Mythos ของ Anthrophic: ผู้เชี่ยวชาญเตือนว่าภัยคุกคามทางไซเบอร์มาถึงแล้ว

ธนาคารยักษ์ใหญ่ด้านเทคโนโลยี และรัฐบาลทั่วโลกต่างถูกส่งตัวเข้ามาแย่งชิงความเสี่ยงเมื่อเดือนที่แล้วเพื่อควบคุมความเสี่ยงที่เกิดจาก Mythos ซึ่งเป็นโมเดล Anthropic ที่กล่าวกันว่าทรงพลังมากจนพบช่องโหว่ที่ไม่รู้จักมาก่อนหลายพันรายการในโครงสร้างพื้นฐานซอฟต์แวร์ของโลก

มีปัญหาอยู่ประการหนึ่งคือ ความสามารถที่พวกเขากังวลอยู่ที่นี่แล้ว

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์และนักวิจัยด้านปัญญาประดิษฐ์บอกกับ CNBC ว่าช่องโหว่ของซอฟต์แวร์ที่เปิดเผยโดย Mythos นั้นสามารถพบได้โดยใช้โมเดลที่มีอยู่ รวมถึงจาก Anthropic และ OpenAI

“สิ่งที่เราเห็นทั่วทั้งอุตสาหกรรมในขณะนี้ก็คือ ผู้คนสามารถสร้างช่องโหว่ที่พบใน Mythos ผ่านการจัดระเบียบอย่างชาญฉลาดของโมเดลสาธารณะ เพื่อให้ได้ผลลัพธ์ที่ใกล้เคียงกันมาก” เบน แฮร์ริส ซีอีโอของบริษัทรักษาความปลอดภัยทางไซเบอร์ watchTowr กล่าว

Mythos สร้างความปั่นป่วนให้กับผู้บริหารและผู้กำหนดนโยบายด้วยความกังวลว่าอาชญากรรมทางไซเบอร์ที่ใช้ AI ยุคใหม่ที่เต็มไปด้วยอันตรายอาจใกล้เข้ามาแล้ว Anthropic จำกัดการเผยแพร่ให้กับบริษัทอเมริกันบางแห่งซึ่งรวมถึง แอปเปิล, อเมซอน, เจพีมอร์แกน เชส และ พาโลอัลโตเน็ตเวิร์คส์ เพื่อลดความเสี่ยงที่ผู้ไม่ประสงค์ดีจะเข้ามาจัดการ

แม้จะมีข้อควรระวังดังกล่าว การเปิดเผยดังกล่าวยังกระตุ้นให้ฝ่ายบริหารของทรัมป์พิจารณาการกำกับดูแลของรัฐบาลชุดใหม่เกี่ยวกับโมเดลในอนาคต

นับเป็นการเปิดตัวครั้งล่าสุดที่โด่งดังจาก Anthropic ซึ่งทำให้การแข่งขันกับ OpenAI รุนแรงขึ้น ในขณะที่ AI ยักษ์ใหญ่ทั้งสองรายเข้าใกล้การเสนอขายหุ้นต่อสาธารณะครั้งแรกที่ทุกคนตั้งตารอคอย สัปดาห์หลังจากการมาถึงของ Mythos Sam Altman ซีอีโอของ OpenAI ได้ประกาศเปิดตัว GPT-5.5-Cyber ​​ซึ่งเป็นโมเดลที่ออกแบบมาเพื่อความปลอดภัยทางไซเบอร์โดยเฉพาะ

OpenAI ในวันพฤหัสบดีอนุญาตให้เข้าถึง GPT-5.5-Cyber ​​อย่างจำกัด เพื่อตรวจสอบทีมรักษาความปลอดภัยทางไซเบอร์

การเปิดตัวที่มีการควบคุมของ Mythos ซึ่งเป็นส่วนหนึ่งของมาตรการรักษาความปลอดภัยที่เรียกว่า Project Glasswing คือการให้เวลาโลกขององค์กรในการป้องกันทางไซเบอร์จากการโจมตีที่จะเกิดขึ้นจากกลุ่มอาชญากรและประเทศที่เป็นปรปักษ์

“อันตรายคือการเพิ่มขึ้นอย่างมหาศาลของจำนวนช่องโหว่ จำนวนการละเมิด และความเสียหายทางการเงินที่เกิดจากแรนซัมแวร์ในโรงเรียน โรงพยาบาล ไม่ต้องพูดถึงธนาคาร” Dario Amodei ซีอีโอ Anthropic กล่าวในสัปดาห์นี้ที่งาน Anthropic

แต่สำหรับผู้ที่ต่อสู้ในสนามเพลาะของสงครามไซเบอร์ ความสามารถหลักอย่างหนึ่งที่โฆษณาโดย Anthropic ในการค้นหาช่องโหว่ของซอฟต์แวร์ในวงกว้าง มีมาตั้งแต่ปีที่แล้ว

“แบบจำลองที่เรามีในขณะนี้มีประสิทธิภาพเพียงพอที่จะตรวจจับศูนย์วันในวงกว้าง และนี่ก็น่ากลัวเพียงพอแล้ว” Klaudia Kloc ซีอีโอของบริษัทรักษาความปลอดภัยทางไซเบอร์ Vidoc กล่าวกับ CNBC

นั่นเป็นกรณีของ “สองสามเดือนหรือหนึ่งปี” เธอกล่าว

คำว่า “ซีโรเดย์” หมายถึงข้อบกพร่องของซอฟต์แวร์ที่ไม่รู้จักก่อนหน้านี้ซึ่งยังไม่ได้รับการแก้ไข ทำให้ผู้โจมตีมีหน้าต่างที่จะใช้ประโยชน์จากมันก่อนที่ฝ่ายป้องกันจะสามารถตอบสนองได้

นักวิจัยที่ Vidoc ใช้เทคนิคที่เรียกว่า “การเรียบเรียง” เพื่อทดสอบว่าพวกเขาสามารถค้นหาช่องโหว่แบบเดียวกับที่ Mythos ทำได้หรือไม่ ตามชื่อที่แนะนำ กระบวนการนี้เกี่ยวข้องกับการสร้างเวิร์กโฟลว์ที่แบ่งโค้ดออกเป็นส่วนเล็กๆ โดยประสานงานระหว่างเครื่องมือหรือแบบจำลองต่างๆ เพื่อตรวจสอบผลลัพธ์

“เราใช้โมเดลรุ่นเก่าโดยใช้โค้ดฐานเดียวกันเพื่อดูว่าเราจะสามารถตรวจจับช่องโหว่เดียวกันได้หรือไม่” Kloc กล่าว “เราทำได้ ทั้ง OpenAI และ Anthropic รุ่นเก่า”

Aisle บริษัทรักษาความปลอดภัยทางไซเบอร์อีกแห่งหนึ่ง พบว่าผลลัพธ์พาดหัวของ Mythos จำนวนมากสามารถทำซ้ำได้โดยใช้โมเดลราคาถูกที่ทำงานคู่ขนานกัน ซึ่งบ่งบอกว่าขนาดและการประสานงานมีความสำคัญมากกว่าการมีโมเดลล่าสุด

“นักสืบที่เพียงพอนับพันคนที่ค้นหาทุกที่จะพบแมลงมากกว่านักสืบที่เก่งกาจที่ต้องเดาว่าจะดูที่ไหน” ป้อมสตานิสลาฟ ผู้ก่อตั้ง Aisle เขียนในบล็อกโพสต์

ในความคิดเห็นต่อ CNBC นั้น Anthropic ไม่ได้โต้แย้งว่ารุ่นก่อนหน้านี้สามารถค้นหาช่องโหว่ของซอฟต์แวร์ได้

ในความเป็นจริง โฆษกของบริษัทกล่าวว่า Anthropic ได้รับคำเตือนมาหลายเดือนแล้วว่าความสามารถทางไซเบอร์ของ AI กำลังก้าวหน้าอย่างรวดเร็ว พวกเขาชี้ไปที่โพสต์บนบล็อกเมื่อเดือนกุมภาพันธ์ที่แสดงให้เห็นว่า Claude Opus 4.6 ซึ่งเป็นโมเดลที่มีจำหน่ายกันอย่างแพร่หลาย พบช่องโหว่ “ความรุนแรงสูง” มากกว่า 500 รายการในซอฟต์แวร์โอเพ่นซอร์ส

ในงาน Anthropic ในสัปดาห์นี้ Amodei ยืนยันประเด็นนี้ โดยกล่าวว่าแม้ว่าระดับช่องโหว่ของซอฟต์แวร์ที่ Mythos พบจะเพิ่มขึ้นจากรุ่นก่อนๆ แต่แนวโน้มนี้ไม่ใช่เรื่องใหม่

“ความเสี่ยงนั้นมีอยู่จริงมาก นี่คือเหตุผลที่เราดำเนินการตามที่เราทำ” อาโมเดกล่าว “แต่พวกเขาก็ก็ไม่น่าแปลกใจเช่นกัน … เราเห็นคำเตือนเรื่องนี้มาระยะหนึ่งแล้ว”

สิ่งที่ทำให้ Mythos แตกต่างคือความสามารถในการก้าวไปอีกขั้น พัฒนาการหาประโยชน์จากการทำงานโดยอาศัยข้อมูลของมนุษย์เพียงเล็กน้อยหรือไม่มีเลย และทำให้กระบวนการเป็นอัตโนมัติอย่างมีประสิทธิภาพ ซึ่งก่อนหน้านี้ต้องใช้นักวิจัยที่มีทักษะ โฆษก Anthropic กล่าว

แต่แฮกเกอร์ที่ทำงานให้กับกลุ่มอาชญากรและประเทศที่เป็นปฏิปักษ์มีทักษะนี้อยู่แล้ว นักวิจัยทางไซเบอร์กล่าว แฮกเกอร์ในเกาหลีเหนือ จีน และรัสเซีย “รู้วิธีการทำเช่นนี้ ไม่ว่าจะมีหรือไม่มีมานุษยวิทยา” Kloc กล่าว

ภัยคุกคามของการแฮ็กที่ใช้ AI ทำให้บริษัทและหน่วยงานกำกับดูแลของรัฐบาลกังวลเกี่ยวกับการปกป้องระบบที่สำคัญจากแรนซัมแวร์ระลอกใหม่ และการโจมตีประเภทอื่น ๆ ตามที่ Harris กล่าว

เขาเรียกการสนทนากับธนาคาร บริษัทประกันภัย และหน่วยงานกำกับดูแลในช่วงไม่กี่สัปดาห์ที่ผ่านมาว่าเป็น “ฮิสทีเรีย”

แม้กระทั่งก่อนที่ generative AI จะเกิดขึ้น บริษัทต่างๆ ต้องเผชิญกับปัญหาของแฮกเกอร์ที่มีทักษะซึ่งใช้ประโยชน์จากช่องโหว่ที่เพิ่งค้นพบภายในเวลาไม่กี่ชั่วโมง ในขณะที่การแก้ไขโค้ดมักใช้เวลาหลายวันหรือหลายสัปดาห์ แพตช์บางรายการกำหนดให้ระบบหลักต้องออฟไลน์ ซึ่งทำให้เรื่องยุ่งยาก

“อุตสาหกรรมกำลังตื่นตระหนกเกี่ยวกับจำนวนช่องโหว่ที่พวกเขาเผชิญอยู่ในขณะนี้” แฮร์ริสกล่าว “แต่ก่อนที่ Mythos จะวางจำหน่ายในวงกว้าง มันก็ไม่สามารถแก้ไขช่องโหว่ได้เร็วพอ”

ก่อนหน้านี้ มีผู้เชี่ยวชาญเพียงไม่กี่คนทั่วโลกเท่านั้นที่มีความสามารถและเวลาในการค้นหาช่องโหว่ที่คลุมเครือในซอฟต์แวร์และใช้ประโยชน์จากช่องโหว่ดังกล่าว ตามที่ Harris กล่าว ขณะนี้ เมื่อใช้โมเดล AI ที่มีอยู่ในปัจจุบัน อุปสรรคในการเข้าสู่การทำลายล้างทางไซเบอร์ก็ลดลง

นั่นหมายความว่าธนาคารและเป้าหมายอื่นๆ จะถูกโจมตีมากขึ้น และระบบซอฟต์แวร์ที่ก่อนหน้านี้ไม่ได้รับความสนใจจากอาชญากรไซเบอร์มากนัก ก็ต้องเผชิญกับภัยคุกคาม Harris กล่าว

ในขณะที่ Anthropic, OpenAI และคนอื่นๆ กำลังทำงานเพื่อพัฒนาความสามารถในการป้องกันทางไซเบอร์ให้สอดคล้องกับปัญหาที่พวกเขาระบุ ข้อได้เปรียบเบื้องต้นอยู่ที่การรุก ไม่ใช่การป้องกัน นักวิจัยกล่าว

Jamie Dimon จาก JPMorgan แนะนำไว้มากเมื่อเขาพูดเมื่อเดือนที่แล้วว่าแม้ว่าในที่สุดเครื่องมือ AI จะสามารถช่วยให้บริษัทต่างๆ ปกป้องตนเองจากการโจมตีทางไซเบอร์ได้ แต่ในตอนแรกกลับทำให้พวกเขามีความเสี่ยงมากขึ้น

“คุณค้นพบช่องโหว่เพิ่มขึ้นอย่างมาก แต่ดูเหมือนว่าช่องโหว่เหล่านั้นไม่ได้ใช้เครื่องมือที่ช่วยคุณแก้ไข” Justin Herring หุ้นส่วนของบริษัทกฎหมาย Mayer Brown และอดีตรองผู้อำนวยการบริหารฝ่ายความปลอดภัยทางไซเบอร์ที่หน่วยงานกำกับดูแลทางการเงินของนิวยอร์กกล่าว

“การจัดการช่องโหว่ถือเป็นงานใหญ่ด้านความปลอดภัยทางไซเบอร์ของ Sisyphean” Herring กล่าว

กลุ่มจำกัดที่เป็นส่วนหนึ่งของการเปิดตัว Mythos ครั้งแรกได้เริ่มต้นในการแก้ไขช่องโหว่ แต่ก็มีข้อเสียอยู่ นักวิจัย AI ยังไม่ได้รับสิทธิ์เข้าถึง Mythos เพื่อตรวจสอบคำกล่าวอ้างของ Anthropic อย่างอิสระ หรือเพื่อเริ่มสร้างการป้องกันต่อมัน

บางคนบอกว่าวิธีนี้ทำให้ชุมชนไซเบอร์ในวงกว้างไม่สามารถเป็นส่วนหนึ่งของการแก้ปัญหาได้

Pavel Gurvich ซีอีโอของ Tenzai สตาร์ทอัพด้านความปลอดภัยทางไซเบอร์ ซึ่งใช้แบบจำลองของ Anthropic กล่าวว่า ได้สร้าง “ระดับของสิ่งที่มีและไม่มี” ซึ่งอาจขัดขวางการพัฒนานวัตกรรมด้านความปลอดภัยทางไซเบอร์

สตาร์ทอัพด้านความมั่นคงปลอดภัยทางไซเบอร์หลายแห่งกำลังทำงานเกี่ยวกับโซลูชันที่สามารถช่วยธุรกิจในยุคใหม่ของ AI ได้ เขากล่าว

“พวกเขากำลังพยายามหาวิธีที่ดีที่สุดในการแก้ไขโลกก่อนที่โลกจะสามารถเข้าถึงได้” Ben Seri ผู้ร่วมก่อตั้ง Zafran Security สตาร์ทอัพด้านความมั่นคงปลอดภัยทางไซเบอร์กล่าว “มันเป็นสถานการณ์ไก่กับไข่แบบนี้ และคุณจะต้องตอกไข่บางส่วน ซึ่งหลีกเลี่ยงไม่ได้”