Project Glasswing: อัปเดตเบื้องต้น

 (anthropic.com)
1 คะแนน โดย GN⁺ 3 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Project Glasswing เป็นโครงการความร่วมมือที่มุ่งปกป้องซอฟต์แวร์สำคัญก่อนที่โมเดล AI อันทรงพลังจะถูกนำไปใช้ในทางที่ผิด โดยมีพาร์ตเนอร์เข้าร่วมราว 50 ราย
  • Claude Mythos Preview พบช่องโหว่ระดับสูงและระดับวิกฤตในโค้ดของพาร์ตเนอร์ มากกว่า 10,000 รายการ และพาร์ตเนอร์หลายรายมีความเร็วในการค้นพบเพิ่มขึ้นมากกว่า 10 เท่า
  • มีการประเมินว่าพบ 23,019 ช่องโหว่ ในโอเพนซอร์สมากกว่า 1,000 โครงการ และจาก 1,752 รายการที่ตรวจสอบแล้ว 90.6% ได้รับการยืนยันว่าเป็นผลบวกจริง
  • คอขวดได้ย้ายจากการค้นหาช่องโหว่ไปอยู่ที่ขั้นตอน การตรวจสอบ การรายงาน การแพตช์ และการนำไปใช้งาน โดยบั๊กระดับสูงและระดับวิกฤตใช้เวลาเฉลี่ย 2 สัปดาห์กว่าจะได้รับการแพตช์
  • Anthropic ยังไม่ได้เปิดให้ใช้โมเดลระดับ Mythos ต่อสาธารณะ และนักพัฒนากับผู้ป้องกันระบบจำเป็นต้อง ย่นรอบการแพตช์ และเสริมมาตรการควบคุมความปลอดภัยพื้นฐาน

ผลลัพธ์เบื้องต้นและหลักการเปิดเผยข้อมูล

  • Project Glasswing เป็นโครงการความร่วมมือเพื่อปกป้องซอฟต์แวร์ที่มีความสำคัญต่อโลก ก่อนที่โมเดล AI ที่ทรงพลังยิ่งขึ้นจะถูกนำไปใช้ในทางที่ผิด
  • Anthropic และพาร์ตเนอร์ประมาณ 50 ราย ใช้ Claude Mythos Preview ค้นหาช่องโหว่ระดับสูงหรือระดับวิกฤตในซอฟต์แวร์สำคัญได้ มากกว่า 10,000 รายการ
  • คอขวดของความปลอดภัยซอฟต์แวร์ได้เปลี่ยนจากความเร็วในการค้นหาช่องโหว่ใหม่ ไปเป็นความเร็วในการ ตรวจสอบ เปิดเผย และแพตช์ ช่องโหว่จำนวนมากที่ AI พบ

  • วิธีการเปิดเผยช่องโหว่

    • แนวปฏิบัติทั่วไปในการเปิดเผยช่องโหว่คือเปิดเผยหลังพบช่องโหว่ใหม่ 90 วัน หรือหากมีแพตช์พร้อมก่อน 90 วัน ก็จะเปิดเผยประมาณ 45 วัน หลังปล่อยแพตช์
    • Coordinated Vulnerability Disclosure policy ของ Anthropic ก็ใช้แนวทางนี้เช่นกัน โดยเป็นขั้นตอนที่มุ่งให้ผู้ใช้ปลายทางมีเวลาอัปเดตก่อนถูกโจมตี
    • การเปิดเผยรายละเอียดช่องโหว่ของพาร์ตเนอร์ที่ Mythos Preview พบเร็วเกินไปอาจเพิ่มความเสี่ยงต่อผู้ใช้ปลายทาง จึงขอแชร์ในตอนนี้เฉพาะ ตัวอย่างตัวแทน และ สถิติภาพรวม
    • หลังจากมีการกระจายแพตช์อย่างกว้างขวางแล้ว จะมีการเปิดเผยรายละเอียดทางเทคนิคเพิ่มเติม

ประสิทธิภาพที่ปรากฏจากพาร์ตเนอร์และการประเมินภายนอก

  • พาร์ตเนอร์กลุ่มแรกของ Project Glasswing เป็นผู้สร้างและดูแลซอฟต์แวร์ที่มีความสำคัญต่อการทำงานของอินเทอร์เน็ตและโครงสร้างพื้นฐานจำเป็น
  • การแก้ไขข้อบกพร่องในโค้ดนี้จะช่วยลดความเสี่ยงให้กับหลายองค์กรและ ผู้ใช้ปลายทางหลายพันล้านคน ที่พึ่งพาซอฟต์แวร์ดังกล่าว
  • หนึ่งเดือนหลังเริ่มโครงการ พาร์ตเนอร์ส่วนใหญ่ต่างค้นพบช่องโหว่ระดับวิกฤตหรือระดับสูงได้หลายร้อยรายการ และยอดรวมทั้งหมดแตะ มากกว่า 10,000 รายการ
  • ความเร็วในการค้นพบบั๊กของพาร์ตเนอร์หลายรายเพิ่มขึ้น มากกว่า 10 เท่า
  • Cloudflare พบ บั๊ก 2,000 รายการ ในระบบเส้นทางสำคัญ โดยในจำนวนนี้ 400 รายการ มีความรุนแรงระดับสูงหรือวิกฤต และประเมินว่าอัตราผลบวกลวงดีกว่าผู้ทดสอบมนุษย์

  • การทดสอบภายนอกและเบนช์มาร์ก

    • AI Security Institute ของสหราชอาณาจักรประเมินว่า Mythos Preview เป็นโมเดลแรกที่สามารถแก้โจทย์ไซเบอร์เรนจ์สองชุดของสถาบันได้ครบตั้งแต่ต้นจนจบ ซึ่งเป็นการจำลองการโจมตีไซเบอร์หลายขั้นตอน
    • Mozilla พบและแก้ไข ช่องโหว่ 271 รายการ ในการทดสอบ Firefox 150 ซึ่งมากกว่าจำนวนที่พบใน Firefox 148 ด้วย Claude Opus 4.6 มากกว่า 10 เท่า
    • แพลตฟอร์มความปลอดภัยอิสระ XBOW ประเมินว่า Mythos Preview แสดง “การก้าวกระโดดอย่างมีนัยสำคัญ” เหนือทุกโมเดลก่อนหน้าในเบนช์มาร์กเว็บเอ็กซ์พลอยต์ และให้ “ความแม่นยำที่ไม่เคยมีมาก่อน” เมื่อวัดต่อโทเค็น
    • ExploitBench และ ExploitGym เป็นเบนช์มาร์กเชิงวิชาการล่าสุดสำหรับวัดความสามารถด้านการพัฒนาเอ็กซ์พลอยต์ โดย Mythos Preview ทำผลงานได้แข็งแกร่งที่สุด

  • การเปลี่ยนแปลงของความเร็วในการปล่อยแพตช์

    • รีลีสล่าสุดของ Palo Alto Networks มีแพตช์มากกว่าปกติ มากกว่า 5 เท่า
    • Microsoft ระบุ ว่าจำนวนแพตช์ใหม่จะ “ยังคงมีแนวโน้มเพิ่มขึ้นต่อไปอีกระยะหนึ่ง”
    • Oracle กำลังค้นหาและแก้ไขช่องโหว่ในผลิตภัณฑ์และคลาวด์ได้ เร็วขึ้นหลายเท่า เมื่อเทียบกับก่อนหน้า
    • นอกเหนือจากการตรวจหาช่องโหว่แล้ว Mythos Preview ยังถูกใช้ในงานความปลอดภัยอื่นด้วย โดยในธนาคารพาร์ตเนอร์ Glasswing แห่งหนึ่ง โมเดลนี้มีส่วนช่วยตรวจจับและสกัดการโอนเงินฉ้อโกงมูลค่า 1.5 ล้านดอลลาร์ หลังผู้ไม่หวังดีเจาะบัญชีอีเมลลูกค้าและใช้การโทรปลอมแปลงด้วย

ผลการสแกนโอเพนซอร์ส

  • Anthropic ได้ใช้ Mythos Preview สแกน โครงการโอเพนซอร์สมากกว่า 1,000 โครงการ ในช่วงไม่กี่เดือนที่ผ่านมา ซึ่งเป็นซอฟต์แวร์ที่รองรับส่วนสำคัญของอินเทอร์เน็ตและโครงสร้างพื้นฐานของบริษัทเอง
  • Mythos Preview ประเมินว่าพบช่องโหว่รวม 23,019 รายการ ในโครงการเหล่านี้ โดย 6,202 รายการ ถูกจัดเป็นระดับสูงหรือระดับวิกฤต

  • ตัวเลขช่องโหว่ที่ผ่านการตรวจสอบ

    • ในบรรดาช่องโหว่ที่ถูกจัดเป็นระดับสูงหรือระดับวิกฤตนั้น มี 1,752 รายการ ที่ได้รับการประเมินอย่างรอบคอบโดยบริษัทวิจัยความปลอดภัยอิสระ 6 แห่ง หรือในบางกรณีโดย Anthropic เอง
    • ในจำนวนนี้ 90.6% หรือ 1,587 รายการ ได้รับการยืนยันว่าเป็นผลบวกจริง
    • และ 62.4% หรือ 1,094 รายการ ได้รับการยืนยันว่าเป็นช่องโหว่ระดับสูงหรือระดับวิกฤต
    • หากใช้ค่าอัตราผลบวกจริงตามเกณฑ์การจัดประเภทภายหลังในปัจจุบัน แม้ Mythos Preview จะไม่พบช่องโหว่ใหม่เพิ่ม ก็ยังคาดว่าจะมีช่องโหว่ระดับสูงหรือระดับวิกฤตในโค้ดโอเพนซอร์สเกือบ 3,900 รายการ ถูกเปิดเผยออกมา
    • Anthropic มีแผนจะสแกนโค้ดโอเพนซอร์สต่อไปอีกระยะหนึ่ง ดังนั้นตัวเลขนี้จึงมีแนวโน้มเพิ่มขึ้น

  • ตัวอย่างช่องโหว่ใน wolfSSL

    • wolfSSL เป็นไลบรารีเข้ารหัสโอเพนซอร์สที่ขึ้นชื่อด้านความปลอดภัย และถูกใช้งานในอุปกรณ์หลายพันล้านเครื่องทั่วโลก
    • Mythos Preview ได้สร้าง เอ็กซ์พลอยต์ ที่ทำให้ผู้โจมตีสามารถปลอมแปลงใบรับรองได้
    • ช่องโหว่นี้เปิดทางให้ผู้โจมตีสร้างเว็บไซต์ปลอมของธนาคารหรือผู้ให้บริการอีเมลได้ โดยสำหรับผู้ใช้ปลายทาง เว็บไซต์ดังกล่าวจะดูเหมือนของจริง ทั้งที่แท้จริงถูกควบคุมโดยผู้โจมตี
    • ช่องโหว่นี้ได้รับการแพตช์แล้ว และได้รับรหัส CVE-2026-5194
    • การวิเคราะห์ทางเทคนิคฉบับเต็มจะเผยแพร่ในอีกไม่กี่สัปดาห์ข้างหน้า

คอขวดด้านการตรวจสอบ การเปิดเผย และการแพตช์

  • แม้ Mythos Preview จะทำให้การค้นหาช่องโหว่ง่ายขึ้นมาก แต่คอขวดยังคงอยู่ที่กำลังการทำงานของมนุษย์ในการ จัดประเภท รายงาน ออกแบบแพตช์ และนำไปใช้งาน
  • Anthropic ได้เปิดเผย แดชบอร์ดช่องโหว่โอเพนซอร์สที่สแกน เพื่อติดตามแต่ละขั้นตอนและความคืบหน้าของกระบวนการเปิดเผยแบบประสานงาน
  • การที่จำนวนลดลงอย่างมากในแต่ละขั้นสะท้อนถึง ปริมาณงานของมนุษย์ ที่ต้องใช้ในการตรวจสอบและแก้ไขช่องโหว่ทีละรายการ
  • Anthropic หรือบริษัทความปลอดภัยภายนอกจะทำการทำซ้ำปัญหาที่ Mythos พบ ประเมินระดับความรุนแรงใหม่ ตรวจสอบว่ามีการแก้ไขไปแล้วหรือไม่ และจัดทำรายงานโดยละเอียดเพื่อส่งให้ผู้ดูแลโครงการ
  • ผู้ดูแลโอเพนซอร์สกำลังต้องรับมือกับภาระการดูแลเดิมอยู่แล้ว และยังต้องเผชิญกับกระแสรถถังของรายงานบั๊กที่สร้างโดย AI แต่คุณภาพต่ำ
  • ผู้ดูแลหลายรายมีขีดความสามารถในการจัดการอย่างจำกัดมาก และบางรายขอให้ชะลอการเปิดเผยเพื่อให้มีเวลาออกแบบแพตช์
  • บั๊กระดับสูงหรือระดับวิกฤตที่ Mythos Preview พบ ใช้เวลาเฉลี่ย 2 สัปดาห์กว่าจะได้รับการแพตช์

  • สถานะการเปิดเผยและการแพตช์

    • ในบางกรณี มีการเปิดเผยบั๊กโดยตรงตามคำขอของผู้ดูแล โดยไม่ต้องมีการประเมินเพิ่มเติม
    • จนถึงขณะนี้ มีบั๊กที่ยังไม่ผ่านการตรวจสอบ 1,129 รายการ ถูกแจ้งตรงแล้ว โดยในจำนวนนั้น 175 รายการ ถูก Mythos Preview ประเมินว่าเป็นระดับสูงหรือระดับวิกฤต
    • ปัจจุบันคาดว่ามีบั๊กระดับสูงหรือระดับวิกฤตราว 530 รายการ ที่ถูกเปิดเผยแก่ผู้ดูแลแล้ว
    • นอกจากนี้ยังมีช่องโหว่ที่ยืนยันแล้วอีก 827 รายการ ซึ่งถูกประเมินในลักษณะเดียวกันว่าเป็นระดับสูงหรือระดับวิกฤต และจะถูกเปิดเผยโดยเร็วที่สุด
    • จากบั๊กระดับสูงหรือระดับวิกฤต 530 รายการ ที่มีการรายงานแล้ว มี 75 รายการ ที่ได้รับการแพตช์ และในจำนวนนั้น 65 รายการ ได้รับการออกคำแนะนำการเปิดเผย
    • เนื่องจากกรอบเวลา 90 วัน ของ Coordinated Vulnerability Disclosure policy ยังอยู่ในช่วงต้น จึงคาดว่าจะมีแพตช์ออกมาเพิ่มอีกมาก
    • ช่องโหว่บางรายการได้รับการแพตช์โดยไม่มีคำแนะนำการเปิดเผยสาธารณะ จึงอาจทำให้จำนวนแพตช์ถูกนับต่ำเกินจริง เพราะต้องใช้ Claude สแกนตรวจโดยตรงว่ามีการแพตช์แล้วหรือไม่
    • การค้นหาช่องโหว่ที่ง่ายขึ้นแต่การแก้ไขยังช้าอยู่เป็นความไม่สมดุลที่กำลังกลายเป็นความท้าทายสำคัญของความมั่นคงไซเบอร์ และหากจัดการได้ดี ซอฟต์แวร์ก็อาจปลอดภัยกว่าที่เคยมาก

การรับมือกับยุคใหม่ของความมั่นคงไซเบอร์

  • โมเดลที่มีความสามารถด้านความมั่นคงไซเบอร์ใกล้เคียงกับ Mythos Preview มีแนวโน้มว่าจะพร้อมใช้อย่างแพร่หลายมากขึ้นในไม่ช้า
  • อุตสาหกรรมซอฟต์แวร์โดยรวมจำเป็นต้องมี ความพยายามในระดับที่ใหญ่ขึ้น เพื่อจัดการผลการค้นพบจำนวนมากที่โมเดลเหล่านี้จะสร้างขึ้น
  • ในปัจจุบันยังคงมีความล่าช้ายาวนานอยู่บ่อยครั้ง ระหว่างการค้นพบช่องโหว่ การเขียนแพตช์ และช่วงเวลาที่แพตช์ถูกนำไปใช้กับผู้ใช้ปลายทางอย่างแพร่หลาย
  • โมเดลระดับ Mythos ช่วยลดเวลาและต้นทุนที่ต้องใช้ในการค้นหาและใช้ประโยชน์จากช่องโหว่อย่างมาก ทำให้ความเสี่ยงจากความล่าช้าเหล่านี้รุนแรงขึ้น
  • ในระยะยาว โมเดลระดับ Mythos อาจช่วยจับบั๊กได้ก่อนนำขึ้นใช้งาน ทำให้นักพัฒนาสร้างซอฟต์แวร์ที่ปลอดภัยกว่ามาก
  • แต่ในช่วงเปลี่ยนผ่านที่ช่องโหว่ถูกพบเร็วขึ้น ขณะที่แพตช์ยังออกช้า ก็จะเกิดความเสี่ยงรูปแบบใหม่ขึ้น

  • สิ่งที่นักพัฒนาซอฟต์แวร์ต้องทำ

    • นักพัฒนาต้องลด รอบการแพตช์ และส่งมอบการแก้ไขด้านความปลอดภัยให้เร็วที่สุดเท่าที่ทำได้
    • การใช้โมเดล AI ที่เปิดให้ใช้งานสาธารณะอย่างระมัดระวังอาจช่วยงานนี้ได้
    • ควรทำให้การติดตั้งอัปเดตง่ายที่สุด เพื่อให้ผู้ใช้คงไว้ซึ่งเวอร์ชันล่าสุด
    • สำหรับผู้ใช้ที่ยังคงใช้งานซอฟต์แวร์ที่มีช่องโหว่ที่ทราบอยู่แล้ว ควรมีการกระตุ้นให้อัปเดตอย่างต่อเนื่องมากขึ้นเท่าที่เป็นไปได้

  • สิ่งที่ผู้ป้องกันเครือข่ายต้องทำ

    • ผู้ป้องกันเครือข่ายต้องย่นระยะเวลาการทดสอบแพตช์และตารางการนำไปใช้งาน
    • มาตรการควบคุมหลักที่ National Institute of Standards and Technology และ National Cyber Security Centre ของสหราชอาณาจักรแนะนำ มีความสำคัญมากขึ้น เพราะช่วยยกระดับความปลอดภัยโดยไม่ต้องพึ่งว่าจะแพตช์เฉพาะตัวใดถูกนำไปใช้ทันเวลาหรือไม่
    • ตัวอย่างเช่น การเสริมความแข็งแรงของการตั้งค่าเครือข่ายพื้นฐาน การบังคับใช้การยืนยันตัวตนหลายปัจจัย และการเก็บบันทึกล็อกอย่างครอบคลุมเพื่อการตรวจจับและตอบสนอง

เครื่องมือป้องกันที่ใช้โมเดล AI สาธารณะ

  • โดยทั่วไปแล้ว โมเดลจำนวนมากที่เปิดให้ใช้งานทั่วไปอาจยังค้นหาช่องโหว่ที่ซับซ้อนที่สุดหรือใช้ประโยชน์ได้อย่างมีประสิทธิภาพเท่า Claude Mythos Preview ไม่ได้ แต่ก็สามารถค้นหาช่องโหว่ซอฟต์แวร์จำนวนมากได้แล้ว
  • Project Glasswing ได้กระตุ้นให้องค์กรหลายแห่งใช้โมเดลที่เปิดสาธารณะเพื่อตรวจสอบโค้ดเบสของตนเอง และ Anthropic ก็กำลังพัฒนาสิ่งต่าง ๆ เพื่อให้ทำได้ง่ายขึ้น

  • Claude Security

    • Claude Security เปิดตัวแบบ public beta สำหรับลูกค้า Claude Enterprise
    • เป็นเครื่องมือที่ช่วยให้ทีมสามารถสแกนหา ช่องโหว่ในโค้ดเบส และสร้างข้อเสนอการแก้ไข
    • ในช่วง 3 สัปดาห์หลังเปิดตัว Claude Opus 4.7 ถูกใช้เพื่อแพตช์ช่องโหว่ มากกว่า 2,100 รายการ
    • องค์กรสามารถแก้โค้ดของตนเองได้โดยตรง ขณะที่การแก้ไขโอเพนซอร์สมักต้องอาศัยกระบวนการเปิดเผยแบบประสานงานและผู้ดูแลอาสาสมัคร จึงทำให้ความเร็วในการแพตช์ของ Claude Security สูงกว่าการแพตช์โอเพนซอร์สข้างต้น

  • Cyber Verification Program

    • Cyber Verification Program ช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยสามารถใช้โมเดลของ Anthropic เพื่อวัตถุประสงค์ด้านความมั่นคงไซเบอร์ที่ชอบด้วยกฎหมาย
    • สำหรับงานอย่างการวิจัยช่องโหว่ การทดสอบเจาะระบบ และกิจกรรมเรดทีม สามารถใช้โมเดลได้โดยไม่ต้องมีมาตรการป้องกันการใช้ผิดวัตถุประสงค์บางส่วน

  • เครื่องมือที่ใช้ร่วมกับ Mythos Preview

    • เครื่องมือที่ Anthropic และพาร์ตเนอร์ใช้ร่วมกับ Mythos Preview จะเปิดให้ทีมความปลอดภัยของลูกค้าที่มีคุณสมบัติเหมาะสมตามคำขอ
    • เป้าหมายคือช่วยให้ใช้ศักยภาพของโมเดลสาธารณะที่ทรงพลังได้ดีขึ้น โดยไม่ต้องตั้งค่าที่ซับซ้อน
    • skills: ชุดคำสั่งแบบกำหนดเองสำหรับงานซ้ำ ๆ ที่ Anthropic และพาร์ตเนอร์สร้างและแบ่งปัน
    • harness: โครงสร้างที่ช่วยให้ Claude ทำแผนที่โค้ดเบส เปิดใช้งานซับเอเจนต์สำหรับการสแกน จัดประเภทสิ่งที่พบ และเขียนรายงาน
    • ตัวสร้าง threat model: ทำแผนที่โค้ดเบสเพื่อระบุเป้าหมายการโจมตีที่เป็นไปได้ และจัดลำดับความสำคัญของงานให้โมเดล
    • Cisco เป็นหนึ่งในพาร์ตเนอร์ของ Project Glasswing และเพิ่งเปิดซอร์ส Foundry Security Spec เพื่อให้ผู้ป้องกันรายอื่นสามารถสร้างระบบประเมินแบบคล้ายกับของ Cisco ได้

การสนับสนุนระบบนิเวศและขั้นตอนถัดไป

  • Anthropic ได้จับมือเป็น พาร์ตเนอร์ กับโครงการ Alpha-Omega ของ Open Source Security Foundation เพื่อช่วยผู้ดูแลจัดการและจัดประเภทรายงานบั๊ก
  • Anthropic สนับสนุนการพัฒนาเบนช์มาร์กใหม่ ExploitBench และ ExploitGym ซึ่งใช้ติดตามความสามารถด้านการพัฒนาเอ็กซ์พลอยต์ของโมเดล frontier AI ตามกาลเวลา
  • มีการกล่าวถึงเบนช์มาร์กเหล่านี้เพิ่มเติมใน Frontier Red Team blog
  • อีกทั้งยังสนับสนุนการพัฒนาเบนช์มาร์กเชิงปริมาณคุณภาพสูงอื่น ๆ ผ่าน External Researcher Access Program
  • Claude for Open Source สนับสนุนผู้ดูแลและผู้มีส่วนร่วม และ Anthropic ระบุว่าในอนาคตจะสแกนแพ็กเกจโอเพนซอร์สทั้งหมดที่บริษัทนำมาใช้งานเอง
  • เมื่อพิจารณาจากความเร็วของพัฒนาการ AI จึงคาดว่าโมเดลที่ทรงพลังระดับเดียวกับ Mythos Preview จะถูกพัฒนาโดยหลายบริษัท AI ในไม่ช้า
  • ปัจจุบันยังไม่มีบริษัทใดรวมถึง Anthropic ที่สามารถพัฒนามาตรการป้องกันให้แข็งแกร่งพอจะหยุดยั้งการนำโมเดลเหล่านี้ไปใช้ผิดวัตถุประสงค์จนก่อความเสียหายร้ายแรงได้
  • ด้วยเหตุนี้ Anthropic จึงยังไม่เปิดให้ใช้ โมเดลระดับ Mythos ต่อสาธารณะ
  • Project Glasswing เริ่มต้นจากความกังวลว่า หากโมเดลที่มีขีดความสามารถใกล้เคียงกันถูกเปิดสู่สาธารณะโดยไม่มีมาตรการป้องกันเพียงพอ การใช้ประโยชน์จากซอฟต์แวร์ที่มีข้อบกพร่องจะกลายเป็นเรื่องที่ถูกลงและง่ายขึ้นมากสำหรับผู้คนแทบทั่วโลก
  • Glasswing ช่วยให้ผู้ป้องกันไซเบอร์ที่มีความสำคัญเชิงระบบมากที่สุดได้เปรียบแบบไม่สมมาตร แต่ก็ยังมีความจำเป็นเร่งด่วนที่องค์กรให้ได้มากที่สุดต้องยกระดับขีดความสามารถในการป้องกัน
  • Anthropic มีแผนขยาย Project Glasswing ไปยังพาร์ตเนอร์เพิ่มเติม โดยร่วมมือกับพาร์ตเนอร์หลักรวมถึงรัฐบาลสหรัฐฯ และรัฐบาลประเทศพันธมิตร
  • หลังจากพัฒนามาตรการป้องกันที่แข็งแกร่งกว่ามากตามความจำเป็นแล้ว บริษัทมีเป้าหมายจะเปิดให้ใช้โมเดลระดับ Mythos ในรูปแบบทั่วไปในอนาคตอันใกล้
  • เป้าหมายระยะยาวคือการสร้างสภาพแวดล้อมที่โค้ดสำคัญได้รับการปกป้องเข้มแข็งกว่าปัจจุบันมาก และการแฮ็กเกิดขึ้นน้อยลงอย่างมาก

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 3 시간 전
ความคิดเห็นจาก Hacker News

  • ลองเปิด Codex Security แบบทดลอง แล้วไม่ถึง 1 สัปดาห์ก็กลายเป็นเครื่องมือบังคับใช้ทั้งทีม
    ความแม่นยำน่าทึ่งมาก เจอปัญหาความปลอดภัยในโค้ดเดิมได้เยอะ และยังคอยจับให้ต่อทุกครั้งที่ commit
    สำหรับเราแม่นประมาณ 90% และแม้แต่รายการที่ถูกติดป้ายว่า “Low” ถ้าขุดลึกลงไปก็มักพบว่าสามารถถูกโจมตีได้จริง
    ความผิดพลาดแบบนี้เป็น บั๊กประเภทหนึ่ง ที่ทั้งจูเนียร์และซีเนียร์ทำกันได้หมด ดังนั้นต่อไปกระแสการเขียนโค้ดด้วย AI รีวิวด้วย AI และหาช่องโหว่ด้วย AI ก็น่าจะกลายเป็นส่วนปกติของวงจรชีวิตการพัฒนา

    • งั้นหมายความว่า Claude Code สร้าง บั๊กด้านความปลอดภัย แล้ว Claude Security เป็นคนหา จากนั้น Claude Code ก็สร้างวิธีแก้ พร้อมเผาโทเค็น และบริษัทก็ทำเงินใช่ไหม?
    • https://blog.chuanxilu.net/en/posts/2026/05/dual-pass-review...
      ผมเคยลองใช้ ลูปแบบวนซ้ำ ที่คอยขุดหาปัญหาและบั๊กในแต่ละขั้นของการพัฒนา ตั้งแต่การออกแบบไปจนถึงการเขียนโค้ด เพื่อยืนยันว่าซอฟต์แวร์ที่ได้ทำงานตรงตามที่ตั้งใจจริง
    • ผมก็มีประสบการณ์คล้ายกัน
      UI ค่อนข้างชวนสับสน เพราะมันแสดงว่า “สแกน 5 ครั้ง” แต่จริง ๆ แล้วการสแกน 1 ครั้งหมายถึงการ เฝ้าติดตาม branch หลักของ repository อย่างต่อเนื่อง
      สิ่งที่ตรวจพบที่มีผลกระทบสูงแทบทั้งหมดแม่นจริง และผมประทับใจเป็นพิเศษกับคุณภาพของเอกสารและข้อเสนอการแก้ไขที่แคบและตรงจุด
      ปกติ Codex มักสร้างโค้ดเยอะกว่าที่จำเป็นมาก แต่ข้อเสนอการแก้จากโมเดลด้านความปลอดภัยมักมี ไม่ถึง 10 บรรทัด และเล็งเฉพาะตำแหน่งที่ถูกต้อง
      พอเบต้าจบก็น่าจะแพงพอสมควร แต่ถ้ามองจากฝั่งองค์กรก็เป็นของที่อยากเอาเข้ามาใช้ทันทีเลย
    • ปัญหาอย่างหนึ่งที่ผมเห็นใน LLM คือมันชอบเพิ่ม โค้ดที่ไม่จำเป็น ภายใต้ข้ออ้างเรื่อง “ความปลอดภัย” และสร้างของจำนวนมากอย่างมั่นใจ ทั้งที่ของพวกนั้นเมื่อก่อนอาจมีประโยชน์ แต่ตอนนี้ standard library จัดการได้ดีอยู่แล้ว
      ผมเป็นคนที่มองว่าในโค้ด ยิ่งน้อยยิ่งดี เลยรู้สึกหงุดหงิดกับแนวโน้มนี้พอสมควร
      หลีกเลี่ยงกับดักนี้กันยังไง?
    • แนะนำให้ใช้ gpt-5.5-cyber เป็น orchestrator แล้วใช้ deepseek-v4-flash หรือโมเดลอื่นที่เร็วและถูกกว่าเป็น worker model
      เซ็ตอัปแบบนี้ให้ผลค่อนข้างดีอยู่

  • ผมยังไม่แน่ใจว่าจะทำยังไงให้ข้อมูลอัปเดตของ Anthropic กับปฏิกิริยาที่ดู overhype บางส่วนที่นี่ สอดคล้องกับการประเมินล่าสุดของ Daniel Steinberg ผู้ดูแล curl
    “ผมไม่เห็นหลักฐานว่าเซ็ตอัปนี้ [Mythos] ค้นหาประเด็นปัญหาได้ดีกว่าหรือก้าวหน้ากว่าเครื่องมืออื่นก่อนหน้า Mythos อย่างมีนัยสำคัญ โมเดลนี้อาจดีกว่านิดหน่อย แต่ถึงอย่างนั้นก็ดูไม่ได้ดีกว่าพอจะสร้างความเปลี่ยนแปลงที่มีความหมายต่อการวิเคราะห์โค้ด”
    https://daniel.haxx.se/blog/2026/05/11/mythos-finds-a-curl-v...

    • ก็จริง และเป็น data point ที่ใช้ได้
      แต่ รายงานของรัฐบาลสหราชอาณาจักร ก็เป็น data point เหมือนกัน และรายงาน Firefox ก็เช่นกัน ซึ่งส่งสัญญาณว่ามันดีกว่าโมเดลรุ่นปัจจุบันแบบมีนัยสำคัญจริง
      เป็นไปได้ว่า curl อาจเป็นโค้ดที่แข็งแกร่งกว่าหลายโปรเจกต์อย่างมากอยู่แล้ว
      ไม่ว่าอย่างไร เรื่องนี้อาจไม่ได้สำคัญมากนัก เพราะอย่างที่ Anthropic ยอมรับเอง โมเดลระดับถัดไปกำลังมา และ Mythos ก็เป็นแค่หนึ่งในนั้น
      โมเดลรุ่นปัจจุบันก็เก่งในการไล่ตาม data flow ในระบบที่ซับซ้อนอยู่แล้ว และไม่มีเหตุผลจะคิดว่าความสามารถนั้นถึงขีดจำกัดแล้ว
      ภายใน 1 ปี ดูมีโอกาสสูงที่จะมีโมเดลเชิงพาณิชย์หลายตัวที่หาช่องโหว่ได้ในต้นทุนต่ำ
      แต่ในด้าน การออกแบบวิธีแก้ สำหรับปัญหาแบบนี้ ดูเหมือนจะก้าวหน้าน้อยกว่ามาก
    • ดูเหมือนบางคนจะเข้าใจประเด็นของ Daniel ผิด แต่ถ้าอ่านในบริบททั้งบทความจะชัดกว่า
      โดยรวมแล้วเครื่องมือต่าง ๆ เก่งขึ้นมากในการหาบั๊กความปลอดภัย และจากประสบการณ์ของ Daniel เองยังไม่ชัดว่า Mythos โดยตัวมันเองคือก้าวกระโดดครั้งใหญ่หรือไม่ แต่ LLM รุ่น Mythos นั้นใช่แน่นอน
      เพียงแต่ Daniel ใช้ Mythos ในลักษณะค่อนข้างอ้อม
      สิ่งที่สรุปได้จากข้อถกเถียงเรื่อง Mythos คือ a) Anthropic อาจต้องจำกัดการเข้าถึง Mythos เพราะขาดแคลน GPU ซึ่งคงมีผลต่อการคำนวณเรื่องการเปิดให้ใช้ทั่วไปด้วย และ b) การใช้ Mythos หรือโมเดลคล้ายกันหาบั๊กยังคงมีต้นทุนสูง
      ถ้ามีการรัน Mythos กับ curl ในระดับ 20,000 ดอลลาร์หรือ 100,000 ดอลลาร์ ก็คงอาจเจอปัญหาในระดับใกล้เคียงกับโปรเจกต์อื่นอย่าง Firefox แต่ Daniel ไม่ได้สิทธิ์เข้าถึงระดับนั้น
      โพสต์อัปเดตทั่วไปที่เขาลงบน LinkedIn วันนี้ให้บริบทที่กว้างขึ้น
      https://www.linkedin.com/feed/update/urn:li:activity:7463481...
      “ยังไม่ถึงครึ่งของรอบการออกรีลีส curl ครั้งนี้ แต่ยืนยันช่องโหว่แล้ว 11 รายการ ยังเหลืออีก 3 รายการที่รอประเมิน และยังมีรายงานใหม่เข้ามาเกินวันละ 1 รายการอย่างต่อเนื่อง”
      “การประกาศ CVE 11 รายการในรีลีสเดียว เป็นสถิติตั้งแต่การตรวจสอบความปลอดภัยครั้งแรกโดย Cure 53 ในปี 2016”
      “นี่เป็นช่วงเวลาที่เข้มข้นที่สุดในประวัติศาสตร์ curl เท่าที่ผมจำได้”
    • curl มีคนดูมากกว่า มีเครื่องมือมากกว่า ได้รับการทดสอบดีกว่า 99% ของซอฟต์แวร์ และอาจพัฒนาได้ดีกว่าด้วย
      มันไม่ใช่กรณีตัวอย่างทั่วไปเลย ดังนั้นปัจจัยแบบนั้นก็น่าจะมีผล
      แน่นอนว่าเรายังไม่อาจมั่นใจว่ามี bias หรือไม่ และ Daniel อาจถูกก็ได้
    • คนละคนมีประสบการณ์ต่างกันก็ไม่ใช่เรื่องขัดแย้งกัน
      เป็นไปได้ว่า source code ของ curl สะอาดมากอยู่แล้วตั้งแต่ต้น
    • Daniel เขียนมาหลายครั้งตลอดหลายเดือน หรืออาจหลายปีแล้ว ว่าเขาต้องเผชิญ แรงกดดันจากการตรวจสอบ มากแค่ไหนจากนักวิจัยด้านความปลอดภัยและเครื่องมืออัตโนมัติต่าง ๆ
      ผมไม่คาดว่า curl จะเป็นกรณีเฉลี่ยของ Mythos

  • มีเสียงประชดมากมายเกี่ยวกับ Mythos ว่า “ก็แค่เอาโมเดลสาธารณะที่มีอยู่ แล้วถอดราวกันตกออก” แต่ตัวเลขพวกนี้ทำให้ดูต่างออกไป
    “ช่องโหว่ระดับสูงหรือวิกฤตจำนวน 1,752 รายการ ได้รับการตรวจทานอย่างรอบคอบโดยบริษัทวิจัยความปลอดภัยอิสระ 6 แห่ง หรือในบางกรณีโดยการประเมินภายในของเราเอง ในจำนวนนั้น 90.6% (1,587 รายการ) ได้รับการพิสูจน์ว่าเป็น true positive ที่ถูกต้อง และ 62.4% (1,094 รายการ) ได้รับการยืนยันว่าอยู่ในระดับความรุนแรงสูงหรือวิกฤต”
    ถ้าใครเคยใช้ Opus, Codex หรือโมเดลโอเพนซอร์สสแกนหาช่องโหว่ จะรู้ว่า อัตรา true positive และปริมาณการค้นพบแบบนี้คือการเปลี่ยนระดับอย่างชัดเจน[0]
    พาร์ตเนอร์ประมาณ 50 รายของ Glasswing ส่วนใหญ่เคยรัน harness ด้วยโมเดลอื่นมาก่อน และโดยมากมีปฏิกิริยาแนว “ว้าว นี่มันต่างออกไป”
    ตอนนี้คำถามคือ การเข้าถึงระดับ 2 และ 3 จะหน้าตาเป็นอย่างไร และจะปกป้องระบบกลุ่มไหนก่อน
    ทั้ง router, firewall, SaaS, ERP, ตัวควบคุมโรงงาน, SCADA, zero trust VPN gateway, อุปกรณ์และเครือข่ายโทรคมนาคม ไปจนถึงอุปกรณ์การแพทย์ ยังมีงานต้องทำอีกมาก
    เพราะงั้นผมคิดว่า Mythos จะยังคงไม่เปิดสาธารณะไปอีกพักใหญ่
    พื้นที่ผิวการโจมตีที่ต้องปกป้องมันกว้างเกินไป และยังมีสิ่งที่ต้องคัดแยก แก้ไข และ deploy อีกมหาศาล
    เรื่องนี้อาจเหมาะกับ Anthropic ด้วย เพราะโมเดลปิดไม่สามารถถูกกลั่นโดยภายนอกได้
    อีกทั้งยังมี ผลแบบวงจรเร่งตัวเอง จากข้อมูลการค้นพบ การคัดแยก และการแก้ไขที่เอาไปพัฒนาโมเดลต่อได้
    นี่น่าจะเป็นคลังข้อมูลการโจมตีที่ผ่านการคัดสรรอย่างเข้มข้นที่สุดเท่าที่มีการรวบรวมกันมาแล้ว และจะยิ่งดีขึ้นอีก
    ผมนึกภาพไม่ค่อยออกว่าบริษัทจีนจะได้สิทธิ์เข้าถึงในเร็ว ๆ นี้ หรืออาจไม่มีวันได้เลย
    อีกไม่นานอาจมีโลกที่ CISA บังคับให้ต้อง audit และถ้าอยากซื้อ VPN gateway หรือเราเตอร์บ้านที่ต้าน Mythos ได้ ก็ต้องซื้อของผลิตในสหรัฐฯ[1]
    [0] เทียบกับเครื่องมือ audit ทั่วไปที่มักอยู่ราว ๆ 30%
    [1] หรือผลิตโดยประเทศพันธมิตร

    • คลังข้อมูลการค้นพบ การคัดแยก และการแก้ไขนั้น คู่แข่งทุกเจ้าก็เข้าถึงได้ ไม่ว่าจะเป็นบริษัทอเมริกันหรือไม่ก็ตาม
      ผมไม่ค่อยเชื่อหรอกว่าจะทำซ้ำสิ่งนี้ไม่ได้
      มีข้อมูลที่ใส่ annotation ไว้มากพออยู่แล้ว เช่น CVE และแพตช์ และ Mythos ก็ยิ่งทำให้มันเพิ่มขึ้น ดังนั้นถ้าเอาไปทำ reinforcement learning ให้เข้ากับสถานการณ์นี้ ก็น่าจะเพิ่มประสิทธิภาพการตรวจหาช่องโหว่ได้โดยไม่ต้องเข้าถึง Mythos
    • ผมไม่เห็นเหตุผลว่าจะจ้าง outsource ให้ บริษัทรักษาความปลอดภัยของสหรัฐฯ ที่มีสิทธิ์เข้าถึง Mythos ไม่ได้
    • มันทำให้นึกถึงยุค GPT-2
      ตอนนั้น OpenAI จำกัดการเข้าถึงโมเดลครั้งแรกพร้อมบอกว่า “มนุษยชาติยังไม่พร้อม” ทั้งที่โมเดลนั้นทำได้แค่เขียนกลอนค่อนข้างเก่ง
      ตั้งแต่นั้นมา ผมแทบจำไม่ได้เลยว่ามีการประกาศโมเดลจาก OAI/Anthropic ครั้งไหนที่ไม่ใช้ถ้อยคำคล้ายกัน
      การบอกว่าโมเดลรั่วออกมาเป็นการตลาด การบอกว่าอันตรายก็เป็นการตลาด และการบอกว่าโลกยังไม่พร้อมก็เป็นการตลาด
      คนที่ได้สิทธิ์เข้าถึงแล้วบอกว่า “ว้าว” ก็อาจเป็นแค่ การตลาด เหมือนกัน จะเชื่อหรือไม่ก็แล้วแต่
      เราสามารถได้ผลแบบเดียวกันจากโมเดลระดับท็อป 5-10 ตัวที่ใช้งานได้ทั่วไปอยู่แล้ว
      Mythos เป็นวิธีที่ Anthropic ใช้ขายไอเดียใหม่ หลังจากไอเดียเดิมถูกทำให้เป็นประชาธิปไตยไปแล้ว
    • ถึงโมเดลปิดจะไม่สามารถถูกกลั่นจากภายนอกได้ แต่ภายในองค์กรยังทำได้
      น่าจะคาดหวังอะไรเจ๋ง ๆ จาก Sonnet 4.8 ได้เลย

  • ถ้ายังไม่ได้ใช้ static analysis และ linter กับ codebase อยู่แล้ว ก็ควรถามก่อนเลยว่าทำไมถึงจะไปใช้เครื่องมือ LLM ราคาแพง
    ไม่ได้หมายความว่าเครื่องมือพวกนี้จับช่องโหว่ที่เครื่องมือ static จับไม่ได้ไม่ได้ ผมคิดว่ามันจับได้
    เพียงแต่เรามีความสามารถในการจับช่องโหว่ทั่วไปในวงกว้างแบบอัตโนมัติอยู่แล้ว แต่ที่ผ่านมาเลือกจะไม่ใช้ด้วยเหตุผลอย่างเรื่องต้นทุน
    ถ้าเป็นทีมที่ใช้การวิเคราะห์และ linting หลายชั้นอยู่แล้ว แล้วอยากเพิ่มสิ่งนี้เข้าไปอีก ผมเห็นด้วยเต็มที่

    • เพราะปัญหาส่วนใหญ่อยู่ใน business logic และตัว static analyzer จับสิ่งนั้นไม่ได้
    • static analysis ไม่ได้สร้าง one-click exploit ที่ใช้งานได้ตั้งแต่ต้นจนจบให้
      แม้แต่ใน FAANG เครื่องมือ static analysis ของเราก็ยังไม่เก่งมากในการระบุว่าปัญหาไหนเข้าถึงได้จริง
      ตามอุดมคติควรใช้ทั้งสองอย่าง
      วิธีที่ดีคือให้โมเดล AI ที่มี static analysis เป็นส่วนหนึ่งของ harness มาช่วยประเมินแต่ละรายการที่อาจตรวจพบ
    • static analysis มักแสดง false positive เยอะ
      เครื่องมือที่ฉลาดกว่าสามารถช่วยไม่ให้เวลาอันจำกัดของวิศวกรถูกใช้เปลืองไปโดยเปล่าประโยชน์
    • ผมชอบมากที่คำตอบที่ซื่อตรงที่สุดสำหรับนักพัฒนาจำนวนมาก กลับโดน downvote แล้วยังโดนปักธงอีก
      คนส่วนใหญ่ที่มาทำเรื่องนี้ตอนนี้ ก็เพราะเมื่อก่อนมองเครื่องมือ static analysis ว่าเป็นส่วนเสริมที่ไม่จำเป็น เลยไม่ใช้มัน

  • ช่องโหว่ที่ผมอยากให้รีบแก้ตอนนี้ มีแค่อันที่อยู่ใน 3,800 repository ที่ถูกขโมยจาก GitHub
    พูดตามตรง “แพลตฟอร์มที่ใช้สร้างรีลีสของซอฟต์แวร์ที่สร้างอินเทอร์เน็ต” สำคัญกว่า “ช่องโหว่ในซอฟต์แวร์ที่สร้างอินเทอร์เน็ต” เสียอีก
    ถ้าคนที่ซื้อ repository ภายในเหล่านั้นสามารถเจาะ GitHub แล้วสร้างรีลีสซอฟต์แวร์ หรือหาทางทำให้ GitHub Actions จากระยะไกลปนเปื้อนได้ เราทุกคนจะตกอยู่ในสถานการณ์ที่ร้ายแรงมาก
    อย่าลืมว่าใน 3,800 repository นั้น มีโอกาสสูงมากที่จะมี npmjs.org เอง อยู่ด้วย

  • เราพัฒนาอะไรที่เราเรียกว่า “lexploits” ในสาย legal tech โดยใช้โมเดลระดับ front-line สำหรับผู้บริโภค และมันเก่งแบบเหลือเชื่อในการหาบั๊กตลอดทั้ง pipeline ที่เชื่อมรวมกัน
    มันยังเก่งอย่างน่าประหลาดในการสร้างวิธีบรรเทาปัญหา
    ช่องโหว่ความปลอดภัยสำคัญก็จริง แต่ในกฎหมายเราพูดถึงแนวคิดเรื่อง knowledge security เพื่อปกป้องความซื่อสัตย์ต่อบริบททางกฎหมายของเอเจนต์
    บั๊กซอฟต์แวร์ดูจัดการง่ายกว่ามาก เพราะมีวิศวกรซอฟต์แวร์คอยดูแล แต่ “ช่องโหว่” ใน pipeline แบบที่เราหาอยู่นั้นไม่ใช่
    ผมเขียนไว้เล็กน้อยที่นี่เกี่ยวกับเส้นทางหนึ่งที่เอกสารทางกฎหมายอาจไม่ได้เป็นอย่างที่เห็น: https://tritium.legal/blog/noroboto
    ตอนนี้มีพื้นที่ความรู้ที่เปิดช่องแบบนี้อยู่อีกมาก และน่ากังวลกว่าเพราะส่วนใหญ่คนไม่พอและบริหารโดยคนที่ไม่ใช่สายเทคนิค
    ไม่จำเป็นต้องใช้ Mythos ด้วยซ้ำ

  • ข้อความที่ว่า “ต่อไปเราจะทำงานร่วมกับพาร์ตเนอร์หลักเพิ่มเติม รวมถึงรัฐบาลสหรัฐฯ และรัฐบาลประเทศพันธมิตร เพื่อขยาย Project Glasswing ไปยังพาร์ตเนอร์รายอื่น” ฟังดูเหมือนหมายถึงจะ หาเงินก้อนใหญ่ ก่อนเปิดให้ใช้ทั่วไป
    เป็นกลยุทธ์ที่ดี

  • ผมไม่ค่อยเชื่อ
    สิ่งที่เครื่องมือนี้หามาได้จำนวนมากนั้นผิดอยู่แล้ว และบางทีก็ถูกรายงานว่าเป็นของจริง ทั้งที่จริง ๆ แล้วโอกาสจะกลายเป็นช่องโหว่ที่ถูกโจมตีได้ถูกกลบด้วยชั้นบนและชั้นล่างของโค้ด
    มันเป็น trade-off ระหว่างประสิทธิภาพกับความปลอดภัยด้วย และก็เป็นแบบนี้มาเสมอ
    การตรวจเพิ่มและมาตรการอื่น ๆ ยังจำเป็นต้องทำเพื่อจุดประสงค์ด้านความปลอดภัยจริง ๆ
    การตลาดยอดเยี่ยมเสมอ แต่ภาพมองโลกสวยที่หลายคนมีอยู่ดูหลงไปกับการเอาตัวเองไปแทนมากกว่า

    • ในบทความอธิบายว่าช่องโหว่ทั้งหมดได้รับการยืนยันแล้วว่าสามารถ โจมตีได้แบบ end-to-end จริง และมีมากกว่า 1,000 รายการที่ได้รับการยืนยันอย่างอิสระว่าเป็นระดับวิกฤต
      ไม่ใช่ช่องโหว่ที่เข้าถึงไม่ได้
    • ดูได้ว่าพบอะไรบ้างที่ https://red.anthropic.com/2026/cvd/
    • ยิ่งเป็นแบบนั้นเมื่อพิจารณาว่านี่เป็น รูปแบบเดิมซ้ำ ๆ ของ OAI/Anthropic มาหลายปีแล้ว

  • “คอขวดของการแก้บั๊กประเภทนี้คือขีดความสามารถของคนที่จะคัดแยก รายงาน และออกแบบกับ deploy แพตช์ Mythos Preview ทำให้ขั้นตอนแรกสุดอย่างการค้นพบง่ายขึ้นมาก”
    นี่เป็นคอขวดมาโดยตลอด
    เครื่องมืออัตโนมัติชอบปักธงช่องโหว่ แต่แทบทั้งหมดเป็น false positive และคนต้องมาคัดแยกกับประเมิน
    แต่ก็ไม่เป็นไร
    ผมยังคิดว่าการปิด false positive หลังจากตรวจอย่างระมัดระวัง ดีกว่าพลาดไม่เห็นไปเลย
    การเรียกคนว่าคอขวดอาจไม่เหมาะนัก
    คนคือองค์ประกอบจำเป็นของกระบวนการ และ Mythos ก็น่าจะเป็น ตัวเร่ง ของกระบวนการนั้น

    • เมื่อ 10 ปีก่อน มันไม่จริงอย่างชัดเจนที่จะบอกว่าคอขวดของการกำจัดช่องโหว่ส่วนใหญ่คือการที่คนต้องลงมือแก้
      การพิสูจน์ให้ได้ว่ามีช่องโหว่นั้นยากกว่าการแก้มาก

  • วันนี้เป็นวันที่สนุกพอสมควร
    ผมให้ sub-agent ของ deepseek-v4-flash ช่วยกันทำแพตช์เพื่อยกระดับสิทธิ์เป็น root ด้วย Dirty Frag บนระบบที่ปิด AF_ALG และเปิด nscd
    exploit ที่เผยแพร่เดิมใช้ไม่ได้ แต่ตัวที่แพตช์แล้วกลับทำงานดีมาก
    ผมยังเชื่อว่าถ้ามี sub-agent ที่ฉลาดระดับพอใช้ 100 ตัว ก็ให้ผลแบบเดียวกับ Mythos ได้
    สักวันหนึ่งผมก็ตั้งใจจะลองใช้ Mythos เอง และพร้อมยอมรับถ้าความคิดนี้ถูกหักล้าง และคิดว่าคนอื่นที่นี่ก็คงมีบางคนที่เคยใช้ Mythos มาแล้ว

    • เป็นไปได้ แต่ถ้าพูดถึง sub-agent 100 ตัว นั่นคือเซ็ตอัปที่มีต้นทุน 100 ดอลลาร์ต่อชั่วโมง ขณะที่ Mythos ถูกเล่าว่าต้องใช้ 20,000 ดอลลาร์เพื่อหาช่องโหว่หนึ่งรายการ
      ดังนั้นคำถามไม่ใช่ว่า “โมเดลที่โง่กว่านี้ก็ทำได้ไหม” แต่คือ ถ้าการใช้เหตุผลของ Mythos เพื่อหา exploit หนึ่งตัวกิน GPU 5,000 ชั่วโมง แล้วโมเดลที่โง่กว่าจะต้องกินเวลา GPU เท่าไร