AI นักล่าช่องโหว่สุดโหด 30 วันเจอ 10,000 จุดรั่ว สกัดกั้นแก๊งคอลเซ็นเตอร์ 1.5 ล้านครั้ง! โปรแกรมเมอร์มนุษย์ร้องขอชีวิต: ซ่อมไม่ทันแล้ว

**รายงานจาก XinZhiYuan

【บทนำจาก XinZhiYuan】โครงการ Glasswing ของบริษัท A เปิดฉากด้วยชัยชนะครั้งแรก Mythos ขุดพบช่องโหว่ร้ายแรง 10,000 จุดภายใน 30 วัน และสกัดกั้นการหลอกลวงทางอิเล็กทรอนิกส์มูลค่า 1.5 ล้านดอลลาร์สหรัฐ! ท่ามกลางรายงานที่ถาโถมเข้ามา โปรแกรมเมอร์มนุษย์ถึงกับยอมแพ้และอ้อนวอน: “หยุดขุดเถอะ ซ่อมไม่ทันแล้ว!”

เมื่อสักครู่ที่ผ่านมา Anthropic ได้เผยแพร่ข่าวที่สร้างความสั่นสะเทือนให้กับวงการเทคโนโลยีและความปลอดภัยทั่วโลก

รายงานผลเดือนแรกของ “โครงการ Glasswing” ได้รับการเปิดเผยอย่างเป็นทางการแล้ว!

ในปฏิบัติการลับนี้ Anthropic ได้ใช้โมเดล AI ขนาดใหญ่ระดับแนวหน้ารุ่นถัดไปเป็นครั้งแรก นั่นคือ Claude Mythos Preview

ภายในเวลาเพียง 30 วัน มันได้ร่วมมือกับยักษ์ใหญ่ด้านเครือข่ายและผู้พัฒนาซอฟต์แวร์โครงสร้างพื้นฐานที่สำคัญทั่วโลกประมาณ 50 ราย ขุดพบช่องโหว่ซอฟต์แวร์ระดับสูงหรือร้ายแรงมากกว่า 10,000 จุด!

ที่น่าตกใจยิ่งกว่านั้นคือ มันไม่เพียงแต่หาช่องโหว่ได้เท่านั้น แต่ยังสามารถสร้างห่วงโซ่การโจมตีแบบ “end-to-end” โดยอัตโนมัติ

และในธุรกิจจริงของธนาคารพันธมิตรแห่งหนึ่ง มันยังสามารถสกัดกั้นการหลอกลวงทางอิเล็กทรอนิกส์มูลค่า 1.5 ล้านดอลลาร์สหรัฐได้สำเร็จ!

ชั่วขณะหนึ่ง วงการความปลอดภัยทั้งหมดสั่นสะเทือนอย่างหนัก

มีผู้เชี่ยวชาญด้านความปลอดภัยถึงกับร้องอย่างสิ้นหวังบน X: “โครงสร้างพื้นฐานของอินเทอร์เน็ตถูก AI พลิกคว่ำจนหมด… เราอาจจะจบจริงๆ!”

30 วันอันบ้าคลั่ง: ยักษ์ใหญ่ด้านเทคโนโลยีทั่วโลกสัมผัสประสบการณ์จริง Mythos น่ากลัวแค่ไหน

ในเดือนเมษายน 2026 Anthropic ได้เปิดตัว Project Glasswing อย่างลับๆ ชื่อนี้สื่อถึงความหวังที่จะทำให้ซอฟต์แวร์แบบปิดและโอเพนซอร์สที่สำคัญที่สุดในโลกมีความโปร่งใสและปลอดภัย

กลุ่มแรกที่เข้าร่วมโครงการนี้คือผู้พัฒนาซอฟต์แวร์โครงสร้างพื้นฐานที่สำคัญประมาณ 50 ราย

เมื่อพวกเขาได้รับสิทธิ์ทดสอบ Claude Mythos Preview ภายในเวลาเพียงหนึ่งเดือน มุมมองของทั้งอุตสาหกรรมก็ถูกสั่นคลอน

มาดูรายงานผลที่สะดุดตานี้กันเถอะ—

Cloudflare รายงานว่า ในระบบเส้นทางหลักที่สำคัญอย่างยิ่ง Mythos ขุดพบช่องโหว่ถึง 2,000 จุด! ในจำนวนนี้ 400 จุดเป็นระดับสูงหรือร้ายแรง

ที่เหลือเชื่อยิ่งกว่านั้นคือ ทีมความปลอดภัยของ Cloudflare อุทานว่า อัตราการแจ้งเตือนที่ผิดพลาดของ AI นี้ยังต่ำกว่าผู้ทดสอบความปลอดภัยระดับสูงของมนุษย์เสียอีก

ในการทดสอบ Firefox 150 เวอร์ชันล่าสุดของ Mozilla Mythos ซ่อมแซมช่องโหว่ระดับสูงได้ 271 จุด

ตัวเลขนี้มากกว่า 10 เท่าของจำนวนช่องโหว่ที่พบใน Firefox 148 เวอร์ชันก่อนหน้านี้โดยใช้ Opus 4.6!

ผลงานที่ OpenBSD รายงานนั้นน่าขนลุก: Mythos ขุดพบข้อบกพร่องเก่าแก่ที่ซ่อนอยู่ในโค้ดเบสของ OpenBSD มานานถึง 27 ปี!

และโมเดลไม่จำเป็นต้องให้มนุษย์เข้ามาเกี่ยวข้องด้วยซ้ำ มันสร้างห่วงโซ่การใช้ประโยชน์จากช่องโหว่ได้อย่างสมบูรณ์ด้วยตัวเอง

สถาบันวิจัยความปลอดภัย AI ของอังกฤษได้ให้การรับรองอย่างเป็นทางการ พวกเขายืนยันว่า Mythos Preview เป็นโมเดล AI ตัวแรกของโลกที่สามารถเอาชนะระบบสนามทดสอบเครือข่ายคู่ที่พวกเขาตั้งไว้ได้อย่างสมบูรณ์แบบ end-to-end

Mythos ยังแสดงพลังในการป้องกันเชิงปฏิบัติอีกด้วย

ในธนาคารพันธมิตรแห่งหนึ่ง กลุ่มแฮกเกอร์สามารถบุกรุกอีเมลของลูกค้าได้สำเร็จ และใช้เทคโนโลยีโคลนเสียง AI เพื่อโทรศัพท์หลอกลวง

ในวินาทีที่เงินโอนมูลค่าสูงถึง 1.5 ล้านดอลลาร์สหรัฐกำลังจะถูกโอนออกไป โมเดล Mythos ได้วิเคราะห์ห่วงโซ่พฤติกรรมที่ผิดปกติแบบเรียลไทม์ ระบุกลลวงได้ทันทีและบังคับให้ระงับการทำธุรกรรม!

“พวกเราผู้เชี่ยวชาญด้านความปลอดภัยที่เป็นมนุษย์ ดูเหมือนมนุษย์ถ้ำที่ถือหอก มองเครื่องบินรบ F-22 บินผ่านหัวไป” นักวิจัยด้านความปลอดภัยที่เข้าร่วมการทดสอบภายในคนหนึ่งกล่าวบน X

**

**

อุปกรณ์หลายพันล้านชิ้นที่ไร้การป้องกันทั่วโลก ได้รับการช่วยเหลือโดย Mythos!

อย่างไรก็ตาม Mythos ยังก่อให้เกิดวิกฤตด้านกำลังการผลิตอีกด้วย

ในอดีต อุปสรรคหลักของวงการความปลอดภัยทางไซเบอร์คือการค้นหาช่องโหว่ การหาช่องโหว่ Zero-day ระดับสูง แฮกเกอร์หมวกขาวระดับแนวหน้าอาจต้องใช้เวลาหลายสัปดาห์หรือหลายเดือน

แต่ตอนนี้ Claude Mythos ได้ลดต้นทุนและเวลาในการค้นหาช่องโหว่ลงจน “เข้าใกล้ศูนย์อย่างไม่มีที่สิ้นสุด”

Anthropic ใช้มันสแกนโปรเจกต์โอเพนซอร์สหลักมากกว่า 1,000 โปรเจกต์ที่รองรับการทำงานของอินเทอร์เน็ต ผลลัพธ์ที่ได้ทำให้ขนลุก—

พบช่องโหว่ทั้งหมด 23,019 จุด รวมถึงช่องโหว่ระดับสูงหรือร้ายแรง 6,202 จุดที่ประเมินโดย Mythos!

เพื่อให้แน่ใจว่า AI ไม่ได้ “พูดเพ้อเจ้อ” Anthropic ได้ร่วมมือกับบริษัทวิจัยด้านความปลอดภัยอิสระระดับโลก 6 แห่งเพื่อตรวจสอบซ้ำด้วยมนุษย์

ผลลัพธ์พิสูจน์ว่า: ความแม่นยำของ True Positive (ช่องโหว่มีอยู่จริง) ของ AI สูงถึง 90.6%! ในที่สุดก็ยืนยันว่ามี 1,094 จุดที่เป็นช่องโหว่ระดับสูงหรือร้ายแรงที่แน่ชัด

แดชบอร์ดช่องโหว่โอเพนซอร์ส แสดงช่องโหว่ทุกระดับความรุนแรง

ที่นี่ต้องพูดถึงกรณีตัวอย่างที่ชัดเจนมาก—wolfSSL

wolfSSL เป็นไลบรารีการเข้ารหัสโอเพนซอร์สที่มีชื่อเสียงมาก อุปกรณ์หลายพันล้านชิ้นทั่วโลก (รวมถึงอุปกรณ์ IoT, เราเตอร์, รถยนต์อัจฉริยะ ฯลฯ) ใช้มัน

อย่างไรก็ตาม ต่อหน้า Mythos แนวป้องกันของ wolfSSL นั้นไร้ความหมาย Mythos ไม่เพียงแต่พบช่องโหว่เชิงตรรกะที่ซ่อนเร้นมากเท่านั้น มันยังเขียนชุดโค้ดโจมตีขึ้นมาเอง!

การใช้ชุดโค้ดนี้ แฮกเกอร์สามารถปลอมแปลงใบรับรองดิจิทัล สร้างหน้าเว็บไซต์ธนาคารหรือหน้าเข้าสู่ระบบอีเมลที่เหมือนจริงมาก โดยไม่มีร่องรอยใดๆ

หากช่องโหว่นี้ไม่ถูกค้นพบและส่งซ่อมแซมโดย Mythos ก่อน เมื่อถูกใช้โดยอาชญากรไซเบอร์ ผลที่ตามมาจะคาดไม่ถึง

อุปกรณ์หลายพันล้านชิ้นทั่วโลก จริงๆ แล้ววิ่งเปลือยกายอยู่บนขอบอันตรายตลอดเวลา ครั้งนี้ Mythos ดึงพวกมันกลับมา

**

**

พลิกกลับครั้งยิ่งใหญ่: การหาบั๊กไม่ใช่อุปสรรคอีกต่อไป การซ่อมบั๊กต่างหาก!

เมื่อ Project Glasswing ดำเนินไป ปรากฏการณ์ประหลาดที่ไม่เคยเกิดขึ้นในประวัติศาสตร์ความปลอดภัยทางไซเบอร์ก็ถือกำเนิดขึ้น

“อุปสรรคของความปลอดภัยทางไซเบอร์ไม่ใช่การค้นหาช่องโหว่อีกต่อไป อุปสรรคตอนนี้คือ: ความเร็วในการซ่อมแซมช่องโหว่ของมนุษย์ ตามไม่ทันความเร็วในการค้นหาช่องโหว่ของ AI”

สำหรับผู้ดูแลชุมชนโอเพนซอร์ส นี่คือฝันร้าย

รายงานช่องโหว่ของ Anthropic บินเหมือนเกล็ดหิมะไปยังชุมชนโอเพนซอร์สต่างๆ ผู้เขียนรับมือไม่ไหวแล้ว

“หยุดขุดเถอะ! ได้โปรดช้าลงหน่อย! เราซ่อมไม่ทันจริงๆ!”

ตามที่ Anthropic เปิดเผย เมื่อเร็วๆ นี้มีผู้ดูแลโอเพนซอร์สหลายคนส่งอีเมล “อ้อนวอน” ขอให้พวกเขาชะลอจังหวะการเปิดเผยช่องโหว่ เพราะกำลังคนไม่เพียงพออย่างรุนแรง

แม้จะได้รับรายงานโดยละเอียด โปรแกรมเมอร์มนุษย์โดยเฉลี่ยยังคงใช้เวลาถึงสองสัปดาห์ในการซ่อมแซมช่องโหว่ระดับสูงหนึ่งจุด

ปัจจุบัน จากช่องโหว่ 1,129 จุดที่ Anthropic ส่งให้ผู้เขียนโอเพนซอร์ส มีเพียง 75 ช่องโหว่ระดับสูงเท่านั้นที่ถูกแพตช์สำเร็จ ระบบนิเวศความปลอดภัยปัจจุบันทำงานหนักเกินไป!

**

**

ใช้เวทมนตร์สู้เวทมนตร์: การป้องกันของ Anthropic

เมื่อมนุษย์ซ่อมไม่ไหวแล้ว ก็ต้องใช้เวทมนตร์สู้เวทมนตร์

Anthropic โยนแผน “ชุดเครื่องมือสำหรับผู้ป้องกัน” ออกมาอย่างเด็ดขาด

อันดับแรกคือการเปิดตัว Claude Security ที่重磅

นี่คือเครื่องมืออัตโนมัติที่ออกแบบมาโดยเฉพาะสำหรับลูกค้า Claude Enterprise เวอร์ชันองค์กร ตรรกะของมันคือ: ฉันไม่เพียงแต่ช่วยคุณหาช่องโหว่ในโค้ดเบสเท่านั้น ฉันยังเขียนแพตช์ซ่อมแซมให้คุณโดยตรง

ภายในเวลาเพียงสามสัปดาห์หลังจากเปิดตัว ลูกค้าองค์กรก็ใช้ Opus 4.7 ซ่อมแซมช่องโหว่กว่า 2,100 จุดด้วยความเร็วแสง!

ประการที่สองคือ “แผนการตรวจสอบเครือข่าย”

Anthropic เริ่มอนุญาตให้แฮกเกอร์หมวกขาวมืออาชีพ ผู้ทดสอบการเจาะระบบ และทีม Red-Blue ภายใต้เงื่อนไขที่ถูกกฎหมายและเป็นไปตามข้อกำหนด ปลด “ข้อจำกัดด้านความปลอดภัย” บางอย่างของโมเดล Claude เพื่อใช้ในการวิจัยช่องโหว่และการทดสอบสนามที่ถูกกฎหมาย

ที่น่าสนใจยิ่งกว่านั้นคือ Anthropic เปิดซอร์ส “สายการผลิตจับบั๊ก” โดยตรง

1. คำสั่งที่ปรับแต่งได้ (Skills): สอนวิธีให้ AI มีสมาธิ ทำการตรวจสอบโค้ดอย่างลึกซึ้ง

2. กรอบงานอัตโนมัติ (Harness): ระบบควบคุมที่ให้ Claude สำรวจโค้ดเบสขนาดใหญ่โดยอัตโนมัติ โคลนซับเอเจนต์เพื่อสแกนแบบขนาน จัดเรียงช่องโหว่โดยอัตโนมัติ และสร้างรายงาน

3. ตัวสร้างแบบจำลองภัยคุกคาม (Threat Model Builder): โยนโค้ดเข้าไป AI จะระบุ “จุดอ่อน” ที่ถูกโจมตีได้ง่ายที่สุดในระบบโดยอัตโนมัติ และจัดลำดับความสำคัญในการป้องกัน

ยักษ์ใหญ่เครือข่าย Cisco ก็ออกมาประกาศเปิดซอร์สระบบ “Foundry Security Spec” เพื่อสร้างแนวป้องกันการประเมินความปลอดภัยที่คล้ายกับ Mythos

จากนี้ไป จะเป็น AI ที่ค้นหาช่องโหว่ จากนั้นใช้ AI สร้างแพตช์ มนุษย์มีหน้าที่ตรวจสอบขั้นสุดท้ายเท่านั้น

นี่คือรูปแบบสูงสุดของความปลอดภัยทางไซเบอร์ในอนาคต

ดาบแห่ง Damocles: Mythos จะเปิดตัวต่อสาธารณะเมื่อใด?

แล้ว Claude Mythos จะเปิดตัวอย่างเป็นทางการเมื่อไหร่?

ท่าทีของ Anthropic ในตอนนี้ยังคงระมัดระวังอย่างมาก

พวกเขากล่าวว่า เมื่อสร้าง “รั้วกั้นความปลอดภัยที่แข็งแกร่งและระดับสูงขึ้น” โมเดลระดับ Mythos จะถูกผลักดันสู่การเปิดตัวต่อสาธารณะอย่างเต็มรูปแบบ!

ตอนนี้ยังไม่สามารถปล่อยออกมาได้ เพราะมันอันตรายเกินไป

ดังที่รายงานการทดสอบของ XBOW กล่าวไว้: Mythos Preview ประสบความสำเร็จในการ “นำหน้าโมเดลที่มีอยู่ทั้งหมดอย่างก้าวกระโดดข้ามรุ่น” ในการทดสอบมาตรฐานการใช้ประโยชน์จากช่องโหว่บนเว็บ และแสดงให้เห็นถึง “ความแม่นยำที่ไม่เคยมีมาก่อนอย่างแท้จริง” ในทุก Token ที่สร้างขึ้น

Anthropic ตระหนักดีว่า ปัจจุบันไม่มีองค์กรใดในโลกที่มีระบบป้องกันความปลอดภัยที่แข็งแกร่งพอที่จะรับประกันได้ 100% ว่าโมเดล Mythos จะไม่ถูกนำไปใช้ในทางที่ผิด

หากเปิด API ของ Mythos ให้สาธารณชนเข้าถึงได้ในวันนี้ พรุ่งนี้ องค์กรแฮกเกอร์ทั่วโลกและแม้แต่กองกำลังสุดโต่งบางกลุ่ม ก็จะสามารถผลิตเครื่องมือใช้ประโยชน์จากช่องโหว่ Zero-day ได้นับพันชนิดด้วยต้นทุนที่ต่ำมาก

เมื่อถึงเวลานั้น คอมพิวเตอร์ส่วนบุคคลของคนทั่วไป ระบบการแพทย์ของโรงพยาบาล และศูนย์ควบคุมโครงข่ายไฟฟ้า จะต้องเผชิญกับหายนะที่ไม่เคยเกิดขึ้นมาก่อน!

对此 Anthropic ได้เสนอคำแนะนำดังต่อไปนี้:

1. 缩短补丁周期！缩短补丁周期！缩短补丁周期！ 别再攒着一个月才发一次更新了。必须利用现有的 AI 工具（如 Opus 4.7），尽快将安全修复推送给用户。

2. 强制升级策略。 开发者必须让用户尽可能无脑地安装更新。对于那些死活不升级的用户，应采取强制断网措施。回归安全基本功。

3. 强化多因素认证（MFA）、加固默认配置、保留详尽的日志。

风暴前夕的平静

**

**

风暴前夕的平静

一个月内，超过50家巨头联手，发现10000多个致命漏洞，拦截了150万美元的电诈……这仅仅是 Claude Mythos Preview 小试牛刀的战绩。

如今，人类程序员正经历阵痛期——被 AI 报告淹没，被迫修补那些潜伏了二三十年的古老 bug。

但正如 Anthropic 所展望的那样——

「跨越这些风险之后，一个令人振奋的世界正在向我们招手：在那个世界里，人类重要的代码将被淬炼得比今天坚固百倍，而黑客攻击，将成为极其罕见的历史名词。」

让我们默默感谢那些不知疲倦地审查了数亿行代码的 AI。

很可能，它刚刚为你阻挡了一次致命的核爆。

参考资料：

https://x.com/AnthropicAI/status/20579091025425495