้า ดูเหมือนเป็นการลงมือก่อนเพื่อหลีกเลี่ยง PR เชิงลบ
    • หาก Apple ปิดแบ็กดอร์ที่ไม่ได้ตั้งใจทั้งหมด ความตึงเครียดกับรัฐบาลอาจเพิ่มขึ้น ในจดหมายถึงลูกค้าเมื่อปี 2016 Apple ปฏิเสธแบ็กดอร์ แต่เหตุผลที่ FBI ยอมถอยในท้ายที่สุดก็เพราะพวกเขาหาวิธีอื่นเจอ และตอนนี้วิธีนั้นอาจใช้ไม่ได้อีกแล้ว

  • ยังไม่มีหลักฐานว่า AI ตัวนี้ เหนือกว่า fuzzing มันแค่เจอบั๊กที่ fuzzing พลาดเท่านั้น ในทางกลับกัน AI ก็อาจพลาดสิ่งที่ fuzzing หาเจอก็ได้

    • วิธีที่ต่างกันย่อมให้ผลต่างกัน ฉันคิดว่าการใช้ ภาษาแบบ memory-safe ร่วมกับ static analyzer คือทางที่เหมาะที่สุด เพียงแต่เครื่องมืออย่าง Astrée แพงเกินไปจนมีส่วนแบ่งตลาดต่ำ ถ้า LLM ช่วยงาน การพิสูจน์บนพื้นฐานของตรรกะแบบ Hoare ได้ สถานการณ์อาจเปลี่ยนไป
    • หากดูการนำเสนอของ Carlini และ Heather Adkins จาก Google (วิดีโอ1, วิดีโอ2) จะเห็นว่า fuzzing เป็นทั้ง จุดเริ่มต้น และตัวเสริมของ AI
    • LLM เข้าใจ ข้อจำกัดของโปรโตคอล อย่าง checksum หรือ signature ได้ จึงช่วยเติมเต็มส่วนที่ fuzzing ทำได้ยาก ดูเหมือนว่าอีกไม่นานจะมี fuzzer แบบบูรณาการ ออกมา
    • จริง ๆ แล้ว AI อาจรันและปรับแต่ง fuzzing เองได้ด้วย

  • ฉันลองอ่าน PDF ของ Claude Mythos system card ของ Anthropic แล้ว โมเดลนี้ไม่ได้เปิดให้ใช้งานทั่วไป บอกว่ารู้สึกถึงความเสี่ยงจากการตรวจสอบภายในเพียงอย่างเดียว จึงทำ alignment review ตลอด 24 ชั่วโมง จุดที่น่าสนใจคือการตัดสินใจนี้ไม่ได้เกิดจาก Responsible Scaling Policy

    • benchmark น่าประทับใจ แม้ไม่สมบูรณ์แบบแต่ก็นำไปสู่ การปรับปรุงประสิทธิภาพที่จับต้องได้
    • ถ้าบริษัทต่าง ๆ ไม่ร่วมมือกับ Anthropic ก็คงเริ่มเกิด FOMO ว่าจะตามหลังในการแข่งขันด้านความปลอดภัย
    • ถ้าเป็นโมเดลที่อันตรายจริง ฉันคิดว่าการตรวจสอบ 24 ชั่วโมงสั้นเกินไปมาก
    • ในความเป็นจริง การขาดแคลนทรัพยากรคอมพิวต์ อาจเป็นเหตุผลที่ใหญ่กว่า Mythos มีโอกาสสูงที่จะยังแบก ปัญหา alignment แบบเดียวกับยุค GPT-4.1 อยู่
    • ฉันอ่านเรื่องสั้น ‘Sign Painter’ ที่ Mythos เขียนแล้วชอบมาก เป็นเรื่องที่ถ่ายทอด ความเป็นช่างฝีมือของมนุษย์และความคิดสร้างสรรค์ที่ยับยั้งชั่งใจ ได้ดี

  • ในระยะยาว ฉันไม่แน่ใจว่าความปลอดภัยซอฟต์แวร์จะไปสู่ทิศทางที่ ช่องโหว่น้อยลง จริงหรือไม่ บริษัทใหญ่จะเสริมการป้องกันด้วย AI ได้ แต่โปรเจ็กต์ขนาดกลางและเล็กอาจติดอยู่ในภาวะกลืนไม่เข้าคายไม่ออกแบบ “ใช้โทเค็นเยอะหรือไม่ก็โดนแฮ็ก”

    • หวังว่าจะได้สะสางช่องโหว่ในโค้ดเก่า และให้กระบวนการตรวจสอบแบบนี้กลายเป็น toolchain มาตรฐาน แต่ปัญหาใหญ่ที่สุดยังคงเป็น ระบบ legacy
    • ช่องโหว่ส่วนใหญ่เกิดจาก C/C++ หรือ ปัญหาการตรวจสอบอินพุตบนเว็บ สุดท้ายก็ต้อง พอร์ตไปใช้ภาษาแบบ memory-safe
    • องค์กรที่ปฏิเสธการใช้ AI ต่อไปน่าจะกลายเป็น เป้าหมายรวมศูนย์ของการโจมตีช่องโหว่
    • สุดท้ายแล้วมันน่าจะค่อย ๆ ไปสู่ซอฟต์แวร์ที่เรียบง่ายและลด ความซับซ้อนที่ไม่จำเป็น
    • แต่การที่ Anthropic ยังไม่แก้ ปัญหาการล่มหรือปัญหาความปลอดภัย ของโมเดลตัวเองก่อน ก็ทำให้ความน่าเชื่อถือลดลง

  • หากดู หัวข้อ 7.6 ของ system card ของ Mythos จะเห็นว่า ในการทดลองที่โมเดลคุยกับตัวเอง 30 เทิร์น มันมีแนวโน้มจะโฟกัสกับ ความไม่แน่นอนและการใคร่ครวญตนเอง คุณลักษณะนี้อาจเป็นปัจจัยที่ช่วยเพิ่ม ความสามารถในการค้นหาช่องโหว่

    • แต่คำอธิบายแบบนี้ฟังดูเหมือน การตลาด AGI แบบพูดเกินจริงของ Anthropic มากกว่า คล้ายพยายามตอกย้ำเรื่องเล่าว่าผู้ใช้ทั่วไปไม่ควรเชื่อถือมัน

  • Mythos ดูเหมือนจะยังเป็น โมเดลที่ปรับแต่งและจูน guardrail ยังไม่เสร็จ ดังนั้นจึงเปิดให้เข้าถึงเฉพาะพาร์ตเนอร์บางบริษัท และใช้งานใน ช่วงพรีวิวที่เน้นด้านไซเบอร์ซีเคียวริตี้ ดูเหมือนจะหวังผลด้าน PR ด้วย

    • ถ้าบริษัทที่ได้สิทธิ์เข้าถึงแบบนี้สามารถสร้าง ชุดข้อมูลโปรแกรมมิงสำหรับฝึกโอเพนโมเดล ได้ก็คงดี แต่ Anthropic น่าจะ เฝ้าติดตาม เรื่องนี้อย่างเข้มงวด

  • ประกาศครั้งนี้ดูเป็น อีเวนต์ PR ที่พูดเกินจริง มากกว่า เพราะก่อนหน้านี้ Opus 4.6 ก็สามารถทำ การตรวจจับ zero-day และการ chain exploit ได้อยู่แล้ว ดูบทความที่เกี่ยวข้องจาก CSO Online และ บล็อก Xbow ได้

  • สังคมจะต้องจ่ายราคาสำหรับการที่อุตสาหกรรมซอฟต์แวร์ละเลย memory safety และ control-flow integrity

    • มันเป็นทั้งปัญหาของอุตสาหกรรมและผลของ ความล้มเหลวด้านกฎระเบียบ อย่างที่ Mario Wolczko อดีตหัวหน้าของฉันสมัย Sun เคยพูดไว้ ไม่มีอะไรจะเปลี่ยนจนกว่าจะมีความรับผิดทางกฎหมาย ถึงเวลาแล้วที่จะ เลิกใช้ C/C++ และเปลี่ยนไปใช้ภาษาอย่าง Rust
    • แต่ด้วยข้อจำกัดของมนุษย์ ซอฟต์แวร์ซับซ้อนที่ปลอดภัยอย่างสมบูรณ์เป็นไปไม่ได้ มีเพียง ความเรียบง่ายและเครื่องมือที่เข้มงวด เท่านั้นที่เป็นคำตอบ
    • ช่องโหว่ RCE ส่วนใหญ่เกิดจากการยึด control flow ตราบใดที่ยังมีโครงสร้างการกระโดดแบบไดนามิกอยู่ การป้องกันที่สมบูรณ์ก็ยังยาก Rust อาจช่วยได้ แต่การ สร้างโปรแกรมขนาดใหญ่โดยใช้ static linking ทั้งหมด นั้นทำได้ยากในทางปฏิบัติ

  • ฉันมองว่าโมเดลใหม่นี้พัฒนาความสามารถด้าน การประมวลผลคอนเท็กซ์ยาว ได้แบบก้าวกระโดด ในการทดสอบ GraphWalks BFS 256K~1M นั้น Mythos ได้ 80% สูงกว่า Opus (38.7%) และ GPT5.4 (21.4%) มาก

    • แหล่งข้อมูลคือหัวข้อ “graphwalk” ใน system card และดูเหมือนประสิทธิภาพบน SWE Bench ก็ดีขึ้นมากด้วย
    • อย่างไรก็ตาม นี่อาจเป็นผลลัพธ์แบบเดียวกับ gpt-pro ที่มี attention window ใหญ่มาก ในการใช้งานจริงอาจใช้ได้อย่างมีประสิทธิภาพเพียงราว 8K โทเค็นเท่านั้น