บริษัท Anthropic ประกาศโครงการ Glasswing ซึ่งจะเปิดโอกาสให้เข้าถึงเวอร์ชันเบื้องต้นของโมเดล AI Claude Mythos เพื่อใช้ในการระบุช่องโหว่และปรับปรุงความปลอดภัยของซอฟต์แวร์ที่สำคัญ ผู้เข้าร่วมโครงการประกอบด้วย Linux Foundation, Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA และ Palo Alto Networks นอกจากนี้ยังมีองค์กรอีกประมาณ 40 แห่งที่ได้รับเชิญให้เข้าร่วมโครงการด้วย
โมเดล AI Claude Opus 4.6 ที่เปิดตัวในเดือนกุมภาพันธ์ ประสบความสำเร็จในการแสดงประสิทธิภาพในระดับใหม่ในด้านต่างๆ เช่น การตรวจจับช่องโหว่ การตรวจจับและแก้ไขข้อบกพร่อง การตรวจสอบการเปลี่ยนแปลง และการสร้างโค้ด การทดลองกับโมเดล AI นี้ทำให้สามารถระบุช่องโหว่ได้มากกว่า 500 รายการในโครงการโอเพนซอร์ส และสร้างคอมไพเลอร์ภาษา C ที่สามารถสร้างเคอร์เนล Linux ได้ อย่างไรก็ตาม Claude Opus 4.6 ทำงานได้ไม่ดีนักในการสร้าง exploit ที่ใช้งานได้จริง
จากข้อมูลของ Anthropic โมเดล "Claude Mythos" รุ่นใหม่มีประสิทธิภาพเหนือกว่า Claude Opus 4.6 อย่างมากในการสร้าง exploit ที่พร้อมใช้งาน จากการทดลองหลายร้อยครั้งเพื่อสร้าง exploit สำหรับช่องโหว่ที่พบใน JavaScript engine ของ Firefox มีเพียงสองครั้งเท่านั้นที่ประสบความสำเร็จด้วย Claude Opus 4.6 แต่เมื่อทำการทดลองซ้ำโดยใช้โมเดล Mythos เวอร์ชันเบื้องต้น สามารถสร้าง exploit ที่ใช้งานได้ 181 ครั้ง อัตราความสำเร็จเพิ่มขึ้นจากเกือบศูนย์เป็น 72.4%
นอกจากนี้ Claude Mythos ยังขยายขีดความสามารถในการตรวจจับช่องโหว่และบั๊กอย่างมีนัยสำคัญ ซึ่งเมื่อรวมกับความเหมาะสมสำหรับการพัฒนาเครื่องมือโจมตี ทำให้เกิดความเสี่ยงใหม่สำหรับอุตสาหกรรม: ผู้ที่ไม่ใช่ผู้เชี่ยวชาญสามารถสร้างเครื่องมือโจมตีสำหรับช่องโหว่ zero-day ที่ยังไม่ได้รับการแก้ไขได้ภายในเวลาไม่กี่ชั่วโมง เป็นที่น่าสังเกตว่า ความสามารถในการตรวจจับช่องโหว่และการโจมตีของ Mythos นั้นอยู่ในระดับมืออาชีพแล้ว เหลือเพียงผู้เชี่ยวชาญที่มีประสบการณ์มากที่สุดเท่านั้นที่สามารถทำได้
เนื่องจากการเปิดให้เข้าถึงโมเดล AI ที่มีศักยภาพสูงเช่นนี้อย่างไม่จำกัด จำเป็นต้องมีการเตรียมความพร้อมจากภาคอุตสาหกรรม จึงได้ตัดสินใจเปิดเวอร์ชันเบื้องต้นให้กับกลุ่มผู้เชี่ยวชาญที่ได้รับการคัดเลือก เพื่อดำเนินการระบุช่องโหว่และแก้ไขข้อบกพร่องในผลิตภัณฑ์ซอฟต์แวร์ที่สำคัญและซอฟต์แวร์โอเพนซอร์ส เพื่อสนับสนุนโครงการนี้ ได้มีการจัดสรรเงินอุดหนุนจำนวน 100 ล้านดอลลาร์ และบริจาคอีก 4 ล้านดอลลาร์ให้กับองค์กรที่สนับสนุนความปลอดภัยของโครงการโอเพนซอร์ส
ในการทดสอบ CyberGym ซึ่งประเมินความสามารถในการตรวจจับช่องโหว่ของโมเดล โมเดล Mythos ได้คะแนน 83.1% ในขณะที่ Opus 4.6 ได้คะแนน 66.6% ส่วนในการทดสอบคุณภาพโค้ด โมเดลต่างๆ แสดงประสิทธิภาพดังต่อไปนี้:
ระหว่างการทดลอง Anthropic ใช้โมเดล AI Mythos ในการระบุช่องโหว่ที่ไม่เคยมีใครรู้จักมาก่อน (ช่องโหว่ 0-day) หลายพันรายการภายในเวลาเพียงไม่กี่สัปดาห์ ซึ่งหลายรายการจัดอยู่ในระดับวิกฤต ในจำนวนนี้ พวกเขาค้นพบช่องโหว่ในสแต็ก TCP ของ OpenBSD ที่ไม่เคยถูกตรวจพบมานานถึง 27 ปี ทำให้ระบบล่มจากระยะไกลได้ พวกเขายังค้นพบช่องโหว่ที่มีอายุ 16 ปีในการใช้งานตัวแปลงสัญญาณ H.264 ของโครงการ FFmpeg รวมถึงช่องโหว่ในตัวแปลงสัญญาณ H.265 และ av1 ซึ่งถูกใช้ประโยชน์เมื่อประมวลผลเนื้อหาที่สร้างขึ้นเป็นพิเศษ
มีการค้นพบช่องโหว่หลายจุดในเคอร์เนลของลินุกซ์ที่อาจทำให้ผู้ใช้ที่ไม่มีสิทธิ์พิเศษสามารถเข้าถึงสิทธิ์ระดับรูทได้ การนำช่องโหว่เหล่านี้มาเชื่อมโยงกันทำให้สามารถสร้างเครื่องมือโจมตีที่สามารถเข้าถึงสิทธิ์ระดับรูทได้โดยการเปิดหน้าเว็บพิเศษในเว็บเบราว์เซอร์ นอกจากนี้ยังมีการสร้างเครื่องมือโจมตีที่อนุญาตให้เรียกใช้โค้ดด้วยสิทธิ์ระดับรูทโดยการส่งแพ็กเก็ตเครือข่ายที่สร้างขึ้นเป็นพิเศษไปยังเซิร์ฟเวอร์ FreeBSD NFS
พบช่องโหว่ในระบบเวอร์ชวลไลเซชันที่เขียนด้วยภาษาที่ให้เครื่องมือจัดการหน่วยความจำที่ปลอดภัย ช่องโหว่นี้อาจทำให้สามารถเรียกใช้โค้ดฝั่งโฮสต์ได้โดยการจัดการระบบเกสต์ (ช่องโหว่นี้ยังไม่ได้ระบุชื่อเนื่องจากยังไม่ได้รับการแก้ไข แต่ดูเหมือนว่าจะอยู่ในบล็อกที่ไม่ปลอดภัยในโค้ด Rust) นอกจากนี้ยังพบช่องโหว่ในเว็บเบราว์เซอร์และไลบรารีการเข้ารหัสยอดนิยมทั้งหมด และพบช่องโหว่การโจมตีแบบ SQL injection ในเว็บแอปพลิเคชันต่างๆ
ที่มา: opennet.ru
