ໂຄງການ Glasswing (Project Glasswing)
Project Glasswing ແມ່ນກຸ່ມພັນທະມິດດ້ານຄວາມປອດໄພທາງໄຊເບີ ທີ່ນຳໂດຍ Anthropic ແລະ ມີບໍລິສັດເຕັກໂນໂລຊີຊັ້ນນຳເຂົ້າຮ່ວມ ເຊັ່ນ: AWS, Apple, Google, Microsoft ແລະ NVIDIA ເຊິ່ງໃຊ້ແບບຈຳລອງ Frontier AI ເພື່ອສະແກນ ແລະ ແກ້ໄຂຊອບແວທີ່ສຳຄັນຂອງໂລກໃນທາງປ້ອງກັນ.
ພື້ນຖານ ― ເປັນຫຍັງຈຶ່ງຈຳເປັນຕ້ອງມີກຸ່ມບໍລິສັດ (Consortium)
ຄວາມສາມາດໃນການຊອກຫາຊ່ອງໂຫວ່ຂອງຊອບແວທີ່ເພີ່ມຂຶ້ນຢ່າງກ້າວກະໂດດໂດຍ AI ເຮັດໃຫ້ເກີດບັນຫາດ້ານຄວາມປອດໄພວ່າ ຝ່າຍໂຈມຕີ ຫຼື ຝ່າຍປ້ອງກັນຈະນຳໃຊ້ຄວາມສາມາດນີ້ໄດ້ກ່ອນກັນ. Claude Mythos Preview ທີ່ພັດທະນາໂດຍ Anthropic ໄດ້ຄົ້ນພົບຊ່ອງໂຫວ່ Zero-day ຫຼາຍພັນລາຍການໃນລະບົບປະຕິບັດການຫຼັກ ແລະ ເວັບບຣາວເຊີ, ລວມເຖິງບັກທີ່ເຮັດໃຫ້ເກີດການລົ້ມເຫຼວຂອງລະບົບ (Remote crash bug) ໃນ OpenBSD ທີ່ຝັງຕົວມາ 27 ປີ ແລະ ບັກໃນ FFmpeg ທີ່ມີອາຍຸ 16 ປີ ເຊິ່ງລອດພົ້ນຈາກການທົດສອບອັດຕະໂນມັດມາແລ້ວ 5 ລ້ານຄັ້ງ.
ການສ້າງ Project Glasswing ຂຶ້ນມາ ກໍເພື່ອເປັນກອບການເຮັດວຽກໃຫ້ທັງອຸດສາຫະກຳນຳໃຊ້ຄວາມສາມາດນີ້ເພື່ອການປ້ອງກັນ ແທນທີ່ຈະໃຫ້ບໍລິສັດໃດໜຶ່ງເກັບກຳຄວາມສາມາດນີ້ໄວ້ພຽງຜູ້ດຽວ.
ອົງການຈັດຕັ້ງທີ່ເຂົ້າຮ່ວມ ແລະ ຂະໜາດ
ກຸ່ມບໍລິສັດດັ່ງກ່າວປະກອບມີ AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA ແລະ Palo Alto Networks. ນອກຈາກນີ້, ຍັງມີກຸ່ມຜູ້ເບິ່ງແຍງລະບົບ OSS (Open Source Software) ຫຼາຍກວ່າ 40 ແຫ່ງ ທີ່ຈະໄດ້ຮັບສິດເຂົ້າເຖິງ Claude Mythos ເພື່ອຈຸດປະສົງໃນການປ້ອງກັນ.
ຄວາມມຸ່ງໝັ້ນຂອງ Anthropic ຍັງສະແດງອອກຜ່ານການສະໜັບສະໜູນດ້ານທຶນຮອນຢ່າງຫຼວງຫຼາຍ. ນອກຈາກການໃຫ້ສິນເຊື່ອສຳລັບການນຳໃຊ້ຕົວແບບ (Model) ທີ່ມີມູນຄ່າສູງເຖິງ 100 ລ້ານໂດລາແລ້ວ, ຍັງໄດ້ປະກາດບໍລິຈາກເງິນໂດຍກົງ 4 ລ້ານໂດລາໃຫ້ແກ່ອົງການຄວາມປອດໄພ OSS. ໂຄງການ OSS ສ່ວນໃຫຍ່ດຳເນີນງານໂດຍອາສາສະໝັກ ແລະ ປະສົບກັບບັນຫາການຂາດແຄນຊັບພະຍາກອນໃນການກວດສອບຄວາມປອດໄພ. ເຖິງວ່າປະສິດທິຜົນຂອງເງິນທຶນນີ້ຈະຂຶ້ນຢູ່ກັບການດຳເນີນງານໃນອະນາຄົດ, ແຕ່ກໍຖືວ່າເປັນການລົງທຶນດ້ານຄວາມປອດໄພ AI ໃນລະບົບນິເວດ OSS ທີ່ມີຂະໜາດໃຫຍ່ທີ່ສຸດເທົ່າທີ່ເຄີຍມີມາ.
ແນວທາງດ້ານເຕັກນິກ
ຫົວໃຈຫຼັກຂອງ Glasswing ຄື "ການສະແກນເພື່ອປ້ອງກັນ" (Defensive scanning) ເຊິ່ງວິທີການດັ່ງກ່າວແຕກຕ່າງຈາກເຄື່ອງມືວິເຄາະແບບ Static ຫຼື Fuzzing ແບບດັ້ງເດີມຢ່າງສິ້ນເຊີງ. Claude Mythos ສາມາດອ່ານ ແລະ ເຂົ້າໃຈຖານໂຄດຂະໜາດໃຫຍ່ພ້ອມກັບບໍລິບົດ, ບໍ່ພຽງແຕ່ຊອກຫາຊ່ອງໂຫວ່ເທົ່ານັ້ນ, ແຕ່ຍັງສາມາດສ້າງໂຄດໂຈມຕີ (Exploit) ເພື່ອທົດສອບ ແລະ ສ້າງແພັດ (Patch) ແກ້ໄຂໄດ້ຢ່າງຄົບວົງຈອນ.
ໃນຂະນະທີ່ຫຼັກການ Shift-left ຂອງ DevSecOps ມຸ່ງເນັ້ນໄປທີ່ "ການກຳຈັດຊ່ອງໂຫວ່ຕັ້ງແຕ່ໄລຍະເລີ່ມຕົ້ນຂອງການພັດທະນາ", Glasswing ໃຊ້ແນວທາງເສີມໂດຍການ "ຍ້ອນກັບໄປກວດສອບໂຄດທີ່ຖືກ Deploy ໄປແລ້ວຢ່າງລະອຽດ". ຖ້າຫາກ AI Red Teaming ຄືການຈຳລອງການໂຈມຕີໂດຍທີມງານມະນຸດ, Glasswing ກໍຖືເປັນຄວາມພະຍາຍາມຂອງຝ່າຍປ້ອງກັນໃນການນຳໃຊ້ AI ເພື່ອຈຳລອງການໂຈມຕີຢ່າງຕໍ່ເນື່ອງໃນຂະໜາດໃຫຍ່.
ໃນການທົດສອບ CyberGym, Mythos ເຮັດຄະແນນໄດ້ 83.1% (Opus 4.6 ໄດ້ 66.6%) ແລະ ຍັງບັນທຶກສະຖິຕິລະດັບສູງສຸດໃນ SWE-bench Prop ແລະ Terminal-Bench 2.0, ເຊິ່ງຊີ້ໃຫ້ເຫັນວ່າສາມາດຮັບມືກັບຊ່ອງໂຫວ່ທີ່ບໍ່ໄດ້ຈັດປະເພດ ເຊິ່ງນອກເໜືອໄປຈາກໝວດໝູ່ທີ່ຮູ້ຈັກກັນດີຕາມການຈັດປະເພດຂອງ OWASP.
ການເຊື່ອມໂຍງກັບການປ້ອງກັນລະບົບ Supply Chain
ຊ່ອງໂຫວ່ທີ່ຖືກຄົ້ນພົບຈະຖືກເປີດເຜີຍລາຍລະອຽດຫຼັງຈາກໄດ້ລາຍງານໃຫ້ແຕ່ລະໂຄງການຮັບຊາບ ແລະ ຢືນຢັນການນຳໃຊ້ແພັດແລ້ວ ຕາມຫຼັກການ Responsible Disclosure. ສ່ວນຊ່ອງໂຫວ່ທີ່ຍັງບໍ່ທັນໄດ້ແກ້ໄຂຈະເປີດເຜີຍພຽງແຕ່ Hash ເທົ່ານັ້ນ. ການທີ່ AI ເຂົ້າມາເລັ່ງວົງຈອນ "ຄົ້ນພົບ→ລາຍງານ→ແກ້ໄຂ→ເປີດເຜີຍ" ນີ້ ອາດຈະຊ່ວຍຫຼຸດຜ່ອນຊ່ອງວ່າງເວລາທີ່ອາດຖືກໂຈມຕີ (Window of Exposure) ໃນລະບົບ Supply Chain ໄດ້.
Anthropic ໄດ້ກຳນົດໃຫ້ Glasswing ເປັນ "ຈຸດເລີ່ມຕົ້ນ" ແລະ ລະບຸວ່າ ໃນຂະນະທີ່ຄວາມສາມາດຂອງ Frontier AI ເພີ່ມຂຶ້ນ, ບໍລິສັດພັດທະນາ, ຜູ້ໃຫ້ບໍລິການດ້ານຄວາມປອດໄພ, ຜູ້ເບິ່ງແຍງ OSS ແລະ ລັດຖະບານ ຈຳເປັນຕ້ອງຮ່ວມມືກັນຢ່າງຕໍ່ເນື່ອງ.
