Claude Mythos (คลอดด์ มิทอส)

ตำแหน่งของ Mythos

Claude Mythos Preview เป็นโมเดลที่ยังไม่เปิดเผยต่อสาธารณะ ซึ่ง Anthropic พัฒนาขึ้นโดยเป็นหัวใจสำคัญของ Project Glasswing ต่างจาก LLM ที่มีความสามารถในการเขียนโค้ดทั่วไป Mythos มีจุดเด่นที่การครอบคลุมวงจรการป้องกันและโจมตีทางไซเบอร์ทั้งหมด ตั้งแต่การค้นหาช่องโหว่ในซอร์สโค้ด การสร้างวิธีการโจมตี ไปจนถึงการสร้างแพตช์เพื่อแก้ไข Anthropic อธิบายว่าโมเดลนี้มีระดับความสามารถที่ "เหนือกว่าผู้เชี่ยวชาญที่เป็นมนุษย์ส่วนใหญ่" โดยในเกณฑ์มาตรฐาน CyberGym นั้น Mythos ทำคะแนนได้ถึง 83.1% เทียบกับ Claude Opus 4.6 รุ่นเดิมที่ทำได้ 66.6%

สิ่งที่ค้นพบ

ตัวอย่างช่องโหว่ที่ Mythos ค้นพบแสดงให้เห็นถึงขอบเขตความสามารถของโมเดลนี้ได้อย่างชัดเจน

ช่องโหว่ Remote Crash ที่ซ่อนอยู่ใน Network Stack ของ OpenBSD มานานถึง 27 ปี ซึ่งเป็น OS ที่ถูกใช้งานอย่างแพร่หลายในฐานะไฟร์วอลล์และ VPN Gateway หากถูกค้นพบก่อนหน้านี้ อาจกลายเป็นช่องทางโจมตีโครงสร้างพื้นฐานที่สำคัญได้ ในส่วนของ FFmpeg โมเดลสามารถตรวจพบจุดบกพร่องที่มีอายุ 16 ปี ซึ่งรอดพ้นจากการทดสอบ Automated Fuzzing มาแล้วกว่า 5 ล้านครั้ง ยิ่งไปกว่านั้น ใน Linux Kernel โมเดลยังสามารถเชื่อมโยง (Chain) ช่องโหว่หลายจุดเข้าด้วยกันอย่างอิสระ เพื่อยกระดับสิทธิ์จากผู้ใช้ทั่วไปไปสู่ระดับ root ซึ่งเป็นการสร้างเส้นทางการโจมตีที่นักเจาะระบบที่เป็นมนุษย์ต้องใช้เวลาหลายวันในการดำเนินการ แต่โมเดลสามารถทำได้โดยอัตโนมัติ

ข้อมูลทั้งหมดนี้ได้รับการเปิดเผยอย่างรับผิดชอบ (Responsible Disclosure) ต่อแต่ละโครงการและได้รับการแก้ไขเรียบร้อยแล้ว

กลุ่มพันธมิตร Project Glasswing

Project Glasswing ถูกจัดตั้งขึ้นเพื่อนำ Mythos มาใช้ประโยชน์ในด้านการป้องกันอย่างกว้างขวาง โดยมีบริษัทเทคโนโลยีและผู้ให้บริการด้านความปลอดภัยชั้นนำเข้าร่วม เช่น AWS, Apple, Google, Microsoft, NVIDIA, CrowdStrike, Palo Alto Networks และ Linux Foundation เพื่อดำเนินการสแกนเชิงป้องกันทั้งในส่วนของ OSS และระบบขององค์กรเอง Anthropic ได้ให้คำมั่นว่าจะมอบเครดิตการใช้งานโมเดลมูลค่าสูงสุด 100 ล้านดอลลาร์ และบริจาคเงิน 4 ล้านดอลลาร์ให้กับองค์กรความปลอดภัย OSS

ในบริบทของ DevSecOps และ Shift-left การกำจัดช่องโหว่ตั้งแต่ขั้นตอนต้นน้ำของการพัฒนานั้นถือเป็นอุดมคติ โมเดลอย่าง Mythos ได้แสดงให้เห็นถึงความเป็นไปได้ในการ "ตรวจจับที่ต้นน้ำ" ซึ่งครอบคลุมมากกว่าผู้ตรวจสอบที่เป็นมนุษย์ และสามารถตรวจพบช่องโหว่ในระดับที่เครื่องมือ Fuzzing เดิมมองข้ามไป

ความไม่สมมาตรระหว่างการป้องกันและการโจมตี

หากความสามารถของ AI ในระดับเดียวกันตกไปอยู่ในมือของผู้โจมตี ความเสี่ยงของการโจมตีห่วงโซ่อุปทาน (Supply Chain Attack) และการโจมตีแบบ Zero-day ที่ไม่เคยรู้จักมาก่อนจะเพิ่มสูงขึ้นอย่างก้าวกระโดด แนวคิดพื้นฐานของ Glasswing คือ "ฝ่ายป้องกันต้องใช้ความสามารถเดียวกันนี้ให้เต็มที่ก่อน" โดยไม่ได้มุ่งเน้นเพียงแค่หมวดหมู่ช่องโหว่ที่รู้จักตามที่ OWASP รวบรวมไว้เท่านั้น แต่ยังรวมถึงการที่โมเดลจะเข้าไปปิดช่องโหว่ในส่วนที่ยังไม่มีการจำแนกประเภทล่วงหน้า หาก AI Red Teaming คือ "การจำลองการโจมตีโดยทีมมนุษย์" Mythos ก็เปรียบเสมือน "การจำลองการโจมตีโดย AI ที่ทำงานอย่างต่อเนื่อง ขนาดใหญ่ และเป็นอิสระ"

Anthropic ระบุว่า "หากเราลงมือทำตอนนี้ เราจะสามารถสร้างยุค AI ที่ฝ่ายป้องกันมีความได้เปรียบ" แต่ในทางกลับกัน นี่ก็เป็นคำเตือนว่าหากไม่ลงมือทำ ฝ่ายโจมตีจะเป็นผู้ได้เปรียบแทน