เคอร์เนลระบบปฏิบัติการที่ปลอดภัยที่สุดในโลก ถูก AI โจมตีจนแตกในเวลาเพียง 4 ชั่วโมง
ครั้งนี้ Claude สามารถดำเนินการโจมตีอัตโนมัติเต็มรูปแบบแบบฉบับตำราเรียน ซึ่งเพียงพอที่จะทำให้เซิร์ฟเวอร์ระดับโลกหยุดทำงานได้ โดยไม่มีการแทรกแซงจากมนุษย์เลย
มันสร้างโปรแกรมเอ็กซ์พลอยต์ที่ใช้งานได้สมบูรณ์สองโปรแกรมตั้งแต่เริ่มต้น ซึ่งสามารถรับสิทธิ์ผู้ใช้ระดับสูงสุด (root shell) โดยตรงบนเซิร์ฟเวอร์ที่ยังไม่ได้ติดตั้งแพตช์
หนึ่งในระบบปฏิบัติการที่ปลอดภัยที่สุดในโลก ก็ถูก AI โจมตีจนแตกได้ด้วยตัวเองแบบนี้
นี่คือช่วงเวลาที่ก้าวข้ามขีดจำกัด เป็นจุดเปลี่ยนสำคัญ
นี่เป็นหลักฐานชัดเจนชิ้นแรกที่แสดงว่า AI สามารถสร้างความสามารถในการโจมตีที่ในอดีตมีเพียงโครงการระดับชาติเท่านั้นที่ทำได้ ส่งผลให้แวดวงความปลอดภัยซอฟต์แวร์สั่นสะเทือน
มันกำลังเปลี่ยนจากเครื่องมือช่วยเหลือนักวิจัยความปลอดภัยมนุษย์ ไปเป็นตัวดำเนินการอัตโนมัติที่สามารถปฏิบัติการโจมตีที่ซับซ้อนได้
จากนี้ไป AI ได้ข้ามแม่น้ำรูบิคอนอย่างสมบูรณ์แล้ว!
ที่น่ากลัวคือ เอเจนต์อัจฉริยะที่ทำงานอัตโนมัติสมบูรณ์แบบนี้ มีความเป็นไปได้สูงที่จะก่อให้เกิดสงครามสายฟ้าแลบรูปแบบใหม่ สงครามขั้นสุดบนโลกไซเบอร์
กฎระเบียบความปลอดภัยในปัจจุบัน ถูกออกแบบมาเพื่อรับมือกับความเร็วของมนุษย์เท่านั้น มันไม่เพียงพอที่จะรับมือกับภัยคุกคามจาก AI เลย
เวลาล่า: เมื่อ AI ข้ามแม่น้ำรูบิคอน
49 ปีก่อนคริสตกาล จูเลียส ซีซาร์นำกองทัพข้ามแม่น้ำรูบิคอน ซึ่งหมายถึงการตัดสินใจเด็ดขาด ไม่มีทางกลับ อดีตได้หักเหไปในทิศทางที่ไม่อาจย้อนกลับ
การข้ามแม่น้ำรูบิคอน หมายถึงการไม่มีทางกลับ
เมื่อไม่นานมานี้ FreeBSD ได้ออกประกาศความปลอดภัยที่ดูเรียบง่าย (CVE-2026-4747) ซึ่งชี้ให้เห็นช่องโหว่การดำเนินการโค้ดระยะไกลในเคอร์เนล
แต่ในส่วนคำขอบคุณ ปรากฏชื่อที่ทำให้ทุกคนขนลุก: 「Nicholas Carlini ใช้ Claude ค้นพบ」
เบื้องหลังข้อความสั้นๆ นี้ ซ่อนความจริงที่น่าสะพรึงกลัว: AI ได้วิวัฒนาการกลายเป็นทหารหน่วยรบพิเศษที่สามารถปฏิบัติภารกิจ “ลอบสังหาร” ในด้านความปลอดภัยได้อย่างอิสระ
จากนี้ไป ความปลอดภัยทางไซเบอร์ได้ลดระดับจาก「เกมแห่งปัญญามนุษย์」 กลายเป็น「สงครามสิ้นเปลืองโทเค็น」
ทำไมการที่ FreeBSD ถูกโจมตีจนแตกถึงน่าตกใจขนาดนี้
เหตุการณ์นี้น่ากลัวเพราะ FreeBSD ไม่ใช่ซอฟต์แวร์ระดับผู้บริโภคทั่วไป มันไม่ใช่ Windows ไม่ใช่ macOS แต่มันคือกระดูกสันหลังที่ค้ำจุนโครงสร้างพื้นฐานดิจิทัลของโลก
เครือข่ายกระจายเนื้อหาของ Netflix ระบบปฏิบัติการของ PlayStation โครงสร้างพื้นฐานของ WhatsApp แม้แต่เราเตอร์หลัก อุปกรณ์จัดเก็บข้อมูล ไฟร์วอลล์นับไม่ถ้วน ล้วนสร้างขึ้นบน FreeBSD
ตลอดหลายทศวรรษที่ผ่านมา FreeBSD ได้รับความไว้วางใจเพราะฐานโค้ดของมันมีความ成熟มาก ผ่านการตรวจสอบและเสริมความแข็งแกร่งโดยวิศวกรความปลอดภัยระดับสูงนับไม่ถ้วน
ก่อนหน้านี้ มัน一直被มองว่า「แข็งแกร่งดั่งหินผา」
อย่างไรก็ตาม ระบบที่ถูกตีกรุ้นมาอย่างหนักเช่นนี้ ถูก AI โจมตีจนแตกในเวลาเพียง 4 ชั่วโมง
เพียงแค่มีรายงานช่องโหว่หนึ่งฉบับ AI ก็สร้างสายโซ่การโจมตีที่สมบูรณ์ ยึดเธรดเคอร์เนล เขียน shellcode ลงในแพ็กเก็ตเครือข่ายหลายแพ็กเก็ต และสร้าง root shell ขึ้นมาในพื้นที่ผู้ใช้
นี่ไม่ใช่บั๊กเล็กน้อย หินแข็งก้อนนี้ที่แม้แต่มนุษย์ผู้เชี่ยวชาญยังกัดแทะได้ยาก กลับถูก Claude แก้ไขได้อย่างรวดเร็ว
ในเวลา 4 ชั่วโมง AI ได้แสดงความสามารถในการใช้เหตุผลเชิงตรรกะที่น่าหวาดหวั่น มันแก้ไขปัญหาทางเทคนิคระดับโลกหกข้อได้ด้วยตัวเอง:
- การกำหนดค่าสภาพแวดล้อม: สร้างสภาพแวดล้อมทดสอบที่อ่อนแอต่อการโจมตีด้วยตัวเอง
- กลยุทธ์หลายแพ็กเก็ต: ออกแบบแผนการแพ็กเก็ตข้อมูลที่ซับซ้อน เพื่อหลีกเลี่ยงข้อจำกัดความจุของแพ็กเก็ตเดียว
- การยึดเธรดเคอร์เนล: เข้าควบคุมเคอร์เนลอย่างแม่นยำดั่งการผ่าตัด
- การโจมตีแบบไม่ทำลาย: มันสามารถหยุดเธรดที่ถูกยึดได้อย่างสะอาด ทำให้เซิร์ฟเวอร์สามารถทำงานได้ตามปกติหลังถูกโจมตี เพื่อหลีกเลี่ยงไม่ให้ผู้ดูแลระบบพบเห็นจากการล่มของระบบ
- การกระโดดข้ามพื้นที่: สร้างโพรเซสจากคอนเท็กซ์เคอร์เนลชั้นลึก และกระโดดไปยังพื้นที่ผู้ใช้ได้สำเร็จ
- การได้รับสิทธิ์: ได้รับสิทธิ์ระดับสูงสุด Root โดยตรง
ที่เหน็บแนมยิ่งกว่านั้น AI ยังเขียนโปรแกรมเอ็กซ์พลอยต์สองเวอร์ชันที่แตกต่างกันไปพร้อมกันอีกด้วย
โปรแกรมเอ็กซ์พลอยต์สองโปรแกรมนี้ อันหนึ่งคือ Reverse Shell ที่เชื่อมต่อตรงผ่านพอร์ต 4444 อีกอันคือการเขียนคีย์สาธารณะลงในไฟล์ authorized_keys
การรันครั้งแรกก็ได้รับ uid=0(root) โดยตรง — สิทธิ์ระดับสูงสุด
นั่นหมายความว่า Claude ใช้เพียงประกาศ CVE ที่เปิดเผยสาธารณะ ก็เขียนสายโซ่การโจมตีระยะไกลเคอร์เนล FreeBSD ที่สมบูรณ์ได้ด้วยตัวเองในเวลา 4 ชั่วโมง
ความสามารถระดับชาติ ตอนนี้ใช้เงินเพียงไม่กี่ร้อยดอลลาร์
ในโลกของความปลอดภัยไซเบอร์ การพัฒนา zero-day vulnerability ระดับเคอร์เนล เคยเป็น “งานศิลปะ” ที่มีเพียง NSA ของสหรัฐอเมริกาหรือทีมแฮ็กเกอร์ระดับสูงสุดเท่านั้นที่ทำได้
โปรแกรมเหล่านี้เป็นทรัพย์สินเชิงกลยุทธ์ที่หายากและมีราคาแพง มักต้องใช้ผู้เชี่ยวชาญระดับสูงหลายคน打磨เป็นเวลาหลายสัปดาห์หรือหลายเดือน ด้วยต้นทุนสูงถึงหลายล้านดอลลาร์
แต่ตอนนี้ AI ได้ทำให้สิ่งเหล่านี้ “เป็นอุตสาหกรรม”
นักวิจัยอิสระหนึ่งคน ร่วมกับโมเดลภาษาขนาดใหญ่ล้ำสมัยหนึ่งตัว ใช้เวลา 4 ชั่วโมง ค่าใช้จ่ายด้านพลังคำนวณไม่กี่ร้อยดอลลาร์ ก็ทำความสามารถในการโจมตีที่ในอดีตมีเพียง “ทีมระดับชาติ” เท่านั้นที่ทำได้สำเร็จ
บทเรียนจาก FreeBSD ครั้งนี้ คือคำขาดสุดท้ายให้กับบริษัทเทคโนโลยียักษ์ใหญ่ ผู้ให้บริการคลาวด์ และผู้รับผิดชอบด้านความปลอดภัยทั่วโลก
นอกจากต้องติดตั้งระบบอัจฉริยะที่สามารถตรวจสอบและสกัดกั้นการโจมตีอัตโนมัติของ AI ได้แบบเรียลไทม์แล้ว ยังต้องลดเวลาการติดตั้งแพตช์จากเดือนให้เหลือเพียงชั่วโมง
จะปล่อยให้ล่าช้าด้วยความเร็วของมนุษย์อีกไม่ได้แล้ว!
การผงาดขึ้นของแฮ็กเกอร์ AI: ความสามารถในการโจมตีทางไซเบอร์เพิ่มเป็นสองเท่าทุก 5.7 เดือน
เมื่อไม่นานมานี้ การศึกษาหนึ่งให้ผู้เชี่ยวชาญความปลอดภัยจริง 10 คน ใช้เวลา 149 ชั่วโมง ทดสอบงาน 291 งานภายใต้เกณฑ์มาตรฐานโอเพ่นซอร์ส 7 รายการและระบบใหม่สำหรับประเมินเวลาที่ผู้เชี่ยวชาญใช้ งานมีตั้งแต่คำสั่งเล็กๆ 28 วินาที ไปจนถึงการเอ็กซ์พลอยต์ CVE ที่ซับซ้อน 36 ชั่วโมง
การศึกษานี้ติดป้ายแต่ละงานว่า “ผู้เชี่ยวชาญมนุษย์ที่มีความชำนาญปกติจะใช้เวลานานแค่ไหนในการทำเสร็จ” จากนั้นสังเกตอัตราความสำเร็จของโมเดลในระดับความยากที่ต่างกัน เมื่ออัตราความสำเร็จผ่าน 50% เวลาของมนุษย์ที่สอดคล้องกันนั้น คือขอบเขตเวลา P50 (P50 time horizon) ของ AI
ในด้านความปลอดภัยไซเบอร์ ผลลัพธ์ครั้งนี้ค่อนข้างน่าตกใจ:
ตั้งแต่ปี 2019 วงจรการเพิ่มเป็นสองเท่าโดยรวมคือ 9.8 เดือน แต่หลังจากปี 2024 กลับชันขึ้นเป็นสองเท่าทุก 5.7 เดือนโดยตรง!
ความสามารถของ AI ก่อนปี 2023 ใกล้เคียงศูนย์ เริ่มเพิ่มขึ้นในปี 2024 และเพิ่มขึ้นอย่างรวดเร็วหลังจากปลายปี 2025
นี่ยังยืนยันข้อสังเกตของ Irregular เมื่อปีที่แล้ว: ในช่วง 18 เดือนที่ผ่านมา ประสิทธิภาพของโมเดลในงานระดับง่ายและปานกลางยังคงเพิ่มขึ้นอย่างต่อเนื่องและมั่นคง
ในงานระดับยาก (hard) AI ก้าวหน้ายิ่งขึ้นชัดเจน: ก่อนกลางปี 2025 โมเดลแทบไม่ได้คะแนนเลย (ใกล้ศูนย์) แต่เมื่อถึงปลายฤดูใบไม้ร่วง (late fall) อัตราความสำเร็จเพิ่มขึ้นอย่างรวดเร็วถึงประมาณ 60%
GPT-5.3 Codex และ Opus 4.6 ด้วยงบประมาณโทเค็น 2M ล้านตัว ก็ทำภารกิจที่ผู้เชี่ยวชาญมนุษย์ต้องใช้เวลา 3 ชั่วโมงให้สำเร็จด้วยอัตราความสำเร็จ 50%
หากเพิ่มงบประมาณโทเค็นเป็น 10M ล้านตัว ขอบเขตเวลา P50 จะพุ่งสูงขึ้นถึง 10.5 ชั่วโมงโดยตรง (ช่วงความเชื่อมั่น 2.4-63.5 ชั่วโมง)!
การตั้งค่าโทเค็น 2M ล้านตัว ประเมินความสามารถจริงของโมเดลต่ำเกินไปอย่างร้ายแรง หลังปี 2025 โมเดลในช่วง 1M-2M ล้านโทเค็น P50 เพิ่มขึ้น 1.3-1.9 เท่า!
ที่น่าประหลาดใจยิ่งกว่านั้น นี่เป็นเพียงขีดจำกัดล่างของความสามารถของโมเดลระดับสูงสุดในปีนี้ ความสามารถในโลกจริงของมันยังถูกประเมินต่ำไปอีก
การคาดการณ์แสดงให้เห็นว่า ภายในสิ้นปี 2026 AI จะสามารถทำงานโจมตีระดับผู้เชี่ยวชาญที่ใช้เวลามากกว่า 10 ชั่วโมงให้เสร็จอย่างมั่นคงได้ คลุมงานประจำวัน 80% ของตลาดแรงงานด้านความปลอดภัยไซเบอร์
แล้วปี 2027 ล่ะ? 40 ชั่วโมง? หนึ่งสัปดาห์?
ในขณะที่ทีมความปลอดภัยขององค์กรยังคงประชุมรายไตรมาสเพื่อหารือเกี่ยวกับแพตช์ AI ก็รันสายโซ่การโจมตีทั้งหมดเสร็จในยามค่ำคืนแล้ว ในขณะที่โปรแกรมเมอร์ ผู้ตรวจสอบ นักวิเคราะห์ยังคงพิมพ์แป้นพิมพ์อยู่ AI ก็ได้ทิ้ง “เวลามนุษย์” ของพวกเขาไว้ข้างหลังนานแล้ว
หน้าต่างการป้องกันถูกบีบอัดจนเหลือ “เกือบศูนย์”
แวดวงความปลอดภัยไซเบอร์กำลังจะถูกพลิกโฉมอย่างสิ้นเชิง — ไม่ใช่ถูก “ช่วยเหลือ” แต่ถูกแทนที่
AI พัฒนาแบบทวีคูณ! จุดเอกฐานใกล้เข้ามา อีกหนึ่งหลักฐานยืนยัน
AI กำลังเร่งความเร็ว กำลังก้าวหน้าอย่างทวีคูณ
สถาบันวิจัยความปลอดภัย AI ของออสเตรเลีย Lyptus เป็นครั้งแรกที่นำวิธีการ “ขอบเขตเวลา” ของ METR มาใช้ในด้านความปลอดภัยไซเบอร์เชิงรุก
ข้อสรุปของมันคล้ายกับ METR: ความสามารถของ AI กำลังเติบโตแบบทวีคูณ
ตามรายงานของ Lyptus ความสามารถของโมเดล AI เพิ่มขึ้นเป็นสองเท่าประมาณทุก 5.7 เดือน โมเดลล้ำสมัยในภารกิจที่ผู้เชี่ยวชาญมนุษย์โดยเฉลี่ยต้องใช้เวลา 10.5 ชั่วโมงจึงจะทำเสร็จ ได้ถึงอัตราความสำเร็จ 50% แล้ว
(รายงานฉบับเต็ม: https://lyptusresearch.org/research/offensive-cyber-time-horizons)
ไม่นานหลังจากรายงาน “เพิ่มเป็นสองเท่าทุก 5.7 เดือน” ถูกเผยแพร่ การกระทำจริงของ Claude ยืนยันแนวโน้มนี้เพิ่มเติม และวันก่อนหน้า MIT FutureTech เผยแพร่บทความใหม่ที่ทำนายอย่างกล้าหาญยิ่งกว่า:
⚠️ หมายเหตุ: เนื้อหาได้รับการแปลโดย AI และตรวจสอบโดยมนุษย์ หากมีข้อผิดพลาดโปรดแจ้ง
☕ สนับสนุนค่ากาแฟทีมงาน
หากคุณชอบบทความนี้ สามารถสนับสนุนเราได้ผ่าน PromptPay
本文来自网络搜集,不代表คลื่นสร้างอนาคต立场,如有侵权,联系删除。转载请注明出处:https://www.itsolotime.com/th/archives/29225