Mythos พบช่องโหว่ใน curl

 (daniel.haxx.se)
2 คะแนน โดย GN⁺ 3 시간 전 | 2 ความคิดเห็น | แชร์ทาง WhatsApp
  • Mythos ของ Anthropic รายงานช่องโหว่ใน curl 5 รายการ แต่สุดท้ายเหลือจริงเพียง 1 รายการ
  • หลังทีมความปลอดภัยของ curl ตรวจสอบ พบว่า 3 รายการเป็น ผลบวกลวง และอีก 1 รายการถูกจัดเป็นบั๊กทั่วไป
  • ช่องโหว่ที่ยืนยันแล้วเป็น CVE ระดับ ความรุนแรงต่ำ และมีกำหนดเปิดเผยปลายเดือนมิถุนายนพร้อม curl 8.21.0
  • รายงานนี้มีบั๊กราว 20 รายการ และทีม curl กำลังแก้รายการที่เห็นพ้องด้วย
  • Daniel Stenberg มองว่าจากผลลัพธ์ของ curl เพียงอย่างเดียว ยังมีหลักฐานไม่มากพอจะบอกว่า Mythos อยู่ในระดับ อันตรายเป็นพิเศษ

เส้นทางที่ Anthropic Mythos เข้าถึง curl

  • ในเดือนเมษายน 2026 Anthropic ได้รับความสนใจอย่างมากหลังสรุปว่าโมเดล AI ใหม่ Mythos “เก่งจนน่ากังวล” ในการค้นหาช่องโหว่ด้านความปลอดภัยในซอร์สโค้ด
  • Anthropic ไม่ได้เปิดตัว Mythos ทันที แต่เลือกให้บางบริษัทใช้งานแบบจำกัดก่อน เพื่อเปิดเวลาให้แก้ปัญหาสำคัญได้ก่อน
  • ในฐานะส่วนหนึ่งของ project Glasswing ทาง Anthropic ยังให้ “โครงการโอเพนซอร์ส” เข้าถึงโมเดล AI รุ่นล่าสุดผ่าน Linux Foundation
  • Linux Foundation มอบหมายส่วนนี้ให้ Alpha Omega ดูแล และข้อเสนอก็ถูกส่งต่อไปยัง Daniel Stenberg หัวหน้านักพัฒนาของ curl
  • แม้จะมีการทำสัญญาการใช้งานแล้ว แต่การเข้าถึงจริงล่าช้าออกไป สุดท้ายจึงใช้วิธีให้บุคคลอื่นที่มีสิทธิ์เข้าถึง Mythos สแกนและวิเคราะห์ curl แล้วส่งรายงานมาให้

การวิเคราะห์ความปลอดภัยด้วย AI ของ curl ที่ดำเนินอยู่ก่อนแล้ว

  • ก่อนรายงานจาก Mythos นั้น curl ก็ถูกวิเคราะห์ด้วยเครื่องมือที่ใช้ AI หลายตัวอยู่แล้ว และยังคงใช้ static code analyzer ทั่วไป ตัวเลือกคอมไพเลอร์ที่เข้มงวด และการ fuzzing ที่ทำต่อเนื่องมาหลายปี
  • เครื่องมือหลักที่ใช้ AI ตรวจโค้ด curl คือ AISLE, Zeropath, OpenAI’s Codex Security
  • การวิเคราะห์จากเครื่องมือเหล่านี้นำไปสู่การ merge การแก้บั๊ก 200~300 รายการ ใน curl ตลอดช่วงประมาณ 8~10 เดือน ล่าสุด
  • ในบรรดารายการที่เครื่องมือ AI รายงาน บางส่วนได้รับการยืนยันว่าเป็นช่องโหว่จริงและถูกเปิดเผยเป็น CVE ซึ่งมี “น่าจะเกิน 12 รายการ”
  • GitHub Copilot และ Augment code ยังถูกใช้ในการรีวิว pull request เพื่อช่วยชี้ปัญหา แก้ไข และ merge โค้ดที่ดีขึ้น
  • การรีวิวด้วย AI ไม่ได้แทนที่การรีวิวโดยมนุษย์ แต่ใช้เป็น วิธีตรวจสอบเพิ่มเติม และช่วยยกระดับคุณภาพของโค้ดที่ถูก merge
  • ฝั่งนักวิจัยด้านความปลอดภัยเองก็ใช้ AI อย่างกว้างขวางและมีประสิทธิภาพ ทำให้ มีรายงานความปลอดภัยคุณภาพสูงเข้ามาจำนวนมาก
  • สำหรับโครงการ curl ความปลอดภัยคือสิ่งสำคัญสูงสุด และมีการใช้แนวทางกับกระบวนการด้านวิศวกรรมซอฟต์แวร์หลายอย่างเพื่อลดข้อบกพร่อง
  • การสแกนหาข้อบกพร่องเป็นเพียงหนึ่งในหลายขั้นตอนที่ใช้รักษาความปลอดภัยของ curl และดูเหมือนจะหาโครงการที่ทุ่มเทด้านความปลอดภัยซอฟต์แวร์มากกว่าหรือไกลกว่านี้ได้ยาก

ผลการวิเคราะห์ครั้งแรกของ Mythos เมื่อ 6 พฤษภาคม 2026

  • รายงานวิเคราะห์ซอร์สโค้ดฉบับแรกที่สร้างด้วย Mythos กลายเป็นโอกาสในการหาจุดที่ curl ควรปรับปรุงและบั๊กที่ควรแก้
  • การสแกนเบื้องต้นทำกับ git repository ของ curl และ commit ล่าสุดตัวหนึ่งที่ระบุ บน master branch
  • ขอบเขตการวิเคราะห์คือโค้ด 178,000 บรรทัด ในไดเรกทอรีย่อย src/ และ lib/
  • รายงานอธิบายอย่างละเอียดว่าใช้แนวทางและวิธีการใดบ้างในการค้นหาข้อบกพร่อง
  • ตอนต้นของรายงานระบุว่า curl เป็นหนึ่งใน codebase ภาษา C ที่ถูก fuzz และ audit มากที่สุด โดยผ่าน “OSS-Fuzz, Coverity, CodeQL และการตรวจสอบแบบเสียเงินหลายครั้ง” และน่าจะหาปัญหาในเส้นทางหลักอย่าง HTTP/1, TLS, URL parsing ได้ยาก
  • และ Mythos ก็ไม่พบปัญหาจริงในเส้นทางหลักเหล่านั้น

ขนาดของ codebase curl และประวัติด้านความปลอดภัย

  • หากไม่นับบรรทัดว่าง ปัจจุบัน curl มีโค้ดภาษา C 176,000 บรรทัด
  • ซอร์สโค้ดประกอบด้วย 660,000 คำ ซึ่งมากกว่านวนิยายภาษาอังกฤษ War and Peace ทั้งเล่มอยู่ 12%
  • โดยเฉลี่ยแล้ว โค้ดโปรดักชันหนึ่งบรรทัดของ curl ถูกเขียนแล้วเขียนใหม่ 4.14 ครั้ง
  • โค้ดโปรดักชันเดิมที่ยังคงอยู่ใน git master ปัจจุบันถูกเขียนโดยผู้ร่วมพัฒนาเฉพาะราย 573 คน
  • จนถึงตอนนี้มีการ merge การเปลี่ยนแปลงที่ผู้ร่วมพัฒนา 1,465 คน เสนอเข้ามาใน git repository ของ curl
  • curl เปิดเผย 188 CVE มาแล้วจนถึงปัจจุบัน
  • curl ถูกติดตั้งอยู่ในอินสแตนซ์มากกว่า 20 พันล้าน ชุด
  • curl รันได้บน มากกว่า 110 ระบบปฏิบัติการ และ 28 สถาปัตยกรรม CPU
  • curl ทำงานอยู่ในสมาร์ตโฟน แท็บเล็ต รถยนต์ ทีวี เกมคอนโซล และเซิร์ฟเวอร์

“ช่องโหว่ที่ยืนยันแล้ว 5 รายการ” ลดเหลือจริงเพียง 1 รายการ

  • รายงานของ Mythos สรุปว่าพบ “Confirmed security vulnerabilities” 5 รายการ
  • หลังทีมความปลอดภัยของ curl ใช้เวลาหลายชั่วโมงตรวจสอบรายละเอียด ช่องโหว่ที่ยืนยันได้จริงเหลือเพียง 1 รายการ
  • ในอีก 4 รายการที่เหลือ มี 3 รายการถูกมองว่าเป็น ผลบวกลวง ที่ชี้ไปยังข้อจำกัดซึ่งระบุไว้แล้วในเอกสาร API
  • อีกรายการหนึ่งถูกตัดสินว่าไม่ใช่ช่องโหว่ แต่เป็น บั๊กทั่วไป
  • ช่องโหว่ที่ยืนยันเพียงรายการเดียวนี้จะกลายเป็น CVE ระดับ ความรุนแรงต่ำ (severity low)
  • CVE นี้มีแผนเปิดเผยในช่วงปลายเดือนมิถุนายนพร้อมกับ curl รุ่นถัดไปคือ 8.21.0
  • รายละเอียดของช่องโหว่นี้จะยังไม่เปิดเผยก่อนวันประกาศ
  • รายงานของ Mythos ยังรวมบั๊กหลายรายการที่สรุปแล้วว่าไม่ใช่ช่องโหว่ และทีม curl ก็กำลังตรวจสอบกับแก้ไขรายการที่เห็นด้วยทีละรายการ
  • ในรายงานมีบั๊กราว 20 รายการ ที่จัดระเบียบไว้ดี และแทบไม่มีผลบวกลวง
  • รายงานฉบับนี้ช่วยให้ curl ดีขึ้น แต่หากดูจากปริมาณที่ค้นพบ เครื่องมือ AI ที่ใช้ก่อนหน้านี้ผลักดันให้เกิดการแก้บั๊กได้มากกว่า
  • ส่วนหนึ่งสะท้อนว่าเครื่องมือชุดแรกเจอบั๊กที่เยอะกว่าและง่ายกว่าก่อน และระหว่างนั้นปัญหาก็ถูกแก้ไปเรื่อย ๆ จนการหาข้อบกพร่องใหม่ยากขึ้น
  • บั๊กอาจเล็กหรือใหญ่ก็ได้ ดังนั้นการเปรียบเทียบกันด้วยตัวเลขอย่างเดียวจึงไม่ยุติธรรมเสมอไป

Mythos ยังไม่ดูว่าอยู่ในระดับ “อันตราย” เป็นพิเศษ

  • หากดูจากผลการวิเคราะห์ curl เพียงอย่างเดียว ก็ทำให้สรุปได้ว่าความสนใจอย่างมากรอบตัว Mythos นั้นดูเป็นเรื่องของ การตลาด เสียมากกว่า
  • ยังไม่เห็นหลักฐานว่า configuration ของ Mythos สามารถค้นหาปัญหาได้ในระดับที่สูงกว่าหรือซับซ้อนกว่าที่เครื่องมือก่อนหน้านี้ทำได้อย่างชัดเจน
  • Mythos อาจจะดีกว่าเล็กน้อย แต่ยังไม่เห็นว่าดีกว่ามากพอจะสร้างความแตกต่างสำคัญในการวิเคราะห์โค้ด
  • อย่างไรก็ตาม การประเมินนี้จำกัดอยู่แค่ผลจาก ซอร์สโค้ด repository เดียว คือ curl
  • จึงยังตัดความเป็นไปไม่ได้ที่ Mythos จะทำได้ดีกว่ามากกับเป้าหมายอื่นไม่ได้

ตัววิเคราะห์โค้ดด้วย AI ยังทรงพลังมาก

  • ตัววิเคราะห์โค้ดที่ใช้ AI เก่งกว่ามาก ในการหาช่องโหว่ด้านความปลอดภัยและความผิดพลาดในซอร์สโค้ด เมื่อเทียบกับ code analyzer แบบดั้งเดิมในอดีต
  • โมเดล AI สมัยใหม่เหมาะกับงานนี้ทั้งหมด และใครก็ตามที่มีเวลาและพร้อมทดลองก็สามารถใช้มันหาปัญหาด้านความปลอดภัยได้
  • ความโกลาหลคุณภาพสูง กำลังเกิดขึ้นจริง
  • โครงการที่ยังไม่เคยสแกนซอร์สโค้ดด้วยเครื่องมือ AI มีโอกาสสูงที่จะพบข้อบกพร่อง บั๊ก และช่องโหว่แฝงจำนวนมากด้วยเครื่องมือยุคนี้
  • ไม่ใช่แค่ Mythos แต่เครื่องมือ AI อีกหลายตัวก็อาจให้ผลลัพธ์เช่นนั้นได้
  • หากโครงการไม่ใช้ตัววิเคราะห์โค้ดด้วย AI ก็เท่ากับปล่อยเวลาและโอกาสให้ผู้โจมตีกับผู้ไม่หวังดีเป็นฝ่ายค้นพบและนำข้อบกพร่องที่ยังหาไม่เจอไปใช้ประโยชน์

จุดที่ตัววิเคราะห์ AI ต่างจากตัววิเคราะห์แบบเดิม

  • ตัววิเคราะห์ AI สามารถจับได้เมื่อสิ่งที่คอมเมนต์อธิบายเกี่ยวกับโค้ดไม่ตรงกับพฤติกรรมจริงของโค้ด
  • โดยทั่วไปมันสามารถตรวจโค้ดบนแพลตฟอร์มและการตั้งค่าที่ตัววิเคราะห์ปกติรันไม่ได้
  • มัน “รู้” รายละเอียดของไลบรารีและ API ฝั่ง third-party จึงสามารถตรวจพบการใช้งานผิดหรือสมมติฐานที่ไม่ถูกต้องได้
  • มัน “รู้” รายละเอียดของโปรโตคอลที่ curl รองรับ จึงสามารถตั้งข้อสังเกตได้เมื่อโค้ดดูเหมือนจะละเมิดหรือขัดกับข้อกำหนดของโปรโตคอล
  • โดยทั่วไปมันทำงานได้ดีในการสรุปและอธิบายข้อบกพร่อง ซึ่งเป็นงานที่น่าเบื่อและยากสำหรับตัววิเคราะห์แบบเดิม
  • มันสามารถสร้างและเสนอแพตช์สำหรับปัญหาที่พบได้ แต่แพตช์นั้นก็มักยังไม่ใช่การแก้ที่สมบูรณ์ 100%

รายละเอียดของรายงาน Mythos

  • รายงานของ Mythos สรุปว่า ไม่พบช่องโหว่ด้าน memory safety เลย 0 รายการ
  • ในเชิงวิธีวิทยา การตรวจสอบนี้เป็นการวิเคราะห์แบบมีมนุษย์นำ โดยใช้ sub-agent ของ LLM เพื่ออ่านไฟล์แบบขนาน
  • candidate finding ทั้งหมดถูกตรวจยืนยันซ้ำด้วยการตรวจซอร์สโดยตรงใน main session ก่อนจะบันทึกผล
  • การแมป CVE และการค้นหา variant สร้างขึ้นจาก vuln.json ของ curl เอง
  • ไม่มีการใช้เครื่องมือ SAST อัตโนมัติ
  • ผลลัพธ์นี้สอดคล้องกับสถานะของ curl ที่เป็นหนึ่งใน codebase ภาษา C ที่ถูก fuzz และ audit มากที่สุด
  • โครงสร้างการป้องกันของ curl กำลังปิดช่องโหว่ประเภทที่มักสร้างผลลัพธ์ได้ง่ายใน codebase ขนาดนี้อย่างเป็นระบบ
  • องค์ประกอบด้านการป้องกันมีทั้ง dynbuf แบบจำกัดขนาด, curlx_str_number ที่ใช้ค่าสูงสุดแบบ explicit ในการ parse ตัวเลขทั้งหมด, curlx_memdup0 ที่มี overflow guard, การบังคับใช้ format string ของ CURL_PRINTF, การจำกัดขนาด response ตามโปรโตคอล, และการจำกัด line size 64KB ของ pingpong
  • ความครอบคลุมรวมถึงทุกโปรโตคอลขนาดเล็ก, file parser ทั้งหมด, เส้นทางตรวจสอบ TLS backend ทั้งหมด, HTTP/1·2·3, ความลึกเต็มของ FTP, mprintf, x509asn1, DoH, กลไกการยืนยันตัวตนทั้งหมด, content encoding, connection reuse, session cache, เครื่องมือ CLI, โค้ดเฉพาะแพลตฟอร์ม ตลอดจน supply chain ของ CI และ build

AI ค้นพบข้อผิดพลาดรูปแบบเดิมในตัวอย่างใหม่

  • เครื่องมือ AI กำลังค้นหาข้อผิดพลาดประเภททั่วไปที่รู้จักกันดีและเป็นที่ยอมรับอยู่แล้ว เพียงแต่ค้นพบ instance ใหม่ของมัน
  • จนถึงตอนนี้ AI ยังไม่เคยรายงานช่องโหว่ชนิดใหม่อย่างสิ้นเชิง หรือช่องโหว่ประเภทที่ไม่เคยมีมาก่อน
  • AI ยังไม่ได้ปฏิวัติวงการความปลอดภัยในลักษณะนั้น
  • แต่ถึงอย่างนั้น มันก็กำลังขุดปัญหาออกมาได้มากกว่าเครื่องมือใด ๆ ก่อนหน้านี้

การค้นหาข้อบกพร่องที่ยังไม่จบ

  • ผลลัพธ์ครั้งนี้ไม่ใช่การพบบั๊กหรือการรายงานครั้งสุดท้าย
  • แม้ในเวลานั้นก็ยังมีรายงานเพิ่มเติมเกี่ยวกับปัญหาที่น่าสงสัยจากนักวิจัยด้านความปลอดภัยส่งเข้ามาอยู่
  • เครื่องมือ AI จะพัฒนาต่อไป และนักวิจัยอาจค้นพบวิธี prompt ใหม่ ๆ ที่ทำให้ AI ปัจจุบันหาปัญหาได้มากขึ้น
  • curl คาดหวังว่าจะยังถูกสแกนซ้ำด้วย Mythos และ AI ตัวอื่นต่อไป จนกว่าจะถึงจุดที่ไม่มีปัญหาใหม่โผล่ออกมาจริง ๆ

บทความที่เกี่ยวข้อง

2 ความคิดเห็น

 
GN⁺ 2 시간 전
ความคิดเห็นจาก Hacker News

  • คำพูดอ้างอิง: “ผมสรุปอย่างอื่นไม่ค่อยได้ นอกจากว่ากระแส hype ใหญ่ ๆ รอบโมเดลนี้ส่วนใหญ่คือ การตลาด ผมไม่เห็นหลักฐานว่าการตั้งค่านี้ทำให้ Mythos หาปัญหาได้ในระดับที่สูงกว่าหรือซับซ้อนกว่าเครื่องมือก่อนหน้าอย่างมีนัยสำคัญ อาจจะดีกว่านิดหน่อย แต่ดูไม่ดีพอจะสร้างความเปลี่ยนแปลงที่มีความหมายต่อการวิเคราะห์โค้ด”
    เป็นการเตือนทุกคนว่า การแข่งขันในวงการนี้ดุเดือดมาก และมีการตลาดทั้งแบบตรง ๆ และแบบแนบเนียนปะปนอยู่มาก

    • ไม่น่าแปลกใจเลยที่ Anthropic จะใช้ การตลาด เพื่อโน้มน้าวว่ารุ่นของตัวเองล้ำหน้ากว่า สร้างมาดีกว่า และ AI เป็นภัยคุกคามที่ต้องมีกฎระเบียบ ซึ่งคำตอบนั้นมีแค่พวกเขาเท่านั้น
      ถ้าพูดจริงจังกว่านั้น ตอนนี้ยังแทบไม่เห็นสัญญาณว่า Mythos เป็นอะไรที่มากกว่า Opus ที่ติดอุปกรณ์วิเคราะห์โค้ดแบบเน้นความปลอดภัยเข้าไป ถึงอย่างนั้น ประเด็นที่สำคัญกว่าการโฆษณาเกินจริงก็คือ แค่การที่มันสามารถหาบั๊กแบบนี้ได้โดยอัตโนมัติก็สำคัญแล้ว
      ผมสงสัยเรื่องอัตราความผิดพลาดของการตรวจจับ ถ้า 90% ผิดหมดและเราได้ยินเฉพาะเคสที่เอาไปใช้ทำการตลาดได้ ก็แทบไม่มีความหมาย
    • โดยรวมก็เป็นผลลัพธ์ที่พอคาดไว้ได้ แต่เบาะแสใหญ่ก็คือ เครื่องมือที่อิง LLM เดิมที่มีอยู่แล้ว ถูกใช้กับโค้ดเบสที่ผ่านการตรวจสอบอย่างกว้างขวางมาระยะหนึ่งแล้ว
      ดังนั้นแม้การตลาดของ Anthropic อาจเกินจริง แต่เดิมทีก็แทบไม่เหลืออะไรให้หาอยู่แล้ว และบทความก็พูดถึงจุดนั้น
      จะบอกว่าเป็นความก้าวหน้าครั้งใหญ่สำหรับโปรเจ็กต์ประเภทอื่นหรือไม่ยังตอบยาก แต่ตอนนี้ก็ชัดเจนแล้วว่าทุกคนควรใช้ เครื่องมือ AI code review เพื่อตรวจสอบโค้ดที่มีอยู่ตั้งแต่วันนี้ และในความเป็นจริงยังไม่ใช่ทุกคนที่ทำแบบนั้น
    • curl ไม่ใช่ data point ที่ดี เพราะมันเป็นหนึ่งในโค้ดเบสที่ถูกขุดคุ้ยมากที่สุดเท่าที่มีอยู่ และแนวปฏิบัติการทดสอบความปลอดภัยก็แข็งแรงมาก
      นักวิจัยที่ใช้โมเดลซึ่งคล้าย Mythos แต่ไม่เหมือนทั้งหมดก็มีเวลามากพอจะรายงานบั๊กมาก่อนหน้านี้แล้ว Daniel อาจจะถูกที่มองว่า Mythos ไม่ใช่เครื่องมือเปลี่ยนเกมสำหรับ curl แต่สำหรับโค้ดเบสอื่นแทบทั้งหมด เงื่อนไขตั้งต้นต่างออกไป การตลาดที่แท้จริงอาจกลับเป็นความถ่อมตัวของเขาต่อความสุกงอมของ curl เอง
    • Mozilla กำลังทำการตลาดแทน Anthropic หรือเปล่า?
      ในฐานะส่วนหนึ่งของความร่วมมืออย่างต่อเนื่องกับ Anthropic เราได้มีโอกาสนำ Claude Mythos Preview เวอร์ชันต้นแบบมาใช้กับ Firefox รุ่น Firefox 150 ที่ปล่อยในสัปดาห์นี้มีการแก้ไขช่องโหว่ 271 รายการ ที่ระบุได้จากการประเมินเบื้องต้นนี้
      เมื่อความสามารถแบบนี้เข้าถึงผู้ป้องกันได้มากขึ้น หลายทีมก็กำลังรู้สึกเวียนหัวแบบเดียวกับที่พวกเราเคยรู้สึกเมื่อผลลัพธ์แรกเริ่มชัดเจนขึ้น เมื่อก่อนแค่พบบั๊กแบบนี้เพียงตัวเดียวในเป้าหมายที่แข็งแรงมากก็ถือเป็นสัญญาณเตือนระดับแดงในปี 2025 แล้ว แต่พอออกมาทีเดียวมากขนาดนี้ ก็ทำให้ต้องหยุดคิดว่าจริง ๆ แล้วเราจะตามทันได้หรือไม่
      https://blog.mozilla.org/en/privacy-security/ai-security-zer...
    • เป็นไปได้มากที่กระแส hype ส่วนใหญ่จะเป็นแค่การตลาด
      อีกความเป็นไปได้คือ Curl ปลอดภัยมากพอ จนมีสิ่งให้หาน้อยกว่าโปรเจ็กต์อื่นมาก

  • ผมเห็นด้วยกับคำว่า “อีเวนต์การตลาดที่ประสบความสำเร็จอย่างน่าทึ่งจริง ๆ” Anthropic ทำได้ดีมาก
    มันไปถึงระดับ CISO ขององค์กรกึ่งรัฐเล็ก ๆ ในเนเธอร์แลนด์ และทำให้ตื่นตระหนกเล็กน้อยกับการประกาศเรื่อง คลื่นสึนามิของช่องโหว่ ที่จะมากับ Mythos
    ผลคือผมได้งบและลำดับความสำคัญเพิ่มขึ้นจากบอร์ด การสร้างความกลัวทางการตลาดที่ดีไม่ควรปล่อยให้เสียเปล่า

    • ผมไม่เห็นด้วยกับคำว่า “ไม่เห็นสึนามิ” ตอนนี้มีบั๊กมากกว่า 100 ตัวใน Firefox และอีกหลายโปรเจ็กต์โอเพนซอร์ส รวมถึงช่องโหว่ remote code execution เก่า ๆ บน OpenBSD/Linux ที่ไม่เคยเห็นมาก่อน และแม้แต่ใน Linux เองก็มี การยกระดับสิทธิ์แบบโลคัล หลายรายการออกมาในเวลาแค่ 2-3 สัปดาห์
      สิ่งที่เห็นดูไม่ใช่ความกลัวจากการตลาด แต่เป็นการพุ่งขึ้นของการเปิดเผยช่องโหว่คุณภาพสูงที่มี false positive ต่ำ เหมือนกำลังไล่กวาดรายงานบั๊กคุณภาพดีหลายปีภายในเวลาไม่กี่สัปดาห์
    • Anthropic กำลังทำลายความรู้สึกดีของลูกค้าอย่างรวดเร็วด้วยการเล่นมุกเดิมซ้ำ ๆ สำหรับผมแล้วนี่คือ การตลาดที่แย่มาก
      การที่บริษัทศึกษาภัยคุกคามไซเบอร์จาก LLM ทั่วไป กับการหันบทสนทนาไปทาง “โมเดลใหม่ของเราแรงเกินไป” เป็นคนละเรื่องกันโดยสิ้นเชิง มันเหนียวเหนอะและน่าขยะแขยง
    • เขาอธิบายไว้อย่างละเอียดว่า curl ถูก ขัดเกลาทางวิศวกรรมซอฟต์แวร์ ไปเกือบสุดทางแล้ว คุณคิดจริงหรือว่าโค้ดส่วนใหญ่ถูกขัดเกลาอย่างหนักขนาดนั้น?

  • ถ้า AI agent หา 0 บั๊กใน utility software ตัวหนึ่งได้ ทำไมเราต้องตีความว่านั่นหมายความว่า AI agent ตัวนั้นไม่เก่งเรื่องหาบั๊กด้วย?
    ถ้าบั๊กจริง ๆ มีอยู่ 0 ตัวล่ะ?
    ความคาดหวังแบบ “ปัญหา 5 รายการให้ความรู้สึกเหมือนไม่มีอะไรเลยเมื่อเทียบกับที่เราคาดว่าจะได้รายการยาว ๆ” อาจไม่ตรงกับความจริงก็ได้ แต่เหตุผลนั้นไม่ได้จำเป็นต้องหมายความว่าความสามารถของ Mythos ต่ำกว่าที่อ้าง curl อาจเป็นเครื่องมือที่ถูก harden มาอย่างดีและแทบไม่มีช่องโหว่ด้านความปลอดภัยในสภาพปัจจุบัน

    • ผู้เขียนบทความก็คิดถึงประเด็นเดียวกันเกี่ยวกับบั๊กที่ยังเหลืออยู่
      “ยังมีอีกให้หา สิ่งเหล่านี้ไม่ใช่บั๊กสุดท้ายที่จะถูกพบหรือถูกรายงาน ระหว่างที่ผมเขียนดราฟต์โพสต์บล็อกนี้ ผมยังได้รับรายงานปัญหาที่น่าสงสัยเพิ่มเติมจากนักวิจัยด้านความปลอดภัย เครื่องมือ AI จะดีขึ้นอีก และนักวิจัยจะหาวิธี prompt แบบใหม่และแตกต่างออกไปเพื่อให้ AI ที่มีอยู่หาพบได้มากขึ้น เรายังไปไม่ถึงจุดสิ้นสุด เราหวังว่าจะสามารถสแกน curl ซ้ำต่อไปด้วย Mythos และ AI อื่น ๆ ได้ จนกว่าจะไม่มีการค้นพบปัญหาใหม่จริง ๆ อีกแล้ว”
      ก็สมเหตุสมผลอยู่ การจะบอกว่ามี discovery ที่ถูกต้องเหลืออยู่แค่ 1 รายการพอดี และมันบังเอิญเป็น Mythos ที่หาเจอได้ตอนเปิดตัวพอดี ขณะที่โปรเจ็กต์อื่นกวาด discovery ทั้งหมดไปอย่างรวดเร็วก่อนหน้านั้นไม่นาน ต้องอาศัยความบังเอิญมากพอสมควร เป็นไปได้ แต่ไม่ใช่จุดตั้งต้นที่ปลอดภัยที่สุดเวลาจะตั้งคำถาม

  • อดคิดไม่ได้ว่า curl โดยธรรมชาติแล้วเป็นเครื่องมือที่ค่อนข้างเรียบง่ายและมีขอบเขตชัดเจนเมื่อเทียบกับระบบปฏิบัติการ เว็บเบราว์เซอร์ ฐานข้อมูล หรือโค้ดเบสของบริษัทมูลค่าหลายพันล้านดอลลาร์
    พอจะมีเหตุผลอยู่บ้างที่ Mythos/ChatGPT 5.5 อาจทำได้ดีกว่ามากในความซับซ้อนแบบที่ curl ไม่มี แม้ curl จะมีฟีเจอร์เยอะมากในฐานะ “ไคลเอนต์ที่ทำได้ทุกอย่าง” แต่ระดับความซับซ้อนก็ยังต่ำกว่าซอฟต์แวร์อื่นที่เราพึ่งพาอยู่หลายหลัก

    • curl ซับซ้อนกว่าที่หลายคนคิดมาก คนส่วนใหญ่รู้จักมันแค่เป็น เครื่องมือบรรทัดคำสั่ง สำหรับยิง HTTP(S) endpoint แล้วพิมพ์ผลลัพธ์ แต่จริง ๆ แล้วมันรองรับแทบทุกโปรโตคอลถ่ายโอนไฟล์ และเป็นไลบรารีที่ออกแบบมาสำหรับโปรเซสที่รันยาวนาน
      เพราะคำนึงถึงโปรเซสที่รันนาน มันจึงใช้เทคนิคเท่าที่เป็นไปได้ทุกอย่างเพื่อทำ pipeline และ reuse การเชื่อมต่อกับทรัพยากรต่าง ๆ อีกทั้งยังมี asynchronous API เพื่อรวมเข้ากับ event loop ที่มีอยู่เดิมได้
      ถ้าจะถามว่าเว็บเบราว์เซอร์หรือฐานข้อมูลซับซ้อนกว่าหรือไม่ ก็น่าจะใช่อยู่แล้ว พวกนั้นแก้ปัญหาใหญ่มหาศาลจริง ๆ แต่ curl ก็ซับซ้อนกว่าโค้ดแอปพลิเคชันส่วนใหญ่ที่ใช้มันอย่างแน่นอน
    • เห็นด้วยว่ามันเป็นเครื่องมือค่อนข้างพื้นฐาน แต่ตามที่บทความบอก ความยาวโค้ดมากกว่า สงครามและสันติภาพ เสียอีก ในระดับนั้นก็ยังมีพื้นที่ให้เกิดช่องโหว่ด้านความปลอดภัยได้อีกมาก
    • อ้างจากบทความ: “curl ตอนนี้มีโค้ด C 176,000 บรรทัด ไม่นับบรรทัดว่าง ซอร์สโค้ดมี 660,000 คำ ซึ่งมากกว่านวนิยายสงครามและสันติภาพฉบับภาษาอังกฤษทั้งหมด 12%”
      “curl ถูกติดตั้งอยู่ในอินสแตนซ์มากกว่า 20 พันล้านตัว รันบนระบบปฏิบัติการมากกว่า 110 แบบ และสถาปัตยกรรม CPU 28 แบบ มันรันอยู่บนสมาร์ตโฟน แท็บเล็ต รถยนต์ ทีวี เกมคอนโซล และเซิร์ฟเวอร์ทุกเครื่องบนโลก”
      จะเรียกสิ่งนี้ว่าเรียบง่ายหรือมีขอบเขตชัดเจนก็คงยาก แม้แต่ระบบปฏิบัติการหรือเว็บเบราว์เซอร์ส่วนใหญ่ก็ไม่ได้ไปรันอยู่ในรถหรือทีวีด้วยซ้ำ

  • ข้อสรุปว่า “ไม่ได้อันตรายเป็นพิเศษ” ดูเหมือนไม่ค่อยตามมาจากข้อมูลเท่าไร อย่างที่มีคนพูดไว้ curl ถูก วิเคราะห์อย่างละเอียดถี่ถ้วน ด้วยทุกเครื่องมือที่มีให้ใช้แล้ว แต่ซอฟต์แวร์ส่วนใหญ่ไม่ได้อยู่ในระดับนั้น

    • แต่ Mythos ถูกทำการตลาดว่าไม่ใช่แค่เครื่องมือที่ทำสิ่งที่เครื่องมือเดิมทำได้ให้ดีขึ้นเล็กน้อย แต่เป็น การปฏิวัติ
    • Mythos จะอันตรายหรือไม่อันตรายก็อย่างใดอย่างหนึ่ง ในที่นี้ความหมายของอันตรายคือ “มันหาช่องโหว่ได้มากกว่าเครื่องมือที่มีอยู่มากอย่างชัดเจน”
      Mythos หาช่องโหว่เพิ่มได้เพียงหนึ่งรายการ และ x+1 ไม่ได้มากกว่า x อย่างมาก ดังนั้นตามนิยามนี้ Mythos จึงไม่อันตราย
    • ก็จริง แต่นี่เป็นการตัดสิน Mythos เทียบกับโมเดลอื่นไม่ใช่หรือ?
      ถ้าอย่างนั้นข้อสรุปก็ยังใช้ได้อยู่ “ซอฟต์แวร์ส่วนใหญ่” ไม่ได้ถูกวิเคราะห์เท่า curl และก็ไม่ได้ถูกวิเคราะห์ด้วยเครื่องมืออื่นหรือโมเดลอื่นในระดับเดียวกัน ถ้าเครื่องมือพวกนั้นให้ผลใกล้เคียงกับ Mythos ได้ ก็ยากจะบอกว่า Mythos อันตรายเป็นพิเศษ
    • คำว่า “ไม่ได้อันตรายเป็นพิเศษ” นี่ไม่ได้หมายถึงช่องโหว่ที่ค้นพบหรือ? เรื่องจะมอง low severity ว่าอย่างไร พวกเขาน่าจะรู้ดีที่สุด
    • ตอนนี้ curl กำลังได้รับรายงานบั๊ก/ช่องโหว่คุณภาพสูงในระดับสูงเป็นประวัติการณ์ กระแสนี้เปลี่ยนจากการถล่มด้วยรายงานคุณภาพต่ำในอดีตอย่างค่อนข้างฉับพลัน ดังนั้นไม่ได้แปลว่าไม่มีอะไรให้หาแล้ว
      หลายรายการหรืออาจส่วนใหญ่ดูเหมือนจะถูกพบโดยผู้เชี่ยวชาญที่เป็นมนุษย์ซึ่งได้ความช่วยเหลือจากเครื่องมือ AI แต่ถ้า Mythos ปฏิวัติจริง มันก็ควรจะหาปัญหาแบบนี้ได้ด้วยตัวเอง
      https://daniel.haxx.se/blog/2026/04/22/high-quality-chaos/, มีลิงก์ไว้ในบทความต้นฉบับ

  • ส่วนที่บอกว่า “ช่องโหว่ที่ยืนยันแล้วเพียงรายการเดียวจะกลายเป็น CVE ระดับความรุนแรงต่ำ และมีแผนเปิดเผยพร้อมกับ curl รุ่นถัดไป 8.21.0 ที่กำหนดไว้ปลายเดือนมิถุนายน” น่าประทับใจมาก
    ผมยังรู้สึกว่าเข้าใจได้ยากว่า cURL ถูกสร้างและขัดเกลามาดีแค่ไหน มันเป็นตัวอย่างสมบูรณ์แบบของสิ่งที่ทำมาดีมากจนคนแทบไม่ต้องคิดซ้ำเป็นครั้งที่สอง

    • ง่ายมาก มันแสดงให้เห็นว่ามีอะไรเป็นไปได้บ้างเมื่อคุณใช้ มาตรฐานคุณภาพสูง กับโค้ดทุกบรรทัดที่ถูก commit, review และ merge โดยไม่ขึ้นกับภาษาโปรแกรม
      แต่ในยุคของการแข่งขันลงสู่ก้นเหว การจ้างนอกชายฝั่งราคาถูก และตอนนี้รวมถึงการสร้างโค้ดด้วย LLM บริษัทส่วนใหญ่คงไม่สนใจคุณภาพระดับนี้หากยังไม่มีความรับผิดชอบที่ชัดเจน
    • Curl กับ SQLite คือสองตัวอย่างโปรดของผมของ “อะไรก็ได้” ที่ถูกสร้างอย่างเป็นวิศวกรรมจริงจังและทดสอบอย่างเข้มงวด มันแทบจะเป็นเรื่องเชิงปรัชญา
      ข้อกำหนดการมีส่วนร่วมของโปรเจ็กต์เหล่านี้เรียกร้องความเข้มงวดระดับนั้น และผู้ดูแลก็รักษามาตรฐานนั้นไว้ สิ่งที่ทำให้เป็นไปได้คือเอกสารที่ไม่ได้อยู่ภายใต้แรงกดดัน นั่นคือเอกสารที่ไม่ใช่ตัวโค้ดของโปรเจ็กต์ มันทำให้นึกถึงการทดลองทางความคิดของ Einstein ที่นำไปสู่โครงการใช้งานจริงอย่าง GPS หรือความเชื่อของ Descartes ว่าทุกปัญหาแก้ได้ด้วยการคิดอย่างมีเหตุผล
    • ไอรอนีก็คือ ถึงจะสร้างมาดีขนาดนั้น ผู้คนก็ยังลงท้ายด้วยการทำ curl ... | bash โดยไม่รู้สึกว่ามีอะไรผิดปกติ แล้วค่อยหลบด้วยคำอย่าง “threat model”
      ส่วนผมนั้นขอข้าม curl-bash ไป แล้วใช้ ตัวติดตั้งแพ็กเกจที่ลงลายเซ็นดิจิทัลแบบเข้ารหัส ดีกว่า

  • ผมรู้ว่ากระแส hype ของ Mythos เป็นส่วนหนึ่งของการตลาดของ Anthropic แต่สำหรับโค้ดเบสที่ผ่านการตรวจสอบอย่างหนัก ก็เป็นไปได้ไม่ใช่หรือว่าตอนนี้มันอาจไม่มีช่องโหว่ด้านความปลอดภัยที่เด่นชัดแล้ว?
    การไม่พบอะไรเลยไม่ได้จำเป็นต้องเป็นหลักฐานในทางลบ โดยเฉพาะถ้าเครื่องมืออื่น ๆ เคยระบุช่องโหว่ไปแล้วหลายร้อยรายการ ตอนนี้มันดูเหมือนถูกขุดคุ้ยจนแทบหมดแล้ว

  • การตลาดย่อมปะปนอยู่เสมอ และผู้คนควรต้องมองการตลาดตามบริบท
    อีกอย่าง curl เป็นโปรเจ็กต์โอเพนซอร์ส และเป็นของสำคัญที่ค่อนข้างเล็ก เป็นที่รู้จักดี และถูกใช้ไปทุกที่ ถ้าไม่นับพวก image library แล้ว curl หรือเครื่องมืออย่าง sudo, su, passwd ก็น่าจะเป็นเป้าหมายแรก ๆ ที่ผมจะลอง
    ยังไม่มีใครรู้เลยจริง ๆ ว่า Mythos ทำอะไรได้บ้าง โมเดล 10 ล้านล้านพารามิเตอร์นั้นหมายความว่าอะไรในแง่ต้นทุนและ benchmark?
    ถึงอย่างนั้น ถ้า LLM เพิ่งเริ่มเก่งกว่ามนุษย์อย่างมากในการหาปัญหาแบบนี้เมื่อประมาณครึ่งปีก่อน สักจุดหนึ่งเราก็ต้องเผชิญกับปัญหาที่ทุกคนเมินมานาน ทุกวันนี้ควรเพิ่ม LLM เข้าไปในงาน security scanning และควรเอาจริงเอาจังกับมัน
    อย่างแย่ที่สุด เราก็ยังใช้การตลาดของ Anthropic เพื่อบอกได้ว่านี่เป็นสิ่งจำเป็นแล้วและมีบางอย่างเปลี่ยนไปจริง ๆ

    • สำหรับคำถามว่า “โมเดล 10 ล้านล้านพารามิเตอร์หมายความว่าอะไรในแง่ต้นทุนและ benchmark?” สำหรับผมมันหมายถึงว่าเราไปถึงช่วงบนของ S-curve ของผลจากการสเกล แล้ว
      ถ้าในขนาดนั้นเครื่องมือยังไม่ได้ดีขึ้นอย่างเห็นได้ชัด ก็แปลว่าเราเข้าสู่ช่วงผลตอบแทนลดลงแน่นอน
    • การที่ “ยังไม่มีใครรู้เลยว่า Mythos ทำอะไรได้บ้าง” เป็นสถานะที่ตั้งใจให้เป็นแบบนั้น ถึงอย่างนั้นคุณก็แค่ดูได้ว่าผู้คนเชื่อไปแล้วว่ามันทำอะไรได้บ้าง
    • พอได้ยินว่า “LLM เก่งกว่ามนุษย์มากในการหาปัญหาแบบนี้” ผมก็ได้แต่กรอกตา ตัววิเคราะห์แบบสแตติก ทั่วไปก็ทำงานเชิงกลบางอย่างได้ดีกว่ามนุษย์มาหลายสิบปีแล้ว และการเก่งกว่ามนุษย์ในงานเชิงกลบางอย่างก็ไม่ได้มีความหมายมากนัก
      สิ่งใหม่ที่น่าสนใจคือประเภทของ “บั๊กพร่ามัว” ที่บทความอธิบายว่า LLM อาจระบุได้ เช่น โค้ดที่ไม่ตรงกับสิ่งที่คอมเมนต์อธิบาย การใช้ไลบรารีภายนอกแบบแปลก ๆ การที่โค้ดกับโปรโตคอลที่มันนำไปใช้นั้นไม่สอดคล้องกัน หรือแค่โค้ดที่ดูแปลก ๆ โดยรวมจนควรมีคนเข้าไปดูต่อ สิ่งนี้เติมช่องว่างในกล่องเครื่องมือดีบักแบบดั้งเดิม แต่ไม่ควรเอามาแทนที่เครื่องมือเหล่านั้น

  • จากมุมมองของผม ข้อความที่สื่อรอบ Mythos คือมันนำความเชี่ยวชาญของผู้เชี่ยวชาญด้านความปลอดภัยระดับสูงสุด และผู้เชี่ยวชาญชั้นนำด้านภาษา โปรโตคอล และโค้ด มาให้กับใครก็ตามที่เข้าถึงได้
    อันตรายอยู่ตรงที่การเปิดสิทธิ์เข้าถึงแบบนั้นให้ทั้งโลกก่อนที่ฝ่ายป้องกันจะมีโอกาสเข้าถึงความเชี่ยวชาญระดับเดียวกัน
    Curl อยู่ใจกลางของทุกอย่าง จึงถูกผู้เชี่ยวชาญด้านความปลอดภัย โปรโตคอล และภาษาตรวจดูมานานหลายปี การที่ Mythos หาอะไรบางอย่างเจอเป็นเรื่องน่าสนใจ แต่ไม่ใช่สัญญาณว่ากระแสการตลาดนั้นเกินจริงเฉย ๆ และไม่อันตราย
    99.99% ของโปรเจ็กต์ต่าง ๆ ปลอดภัยไม่เท่า curl ไม่ว่าจะเป็นโอเพนซอร์สหรือซอร์สปิดก็ตาม LLM ยินดีจะ decompile และสำรวจโปรเจ็กต์ซอร์สปิดด้วย ถ้าโปรเจ็กต์ใดยังไม่ถูก fuzz และยังไม่ผ่านการทบทวนโดยเครื่องมือ AI ที่มีอยู่กับผู้เชี่ยวชาญ ก็ควรคาดไว้แล้วว่ามันอาจถูกเจาะได้ แม้ด้วยเครื่องมือที่มีอยู่ตอนนี้ และอะไรอย่าง Mythos ก็ยิ่งทำให้ฐานผู้ใช้ที่กว้างขึ้นและมีความเชี่ยวชาญน้อยลงเข้าถึงความสามารถแบบนั้นได้

    • เห็นด้วย Anthropic ไม่เคยอ้าง ประสิทธิภาพเหนือมนุษย์ แต่พูดถึงเรื่องความเร็วและขนาดเท่านั้น
      การที่มันหาช่องโหว่ใหม่ในซอฟต์แวร์ที่ถูกศึกษามาอย่างดีไม่ได้มากนัก ไม่ได้บอกอะไรเลยเกี่ยวกับความเป็นไปได้โดยรวมของการนำไปใช้ในทางอันตราย

  • มันฟังเหมือน “curl เป็นหนึ่งในโค้ดเบส C ที่ถูก fuzz และ audit มากที่สุดเท่าที่มี OSS-Fuzz, Coverity, CodeQL รวมถึงการ audit แบบเสียเงินหลายครั้ง เคอร์เนลส่วนสำคัญอย่าง HTTP/1, TLS และแกน parsing URL หาอะไรใหม่ได้ยาก”
    ถ้อยคำนี้ฟังดูไม่เหมือน LLM พยายามแล้วล้มเหลว แต่เหมือนมันเลิกพยายามไปเลยมากกว่า ผมเคยเห็น Claude ทำแบบนั้นบ่อยถ้าไม่คอยไล่บี้ให้มันท้าทายตัวเอง เลยสงสัยว่าจริง ๆ แล้วที่นี่เกิดอะไรขึ้น
 
GN⁺ 3 시간 전
ความคิดเห็นจาก Lobste.rs

  • มองแยกเดี่ยว ๆ แล้วอาจไม่ได้น่าทึ่งมาก แต่ผลลัพธ์นี้น่าจะต้องมองว่าเป็นการ “ถูกโจมตีแทบทุกวันนับตั้งแต่มีโมเดลรุ่นก่อน ๆ ออกมา และยังหาประเด็นด้านความปลอดภัยได้ด้วย การรันเพียงครั้งเดียว ในหนึ่งในแอปพลิเคชันที่ถูกตรวจสอบมากที่สุด” มากกว่า

    • เรื่องที่ว่า “รัน static code analyzer ทั่วไปอย่างต่อเนื่อง ใช้ compiler options ที่โหดที่สุด และทำ fuzzing มาหลายปี” นั้น ในที่อื่น ๆ กลับเป็นสิ่งที่แทบไม่ค่อยทำกันอย่างที่คิด
      อาจต้องเตรียมใจรับ ช่วงเวลาอันมืดมน ที่ความปลอดภัยจะลดลงหรือหายไป จนกว่าจะเขียนทุกอย่างขึ้นมาใหม่
    • เป็นความจริงที่ LLM เก่งขึ้นในการหาช่องโหว่ แต่ไม่เข้าใจว่าทำไมถึงอธิบายว่า curl เป็นหนึ่งในแอปพลิเคชันที่ถูก audit มากที่สุด
      curl มี bug bounty program และดึงดูดงานวิจัยได้ระดับหนึ่ง แต่ผลที่ตามมาก็คือ Daniel ต้องจมอยู่กับรายงานขยะจาก AI ด้วย ไม่ว่าจะเปิดเผยต่อสาธารณะหรือไม่ มันก็ไม่เคยเป็นเป้าหมายระดับท็อปสำหรับงานวิจัยช่องโหว่
      มันไม่ได้อยู่ในหมวด “ที่นี่ค้นยังไงก็ไม่เจอ” โดยเฉพาะถ้าสามารถทุ่ม ทรัพยากรประมวลผลขนาดใหญ่ แบบกึ่งอุดหนุนได้ ก็ยิ่งไม่ใช่เลย
    • ช่องโหว่นี้ก็มี ความรุนแรงต่ำ
      ตามโพสต์ในบล็อกบอกว่า “ช่องโหว่เดี่ยวที่ได้รับการยืนยันจะกลายเป็น CVE ความรุนแรงต่ำ ซึ่งจะเปิดเผยพร้อมกับ curl 8.21.0 รุ่นถัดไปที่มีกำหนดช่วงปลายเดือนมิถุนายน”
      และยังบอกด้วยว่ามี false positive 4 รายการ

  • “ท้ายที่สุดแล้ว คนอีกคนที่มีสิทธิ์เข้าถึงโมเดลเสนอว่าจะรันการสแกนและวิเคราะห์ curl ด้วย Mythos แทน แล้วส่งรายงานมาให้ผม ความแตกต่างนั้นสำหรับผมไม่ได้สำคัญนัก เพราะอย่างไรเสียผมก็คงไม่มีเวลามากพอจะไล่ลองพรอมป์ต์หลาย ๆ แบบและขุดลึกลงไปอยู่ดี”
    นี่แหละพฤติกรรมเป๊ะเวลาคุณหมุนเครื่องจักรโฆษณาเกินจริงที่ให้ผลลัพธ์ต่ำกว่าคำสัญญา: “ลองใช้ของเราสิ! ไม่สิ คือไม่ได้ใช้เองตรง ๆ หรอกนะ เดี๋ยวเราทำให้แทน!” แล้วข้างหลังก็ใช้วิธีดั้งเดิมที่แพง
    ไม่รู้ว่าครั้งนี้เป็นแบบนั้นไหม แต่ผมมองว่าความเป็นไปได้ก็ไม่ได้เล็กจนมองข้ามได้ อยากรู้เหมือนกันว่ายังมีใครอีกบ้างที่ถูกชวนให้ใช้ Mythos แต่สุดท้ายไม่ได้ใช้จริงและแค่ได้รับผลลัพธ์มา

    • บางทีก็อาจแค่ซื้อ ช่องโหว่จากตลาดมืด แล้วเอามานำเสนอเหมือนว่า Mythos เป็นคนหาเจอก็ได้ แบบนั้นก็เป็นเพียง data point ที่ AI พ่นออกมา
      ถึงขั้นที่ว่าการค้นพบส่วนใหญ่แบบนี้อาจเป็นจุดอ่อนที่ถูกพูดถึงกันอยู่แล้วในฟอรัมมืด ๆ ที่ผู้ดูแลแทบไม่เข้าไปก็ได้
      ไม่ได้หมายความว่า AI จะทำให้ซอฟต์แวร์ปลอดภัยขึ้นไม่ได้ แต่ถ้าบริษัท AI ซ่อนไพ่ไว้มากเกินไป เราก็ไม่มีทางรู้ว่าอะไรจริง
    • อยากรู้เหมือนกันว่าได้มองหา คำอธิบายทางเลือก ที่ไม่ยืนยันความคิดเดิมเกี่ยวกับ Anthropic ของตัวเองหรือเปล่า

  • เมื่อ 3 เดือนก่อน ผมเห็นคนนี้ขึ้นเวทีประกาศว่าจะปิด bug bounty program เพราะรายงานขยะจาก AI
    เลยสงสัยว่าเครื่องมือมันดีขึ้นมากขนาดนั้นจริงหรือ หรือพอ แรงจูงใจด้านรายได้ หายไป คนก็ยอมใช้เวลามากขึ้นในการแยกแยะช่องโหว่จริงออกจากขยะ

  • ถ้าดู Mastodon ผลลัพธ์แบบนี้เหมาะมากกับการทำให้ confirmation bias วิ่งเตลิด
    แต่พอตัด confirmation bias ออกไปแล้ว มันก็ดูไม่เหมาะจะเอาไปเหมารวมเท่าไร ถึงอย่างนั้นการที่มี data point ถูกเปิดเผยออกมาก็เป็นเรื่องดี

    • ไม่แน่ใจว่าใช้ได้กับ Mastodon โดยรวมแค่ไหน แต่คนรอบตัวผม ต่อต้าน AI มากเสียจนแม้แต่คนมีประสบการณ์ก็ยังโยนลิงก์ GitHub ใส่หน้าแชตของ Claude แล้วพยายามชี้ให้เห็นว่ามันไร้ประโยชน์
      ทั้งที่มันไม่ใช่เครื่องมือที่ใช้แบบนั้น พอพยายามจะโชว์ผลลัพธ์ให้คนดู ทุกคนกลับอยากชี้ไปที่กรณีล้มเหลวแล้วหัวเราะใส่ เลยยากมากจริง ๆ

  • อยากให้มีบทความแบบนี้ออกมาอีกเยอะ ๆ
    การที่ curl เจอแค่ หนึ่งรายการความรุนแรงต่ำ ถือว่าน่าสนับสนุน แต่ขณะเดียวกันมันก็เป็นเพียงกรณีเดียวเท่านั้น อาจเป็นไปได้ด้วยว่า curl มีความสุกงอมมากกว่าไลบรารีแกนหลักอื่น ๆ อยู่แล้ว

  • “ดูเหมือนว่าทั้งโลกจะสติหลุดไปแล้ว นี่คือจุดจบของโลกที่เรารู้จักกันหรือเปล่า? อย่างน้อยมันก็เป็นลีลาการตลาดที่ประสบความสำเร็จอย่างน่าตกใจ”
    ผมไม่สนใจสำนวนแบบนี้ อยากเห็นความคิดที่ชัดเจนและเหตุผลที่แน่นหนามากกว่า ควรตีความกันด้วยเจตนาดี
    ถ้าขาดหลักฐานและเหตุผลที่ดี การบอกว่า Glasswing เป็น “ลีลาการตลาด” ก็เป็นแค่การคาดเดา ผมเข้าใจเรื่องความสงสัยอย่างมีเหตุผล แต่ความสงสัยอย่างมีเหตุผลก็ควรหันกลับเข้าหาตัวเองด้วย มั่นใจได้อย่างไรจากหลักฐานอะไร?
    ถ้าบางอย่างเป็นการแสดงลีลา แล้วมันหมายความว่าอย่างไร? เวลาอ่านคำว่า “ลีลา” มันให้ความรู้สึกว่ามีเจตนาจะชักจูงอยู่ในนั้น คนที่พูดเรื่องเจตนาได้ตรงที่สุดก็คือ “คนที่อยู่ในห้องนั้น” ที่เหลืออย่างมากก็แค่คาดเดา แต่มีคนมากเกินไปที่ไม่แม้แต่จะปฏิบัติต่อสิ่งนั้นว่าเป็นการคาดเดา และกลับฟันธงเหมือนเป็นข้อเท็จจริง
    ถ้าไม่ได้อยู่ตรงนั้น การอธิบายเหตุผลของตัวเองน่าจะฉลาดกว่าการฟันธง
    แรงจูงใจชี้ไปได้หลายทิศ ผมไม่ได้มองโลกใสซื่อ แต่ถ้าเป็นคนเขียนที่จริงจัง ก็ควรเคารพสติปัญญาของผู้อ่านและความต้องการทำความเข้าใจโลกของพวกเขา
    ผู้เชี่ยวชาญในสาขาหนึ่งกระโดดข้ามไปอีกสาขาด้วยความมั่นใจเกินเหตุแล้วพลาด เป็นเรื่องที่เกิดขึ้นบ่อย แล้วมีเหตุผลอะไรที่ทำให้เราควรเชื่อว่าผู้ดูแล curl มี มาตรฐานทางญาณวิทยา ที่ดีเกี่ยวกับสถานะของโครงการตนเอง หรือแม้แต่โดยทั่วไป? มนุษย์มักมีแรงจูงใจแรงกล้าที่จะไม่อยากให้เครื่องจักรทำได้ดีกว่าตัวเอง ไม่ได้หมายความว่า Mythos ไปถึงจุดนั้นแล้ว ผมยังขอระงับการตัดสินในส่วนนี้ แต่ถ้าดูจากเหตุผลที่แสดงในบทความนี้อย่างเดียว ก็น่ายากที่จะชื่นชมผู้เขียนได้มากนัก

    • ผมไม่เห็นด้วยว่าการบอกว่า Glasswing เป็นลีลาการตลาดนั้นเร็วเกินไป พอดูข้อความที่ตามมาทันทีหลังประโยค “ลีลาการตลาดที่ประสบความสำเร็จ” ผมว่ามันเป็นคำวิจารณ์ที่ยุติธรรม
      “ในฐานะส่วนหนึ่งของโครงการ Glasswing ทาง Anthropic ยังให้สิทธิ์เข้าถึงโมเดล AI ล่าสุดแก่ ‘โครงการโอเพนซอร์ส’ ผ่าน Linux Foundation ด้วย ส่วนนี้ Linux Foundation ให้โครงการ Alpha Omega เป็นผู้จัดการ และตัวแทนของพวกเขาก็ติดต่อมาหาผม ในฐานะ lead developer ของ curl ผมได้รับข้อเสนอให้เข้าถึงโมเดลมหัศจรรย์นั้น และก็ตอบรับด้วยความยินดี แน่นอนว่าผมอยากเห็นว่ามันจะหาอะไรใน curl ได้บ้าง”
      จากความรู้สึกหลังอ่านทั้งบทความ ผมว่าเขาไม่ได้บอกว่า Glasswing เป็น แค่ ลีลาการตลาดเท่านั้น แต่หมายความว่ามันประสบความสำเร็จในฐานะลีลาการตลาดอย่างชัดเจน และส่วนที่มากไปกว่านั้นยังตัดสินไม่ได้
      ส่วนที่เหลือหลังข้อความอ้างอิงบอกว่ามีอะไรที่มากกว่าแค่การตลาดจริง และสรุปว่า “ยังคงดีมาก” อยู่ดี ใจความคือ ถึงจะไปไม่ถึงระดับคำโฆษณาชวนตื่นเต้นที่ได้ยินกันมา แต่มันก็น่าจะยังช่วยได้
    • หลังจากนั้นไม่นาน OpenAI ก็ออกรุ่นโมเดลใหม่ตามแพตเทิร์นอัปเกรดปกติ และแสดง ความสามารถคล้ายกัน ในด้านนี้ แต่แทบไม่มีการประโคมหรือความวุ่นวายใด ๆ
      มันก็เป็นแค่ GPT-5.5 เท่านั้น ในแง่นั้น ผมจึงมองว่าการซ่อน Mythos ไว้เพราะสิ่งที่เรียกว่าความอันตราย อาจมีเจตนาเพื่อดึงความสนใจไปที่ กรณีใช้งานด้านความปลอดภัย และสร้างอุปสงค์ใหม่