Claude Mythos (ຄລອດ ມິທອສ)
Claude Mythos ແມ່ນຕົວແບບ Frontier ທີ່ພັດທະນາໂດຍ Anthropic ເຊິ່ງມີຄວາມຊ່ຽວຊານດ້ານຄວາມປອດໄພທາງໄຊເບີ, ສາມາດກວດຫາຊ່ອງໂຫວ່, ສ້າງລະຫັດໂຈມຕີ (exploit) ແລະ ສ້າງແຜ່ນແກ້ໄຂ (patch) ໃນຖານລະຫັດຂະໜາດໃຫຍ່ໄດ້ຢ່າງອັດຕະໂນມັດ.
ຕຳແໜ່ງຂອງ Mythos
Claude Mythos Preview ແມ່ນຕົວແບບທີ່ຍັງບໍ່ທັນເປີດເຜີຍຕໍ່ສາທາລະນະ ເຊິ່ງ Anthropic ໄດ້ພັດທະນາຂຶ້ນເປັນຫຼັກຂອງ Project Glasswing. ຕ່າງຈາກ LLM ທີ່ມີຄວາມສາມາດໃນການສ້າງໂຄ້ດແບບທົ່ວໄປ, Mythos ມີຈຸດເດັ່ນຢູ່ທີ່ການກວມເອົາວົງຈອນການປ້ອງກັນ ແລະ ໂຈມຕີທາງໄຊເບີທັງໝົດ ເລີ່ມຕັ້ງແຕ່ການຄົ້ນຫາຊ່ອງໂຫວ່ໃນ Source Code, ການສ້າງວິທີການນຳໃຊ້ຊ່ອງໂຫວ່ເຫຼົ່ານັ້ນໄປໃນທາງທີ່ຜິດ, ໄປຈົນເຖິງການສ້າງ Patch ແກ້ໄຂ. Anthropic ໄດ້ອະທິບາຍວ່າ "ຢູ່ໃນລະດັບທີ່ເໜືອກວ່າຜູ້ຊ່ຽວຊານທີ່ເປັນມະນຸດສ່ວນໃຫຍ່" ແລະໃນການທົດສອບ CyberGym Benchmark, Mythos ບັນລຸຄະແນນໄດ້ເຖິງ 83.1% ເມື່ອທຽບກັບ Claude Opus 4.6 ລຸ້ນເດີມທີ່ເຮັດໄດ້ 66.6%.
ສິ່ງທີ່ຄົ້ນພົບ
ຕົວຢ່າງທີ່ຊັດເຈນຂອງຊ່ອງໂຫວ່ທີ່ Mythos ຄົ້ນພົບ ໄດ້ສະແດງໃຫ້ເຫັນເຖິງຂອບເຂດຄວາມສາມາດຂອງຕົວແບບນີ້ໄດ້ເປັນຢ່າງດີ.
ຊ່ອງໂຫວ່ Remote Crash ທີ່ຝັງຕົວຢູ່ໃນ Network Stack ຂອງ OpenBSD ມາເປັນເວລາ 27 ປີ. ເນື່ອງຈາກເປັນ OS ທີ່ຖືກນຳໃຊ້ຢ່າງກວ້າງຂວາງໃນຖານະ Firewall ແລະ VPN Gateway, ຖ້າມີຜູ້ຄົ້ນພົບກ່ອນໜ້ານີ້ ມັນອາດກາຍເປັນຊ່ອງທາງການໂຈມຕີໂຄງລ່າງພື້ນຖານທີ່ສຳຄັນໄດ້. ໃນ FFmpeg, ມັນໄດ້ກວດພົບ Bug ອາຍຸ 16 ປີ ທີ່ລອດພົ້ນຈາກການທົດສອບ Fuzzing ອັດຕະໂນມັດມາກວ່າ 5 ລ້ານຄັ້ງ. ນອກຈາກນີ້, ໃນ Linux Kernel, ມັນຍັງສາມາດເຊື່ອມໂຍງ (Chain) ຊ່ອງໂຫວ່ຫຼາຍຈຸດເຂົ້າດ້ວຍກັນຢ່າງອັດຕະໂນມັດ ເພື່ອຍົກລະດັບສິດທິ (Privilege Escalation) ຈາກຜູ້ໃຊ້ທົ່ວໄປໄປສູ່ Root. ເວົ້າໄດ້ວ່າ ຕົວແບບນີ້ສາມາດສ້າງເສັ້ນທາງການໂຈມຕີທີ່ນັກເຈາະລະບົບ (Penetration Tester) ທີ່ເປັນມະນຸດຕ້ອງໃຊ້ເວລາຫຼາຍມື້ໃນການເຮັດ ໄດ້ຢ່າງອັດຕະໂນມັດ.
ທັງໝົດນີ້ໄດ້ຖືກເປີດເຜີຍຢ່າງມີຄວາມຮັບຜິດຊອບ (Responsible Disclosure) ຕໍ່ແຕ່ລະໂຄງການ ແລະ ໄດ້ຮັບການແກ້ໄຂ (Patch) ເປັນທີ່ຮຽບຮ້ອຍແລ້ວ.
ຄອນໂຊຣ໌ຊຽມຂອງ Project Glasswing
Project Glasswing ຖືກສ້າງຂຶ້ນເພື່ອໃຊ້ປະໂຫຍດຈາກ Mythos ໃນການປ້ອງກັນຢ່າງກວ້າງຂວາງ. ໂດຍມີບໍລິສັດເຕັກໂນໂລຊີ ແລະ ຜູ້ໃຫ້ບໍລິການດ້ານຄວາມປອດໄພຊັ້ນນຳ ເຊັ່ນ: AWS, Apple, Google, Microsoft, NVIDIA, CrowdStrike, Palo Alto Networks ແລະ Linux Foundation ເຂົ້າຮ່ວມ ເພື່ອດຳເນີນການສະແກນປ້ອງກັນທັງໃນສ່ວນຂອງ OSS ແລະ ລະບົບພາຍໃນຂອງບໍລິສັດ. Anthropic ໄດ້ໃຫ້ຄຳໝັ້ນສັນຍາວ່າຈະສະໜັບສະໜູນ Credit ການໃຊ້ງານຕົວແບບມູນຄ່າສູງສຸດ 100 ລ້ານໂດລາ ແລະ ບໍລິຈາກເງິນ 4 ລ້ານໂດລາໃຫ້ແກ່ອົງການຄວາມປອດໄພ OSS.
ໃນບໍລິບົດຂອງ DevSecOps ແລະ Shift-left, ການກຳຈັດຊ່ອງໂຫວ່ໃນຂັ້ນຕອນຕົ້ນຂອງການພັດທະນາຖືເປັນສິ່ງທີ່ເໝາະສົມທີ່ສຸດ. ຕົວແບບຢ່າງ Mythos ສະແດງໃຫ້ເຫັນເຖິງຄວາມເປັນໄປໄດ້ໃນການ "ກວດພົບໃນຂັ້ນຕອນຕົ້ນ" ທີ່ຄົບຖ້ວນກວ່າຜູ້ກວດສອບທີ່ເປັນມະນຸດ ແລະ ສາມາດກວດພົບຊ່ອງໂຫວ່ໃນລະດັບທີ່ເຄື່ອງມື Fuzzing ທີ່ມີຢູ່ເບິ່ງຂ້າມໄປ.
ຄວາມບໍ່ສົມດຸນລະຫວ່າງການປ້ອງກັນ ແລະ ການໂຈມຕີ
ຫາກຄວາມສາມາດທາງ AI ໃນລະດັບດຽວກັນຕົກໄປຢູ່ໃນມືຂອງຝ່າຍໂຈມຕີ, ຄວາມສ່ຽງຕໍ່ການໂຈມຕີ Supply Chain ແລະ ການໂຈມຕີແບບ Zero-day ທີ່ບໍ່ເຄີຍຮູ້ຈັກມາກ່ອນຈະເພີ່ມຂຶ້ນຢ່າງມະຫາສານ. ພື້ນຖານຂອງ Glasswing ແມ່ນແນວຄິດທີ່ວ່າ "ຝ່າຍປ້ອງກັນຕ້ອງໃຊ້ຄວາມສາມາດດຽວກັນນີ້ໃຫ້ເກີດປະໂຫຍດກ່ອນ", ໂດຍບໍ່ພຽງແຕ່ກວມເອົາໝວດໝູ່ຊ່ອງໂຫວ່ທີ່ຮູ້ຈັກກັນດີຕາມການຈັດປະເພດຂອງ OWASP ເທົ່ານັ້ນ, ແຕ່ຍັງມີເປົ້າໝາຍທີ່ຈະກຳຈັດພື້ນທີ່ການໂຈມຕີທີ່ຍັງບໍ່ທັນໄດ້ຖືກຈັດປະເພດອີກດ້ວຍ. ຖ້າ AI Red Teaming ຄື "ການຈຳລອງການໂຈມຕີໂດຍທີມງານມະນຸດ", Mythos ກໍໃກ້ຄຽງກັບ "ການຈຳລອງການໂຈມຕີໂດຍ AI ຢ່າງຕໍ່ເນື່ອງ, ຂະໜາດໃຫຍ່ ແລະ ອັດຕະໂນມັດ".
Anthropic ກ່າວວ່າ "ຖ້າລົງມືເຮັດໃນຕອນນີ້ ເຮົາຈະສາມາດສ້າງຍຸກ AI ທີ່ຝ່າຍປ້ອງກັນໄດ້ປຽບ", ແຕ່ໃນທາງກັບກັນ ນັ້ນກໍເປັນການເຕືອນວ່າ ຖ້າບໍ່ລົງມືເຮັດ ຝ່າຍໂຈມຕີກໍຈະເປັນຜູ້ໄດ້ປຽບ.
