ยุคใหม่ของความปลอดภัยไซเบอร์ AI: Claude Mythos Preview ค้นพบช่องโหว่ Zero-Day หลายพันรายการด้วยตนเอง โครงการ Glasswing ก่อให้เกิดข้อถกเถียงเรื่องอธิปไตยดิจิทัลทั่วโลก
บทนำ
ปัญญาประดิษฐ์กำลังปรับเปลี่ยนภูมิทัศน์การโจมตีและป้องกันความปลอดภัยไซเบอร์ในระดับที่ไม่เคยมีมาก่อน เมื่อเร็วๆ นี้ Anthropic ร่วมกับบริษัทเทคโนโลยียักษ์ใหญ่และสถาบันการเงินกว่า 10 แห่ง เช่น Amazon, Apple, Microsoft, Google ได้เปิดตัว “Project Glasswing” (โครงการ Glasswing) อย่างเป็นทางการ โดยมีเป้าหมายเพื่อรับมือกับการเปลี่ยนแปลงด้านความปลอดภัยไซเบอร์ที่เกิดจากโมเดล AI ล้ำสมัย
หัวใจของโครงการนี้คือโมเดลที่ไม่เปิดเผยสาธารณะที่ Anthropic ฝึกฝนใหม่ Claude Mythos Preview การประเมินแสดงให้เห็นว่าโมเดลนี้มีความสามารถในการค้นพบและใช้ประโยชน์จากช่องโหว่เหนือกว่าผู้เชี่ยวชาญมนุษย์ส่วนใหญ่ สามารถค้นพบช่องโหว่ Zero-Day ระดับสูงหลายพันรายการด้วยตนเอง ครอบคลุมระบบปฏิบัติการและเบราว์เซอร์หลักทั้งหมด
อย่างไรก็ตาม โครงการที่ใช้ชื่อว่า “การป้องกัน” นี้ ซึ่งมีกลยุทธ์จำกัดการเข้าถึงโมเดลให้กับพันธมิตรเพียงไม่กี่ราย ได้ก่อให้เกิดข้อถกเถียงรุนแรงเกี่ยวกับ “การแบ่งชั้นที่ตายตัว” ของความปลอดภัยดิจิทัลระดับโลกและความยุติธรรมในอธิปไตยอย่างรวดเร็ว
ความสามารถในการขุดค้นช่องโหว่ที่พลิกโฉม
Claude Mythos Preview แสดงความสามารถที่น่าทึ่งในการทดสอบมาตรฐานความปลอดภัยไซเบอร์ ในแบบประเมิน CyberGym ได้คะแนนสูงถึง 83.1% ซึ่งสูงกว่าโมเดลอันดับสองที่ 66.6% อย่างมาก สิ่งที่น่าสนใจยิ่งกว่าคือประสิทธิภาพในการขุดค้นช่องโหว่จริง:
- OpenBSD: ค้นพบช่องโหว่ที่ทำให้ระบบล่มจากระยะไกลซึ่งมีอายุยาวนานถึง 27 ปี
- FFmpeg: ระบุช่องโหว่ที่มีอายุ 16 ปี ซึ่งผ่านการทดสอบอัตโนมัติมากกว่า 5 ล้านครั้งแต่ยังไม่ถูกเปิดเผย
- Linux Kernel: ค้นพบช่องโหว่หลายรายการที่สามารถนำมารวมใช้เพื่อเพิ่มสิทธิ์การเข้าถึงได้
การค้นพบเหล่านี้พิสูจน์ว่า AI มีข้อได้เปรียบเชิงระบบเหนือเครื่องมืออัตโนมัติแบบดั้งเดิมและผู้เชี่ยวชาญมนุษย์ ในการขุดค้นช่องโหว่ระดับลึกที่คงอยู่ข้ามเวอร์ชัน
Project Glasswing: ความร่วมมือ ทรัพยากร และข้อจำกัดการเข้าถึง
เพื่อรับมือกับความท้าทายด้านความปลอดภัยที่ AI นำมา โครงการ Project Glasswing มีระยะเวลาหลายเดือน และให้คำมั่นสัญญาในการดำเนินมาตรการหลายประการ:
- การลงทุนทรัพยากร: Anthropic ให้คำมั่นสัญญาลงทุน เครดิตการใช้โมเดลมูลค่า 100 ล้านดอลลาร์ และ เงินบริจาคโดยตรง 4 ล้านดอลลาร์ (ให้กับองค์กรความปลอดภัยภายใต้ Linux Foundation และ Apache Software Foundation) เพื่อช่วยพันธมิตรและผู้ดูแลโอเพ่นซอร์สสแกนและแก้ไขข้อบกพร่องซอฟต์แวร์ที่สำคัญ
- คำมั่นสัญญาเรื่องความโปร่งใส: Anthropic จะเปิดเผยสถานะการแก้ไขช่องโหว่และแนวปฏิบัติที่ดีที่สุดภายใน 90 วัน และเรียกร้องให้มีการจัดตั้งองค์กรประสานงานอิสระ
- การควบคุมการเข้าถึงอย่างเข้มงวด: โมเดลจะยังไม่เผยแพร่สู่สาธารณะ โดยจะให้การเข้าถึง API เฉพาะกับผู้เข้าร่วมโครงการ Project Glasswing และองค์กรที่ผ่านการคัดเลือกประมาณ 40 แห่งเท่านั้น กำหนดราคาที่ 25 ถึง 125 ดอลลาร์ต่อโทเค็นอินพุต/เอาต์พุต 1 ล้านตัว
ข้อถกเถียงหลัก: การทำให้การป้องกันเป็นสิทธิพิเศษและช่องว่างความปลอดภัยดิจิทัล
การประกาศโครงการก่อให้เกิดข้อสงสัยที่แหลมคมทันที จุดสนใจอยู่ที่: เมื่อเครื่องมือป้องกัน AI ที่ทรงพลังที่สุดอยู่ในมือของยักษ์ใหญ่เพียงไม่กี่ราย ความปลอดภัยดิจิทัลระดับโลกจะได้รับการยกระดับโดยรวม หรือกำลังสร้างรอยแตกที่เปราะบางใหม่ขึ้นมา?
ผู้เขียนเปิดเผยว่า Mythos Preview ค้นพบช่องโหว่ Zero-Day ระดับสูงหลายพันรายการ และมีความสามารถเหนือกว่าโมเดลประเภทเดียวกันอย่างมาก แต่โมเดลจำกัดให้ใช้เฉพาะพันธมิตร Project Glasswing และองค์กรที่ผ่านการคัดเลือกเพียงไม่กี่แห่งเท่านั้น ในขณะเดียวกัน หากผู้โจมตีได้รับความสามารถที่คล้ายกัน (ไม่ว่าจะผ่านการรั่วไหล การย้อนกลับวิศวกรรม หรือการพัฒนาด้วยตนเอง) ก็สามารถโจมตีกลุ่มที่ขาดทรัพยากรป้องกันที่เท่าเทียมกันได้แบบไม่สมมาตร “การทำให้การป้องกันเป็นสิทธิพิเศษ” นี้ โดยพื้นฐานแล้วกำลังสร้างช่องว่างความปลอดภัยใหม่ แทนที่จะเป็นการยกระดับความยืดหยุ่นของเครือข่ายโดยรวมจริงๆ หรือไม่?
จุดยืนของ Anthropic คือ การลดความเสี่ยงโดยรวมด้วยการปกป้องโครงสร้างพื้นฐานสำคัญเป็นลำดับแรก (ระบบของพันธมิตร “เป็นตัวแทนของพื้นผิวการโจมตีที่แบ่งปันกันทั่วโลกในส่วนใหญ่”) อย่างไรก็ตาม ผู้วิจารณ์ชี้ให้เห็นว่ากลยุทธ์นี้มีสมมติฐานที่มีปัญหาอยู่: การปกป้องยักษ์ใหญ่เท่ากับการปกป้องระบบนิเวศทั้งหมด
ความเป็นจริงอาจตรงกันข้าม เมื่อผู้โจมตีเผชิญกับ “ป้อมปราการดิจิทัล” ที่ได้รับการเสริมความแข็งแกร่ง พวกเขาก็จะหันไปโจมตีจุดที่ป้องกันได้อ่อนแอกว่า เช่น องค์กรขนาดกลางและขนาดย่อมจำนวนมาก รัฐบาลท้องถิ่น สถาบันการแพทย์ และโครงการโอเพ่นซอร์สที่สำคัญ แม้ว่า Anthropic จะจัดตั้งช่องทางสมัคร “Claude for Open Source” แต่ไม่ได้ให้คำมั่นสัญญาว่าจะเปิดให้ใช้โดยไม่จำกัด เงินบริจาค 4 ล้านดอลลาร์ของบริษัท เมื่อเทียบกับผลกระทบที่พลิกโฉมของความสามารถโมเดล ถูกมองว่าเป็นเพียงการช่วยเหลือเล็กน้อยเท่านั้น
ความกังวลที่ลึกซึ้งยิ่งขึ้นอยู่ที่ระดับภูมิรัฐศาสตร์ บทความต้นฉบับกล่าวถึง: “บนเวทีโลก การโจมตีที่ได้รับการสนับสนุนจากรัฐโดยผู้เล่นเช่น จีน, อิหร่าน, เกาหลีเหนือ และรัสเซีย คุกคามที่จะบุกรุกโครงสร้างพื้นฐาน…” อย่างไรก็ตาม เมื่อเรื่องเล่าความมั่นคงแห่งชาติผูกพันอย่างลึกซึ้งกับแผนธุรกิจของยักษ์ใหญ่ด้านเทคโนโลยี ผู้ที่ครอบครองความสามารถ AI ในการขุดค้นช่องโหว่ Zero-Day ที่กำหนด “ภัยคุกคาม” ก็กำลังกำหนดขอบเขตของอธิปไตยดิจิทัลในความเป็นจริง สิ่งที่เผชิญกับภัยคุกถามอย่างต่อเนื่องจริงๆ อาจไม่ใช่โครงสร้างพื้นฐานของฝ่ายใดฝ่ายหนึ่ง แต่คือเส้นแบ่งความยุติธรรมที่อธิปไตยดิจิทัลระดับโลกดำรงอยู่
Project Glasswing ในขณะที่ยกระดับการป้องกันระดับแนวหน้า อาจกำลังสร้าง “รอยเลื่อนของการป้องกันดิจิทัล” ใหม่ขึ้นมาโดยไม่ตั้งใจ ภายใต้แนวโน้มที่ไม่อาจย้อนกลับได้ของการเปิดเผยซอร์สและการแพร่กระจายความสามารถ AI กลยุทธ์ “การกักเก็บฝ่ายเดียว” ที่รวมศูนย์อยู่ที่องค์กรเพียงไม่กี่แห่งนี้จะประสบความสำเร็จหรือไม่ และหากความสามารถถูกทำซ้ำโดยผู้ประพฤติมิชอบจะนำไปสู่การสูญเสียการควบคุมในระดับใด นั่นกลายเป็นปัญหาที่ร้ายแรงที่แขวนอยู่เหนือความปลอดภัยไซเบอร์ระดับโลก
คำถามที่สอง: Anthropic ยอมรับว่า Mythos Preview มีความสามารถ “เชิงรุก” ที่แข็งแกร่งในการใช้ประโยชน์จากช่องโหว่ แต่กลับประกาศว่าจะไม่เผยแพร่สู่สาธารณะ และใช้เพื่อการป้องกันเท่านั้น – ภายใต้แนวโน้มที่ไม่อาจย้อนกลับได้ของการเปิดเผยซอร์สและการแพร่กระจายความสามารถ AI กลยุทธ์ “การกักเก็บฝ่ายเดียว” นี้จะล้มเหลวอย่างแน่นอนหรือไม่? หากโมเดลหรือขอบเขตความสามารถของมันถูกทำซ้ำหรือหลีกเลี่ยงโดยผู้ประพฤติมิชอบ ใครจะรับผิดชอบต่อผลที่ตามมาที่ร้ายแรงกว่าอาชญากรรมไซเบอร์ที่มีอยู่ในปัจจุบัน?
Anthropic ยอมรับว่าความสามารถ AI “จะก้าวหน้าอย่างมากในอีกไม่กี่เดือนข้างหน้า” และ “ผู้ประพฤติมิชอบอาจไม่ผูกพันกับคำมั่นสัญญาการปรับใช้ที่ปลอดภัย” อย่างไรก็ตาม มาตรการรับมือของบริษัทจำกัดอยู่เพียงการให้การเข้าถึง API แก่พันธมิตร และพึ่งพาการป้องกันด้านความปลอดภัยในระดับเอาต์พุต โดยไม่ได้กล่าวถึงมาตรการยับยั้งที่รุนแรงและเป็นพื้นฐานมากกว่า เช่น การแยกทางกายภาพของน้ำหนักโมเดลหรือรายละเอียดการฝึกที่สำคัญ การผลักดันให้รัฐบาลบังคับใช้กฎระเบียบ หรือการจัดทำสนธิสัญญาระหว่างประเทศ เมื่อพิจารณาจากประวัติศาสตร์ที่เทคโนโลยีที่มีมูลค่าสูงใดๆ ที่ “ไม่เผยแพร่สู่สาธารณะ” (เช่น ช่องโหว่ “EternalBlue”) ในที่สุดก็ยากที่จะหลีกเลี่ยงการแพร่กระจาย Project Glasswing เป็นเพียงการสาธิตการป้องกันเพื่อปลอบประโลมประชาชน ในขณะที่ความสามารถการโจมตีเครือข่าย AI ที่อันตรายจริงๆ ได้ไหลเวียนอยู่ในที่มืดแล้วหรือไม่?
Anthropic ระบุชัดเจนว่าไม่มีแผนที่จะเผยแพร่ Claude Mythos Preview สู่สาธารณะ โดยจะให้การเข้าถึงผ่าน API เฉพาะกับพันธมิตรที่ผ่านการคัดเลือกเท่านั้น และพยายามบล็อกการใช้งานที่อันตรายที่สุดผ่านการป้องกันด้านความปลอดภัยที่ปลายทางเอาต์พุต บริษัทยังยอมรับว่า “ความสามารถเครือข่ายที่ทรงพลังเหล่านี้อาจถูกนำไปใช้เพื่อใช้ประโยชน์จากข้อบกพร่องที่มีอยู่ในซอฟต์แวร์ที่สำคัญที่สุดของโลก” อย่างไรก็ตาม ยังไม่เห็นมาตรการที่เป็นรูปธรรมใดๆ สำหรับการแยกทางกายภาพของน้ำหนักโมเดล รายละเอียดการฝึก หรือความสามารถหลัก
ประสบการณ์ในอดีตแสดงให้เห็นว่าเทคโนโลยีใดๆ ที่ “ไม่เผยแพร่สู่สาธารณะ” แต่มีมูลค่าสูงมาก (เช่น ช่องโหว่ “EternalBlue” ส่วนของโค้ด Stuxnet) ในที่สุดจะแพร่กระจายในรูปแบบใดรูปแบบหนึ่ง ความสามารถของ Mythos Preview ถูกอธิบายว่า “เหนือกว่าผู้เชี่ยวชาญมนุษย์เกือบทั้งหมด” และได้ค้นพบช่องโหว่ที่มีอายุยาวนานถึง 27 ปีด้วยตนเอง
หากเกิดการรั่วไหลของน้ำหนักโมเดลจากบุคลากรภายใน ระบบของพันธมิตรถูกบุกรุก หรือผู้โจมตีฝึกโมเดลที่มีความสามารถคล้ายกันได้อย่างอิสระ (ซึ่งอาจ “ไม่นานนัก”) กลยุทธ์การกักเก็บในปัจจุบันจะล้มเหลวในทันที Anthropic พยายามรับรองนักวิจัยความปลอดภัยที่ถูกกฎหมายผ่าน “โปรแกรมการตรวจสอบเครือข่าย” แต่สิ่งนี้ไม่สามารถหยุดผู้ประพฤติมิชอบได้
ดังนั้น ในความเป็นจริงที่วัฒนธรรมโอเพ่นซอร์สเฟื่องฟู บุคลากรเคลื่อนย้ายได้อย่างอิสระ และความสามารถ AI ถูกทำให้เป็นสินค้าโภคภัณฑ์อย่างรวดเร็ว กลยุทธ์ “การกักเก็บฝ่ายเดียว” มีแนวโน้มสูงที่จะเพียงแค่ถ่วงเวลาเท่านั้น การอภิปรายในปัจจุบันขาดการพิจารณามาตรการยับยั้งที่รุนแรงกว่า เช่น การบังคับใช้กฎระเบียบโดยรัฐบาล การฝากน้ำหนักโมเดลในสภาพแวดล้อมการปฏิบัติที่เชื่อถือได้ หรือการจัดทำสนธิสัญญาต่อต้านการแพร่กระจายระหว่างประเทศ หากเกิดการแพร่กระจายของความ能力 ผลที่ตามมาจะร้ายแรงกว่าอาชญากรรมไซเบอร์ที่มีอยู่ในปัจจุบันมาก – ผู้โจมตีสามารถขุดค้นและใช้ประโยชน์จากช่องโหว่ Zero-Day แบบอัตโนมัติและในวงกว้าง ด้วยความเร็วที่เกินกว่าความสามารถในการตอบสนองของผู้ป้องกันที่เป็นมนุษย์ จากมุมมองนี้ Project Glasswing เหมือนกับการฝึกซ้อมเพื่อให้ฝ่ายป้องกันได้เวลาพัก缓冲 มากกว่าเป็นทางออกสุดท้ายที่จะแก้ปัญหาการแพร่กระจายที่ไม่อาจย้อนกลับได้ของความสามารถการโจมตีเครือข่าย AI โดยพื้นฐาน Anthropic เองก็ยอมรับว่า: “ไม่มีองค์กรใดสามารถแก้ไขปัญหาเหล่านี้ได้โดยลำพัง” แต่ด้วยแผนการในปัจจุบันเท่านั้น ยังห่างไกลจากมาตรการยับยั้งความเสี่ยงที่แท้จริงอย่างมาก
1. บทนำ
วันนี้เราได้ประกาศเปิดตัวโครงการ Glasswing อย่างเป็นทางการ ซึ่งเป็นโครงการริเริ่มใหม่ที่รวบรวมบริษัทและองค์กรเทคโนโลยีชั้นนำหลายแห่ง เพื่อร่วมกันปกป้องความปลอดภัยของซอฟต์แวร์สำคัญระดับโลก
โครงการนี้ตั้งชื่อตามผีเสื้อ Glasswing (ชื่อวิทยาศาสตร์: Greta oto) การอุปมาอุปไมยนี้มีความหมายสองชั้น: ปีกโปร่งใสของผีเสื้อทำให้มันสามารถซ่อนตัวในสิ่งแวดล้อมได้ เหมือนกับช่องโหว่ที่ซ่อนอยู่ในซอฟต์แวร์; ปีกโปร่งใสยังช่วยให้มันหลีกเลี่ยงอันตรายได้ เป็นสัญลักษณ์ของแนวคิดการดำเนินการโปร่งใสที่เราเป็นผู้สนับสนุน
เราเริ่มโครงการ Glasswing เนื่องจากความสามารถที่แสดงออกโดยโมเดลล้ำสมัยใหม่ล่าสุดที่ Anthropic ฝึกฝน ซึ่งเราคิดว่าความสามารถนี้อาจปรับเปลี่ยนภูมิทัศน์ความปลอดภัยไซเบอร์ Claude Mythos Preview เป็นโมเดลล้ำสมัยอเนกประสงค์ที่ยังไม่ได้เปิดตัวอย่างเป็นทางการ ซึ่ง เปิดเผยความจริงที่ไม่อาจหลีกเลี่ยงได้: ความสามารถด้านโค้ดของโมเดลปัญญาประดิษฐ์ได้ถึงระดับใหม่แล้ว ในการค้นพบและใช้ประโยชน์จากช่องโหว่ซอฟต์แวร์ ประสิทธิภาพของมันยิ่งเหนือกว่าผู้เชี่ยวชาญมนุษย์ระดับแนวหน้าส่วนใหญ่เสียอีก
Mythos Preview ได้ขุดค้นพบช่องโหว่ระดับสูงหลายพันรายการ ครอบคลุมระบบปฏิบัติการและเว็บเบราว์เซอร์หลักทั้งหมด เมื่อพิจารณาถึงความเร็วในการพัฒนาของเทคโนโลยีปัญญาประดิษฐ์ ความสามารถประเภทนี้จะแพร่หลายอย่างรวดเร็ว และอาจตกไปอยู่ในมือขององค์กรที่ไม่ได้ยึดถือแนวคิดการปรับใช้ที่ปลอดภัย หากสถานการณ์นี้เกิดขึ้น ผลที่ตามมาต่อเศรษฐกิจโลก ความปลอดภัยสาธารณะ และความมั่นคงแห่งชาติจะไม่อาจจินตนาการได้ โครงการ Glasswing เป็นการดำเนินการเร่งด่วน โดยมีเป้าหมายเพื่อนำความสามารถอันทรงพลังนี้ไปใช้ในด้านการป้องกันเครือข่ายเป็นลำดับแรก
ในฐานะส่วนหนึ่งของโครงการ Glasswing พันธมิตรรุ่นแรกจะนำ Mythos Preview ไปใช้ในการทำงานด้านความปลอดภัยเชิงป้องกันของตนเอง; Anthropic จะแบ่งปันผลการวิจัยเพื่อประโยชน์ของอุตสาหกรรมทั้งหมด เรายังได้เปิดสิทธิ์การใช้โมเดลให้กับองค์กร
⚠️ หมายเหตุ: เนื้อหาได้รับการแปลโดย AI และตรวจสอบโดยมนุษย์ หากมีข้อผิดพลาดโปรดแจ้ง
☕ สนับสนุนค่ากาแฟทีมงาน
หากคุณชอบบทความนี้ สามารถสนับสนุนเราได้ผ่าน PromptPay
本文来自网络搜集,不代表คลื่นสร้างอนาคต立场,如有侵权,联系删除。转载请注明出处:https://www.itsolotime.com/th/archives/29104