เมื่อ AI ค้นพบช่องโหว่ได้เร็วกว่าแฮกเกอร์ ? บทเรียน Cyber Security จากกรณี Claude Mythos Preview

เมื่อ AI ค้นพบช่องโหว่ได้เร็วกว่าแฮกเกอร์ ?

บทเรียน Cyber Security จากกรณี Claude Mythos Preview

ในยุคที่ AI มีความสามารถ และถูกพัฒนาอย่างรวดเร็วเพื่อเพิ่มประสิทธิภาพในการทำงาน และการสร้างประสบการณ์ใหม่ให้กับผู้ใช้งาน แต่ความสามารถเหล่านั้นก็อาจมีช่องโหว่ที่ซ่อนอยู่ หรืออาจถูกนำไปใช้ในทางที่ผิด อาจส่งผลกระทบรุนแรงกว่าที่หลายองค์กรคิด

ช่วงต้นเดือนเมษายน ที่ผ่านมา การเปิดตัวของ Claude Mythos Preview โมเดล AI ใหม่ล่าสุดจากบริษัท Anthropic ที่สร้างจุดเปลี่ยนสำคัญในด้าน Cybersecurity กับความสามารถโดดเด่นในการหาช่องโหว่ในซอฟต์แวร์ได้อย่างรวดเร็วในแบบที่ไม่เคยมีมาก่อน

Claude Mythos Preview โมเดล AI ทรงพลัง หรือดาบสองคม ?

ข้อมูลจากการทดสอบ Claude Mythos Preview แสดงให้เห็นว่าแบบจำลองรุ่นล่าสุดนี้มีความสามารถในการระบุและเจาะช่องโหว่ (Vulnerability) ที่เครื่องมือทดสอบอัตโนมัติแบบเดิมตรวจไม่พบ แม้จะสแกนไปแล้วกว่า 5 ล้านครั้ง สิ่งที่น่าจับตาคือ ความสามารถในการค้นหาช่องโหว่ระดับ Zero-day จำนวนมหาศาลในระยะเวลาที่สั้นลง

ความสามารถนี้ยังสร้างความกังวลต่อกลุ่มนักการเงินระดับโลกว่า อาจเป็นบ่อนทำลายความมั่นคงของระบบการเงินโลกได้ หลังจากพบว่าโมเดลนี้สามารถค้นหาช่องโหว่ในระบบปฏิบัติการได้มากมาย

โดยผู้เชี่ยวชาญหลายฝ่ายเห็นตรงกันว่า AI โมเดลนี้มีความสามารถในการระบุ และฉวยโอกาสจากจุดอ่อนด้านความปลอดภัยทางไซเบอร์อย่างที่ไม่เคยปรากฏมาก่อน ซึ่งจำเป็นต้องมีการทดสอบเพิ่มเติม เพื่อทำความเข้าใจขีดความสามารถ และต้องมีการติดตาม ควบคุมอย่างจริงจัง

เมื่อโลกต้องตั้งรับ การร่วมมือเพื่อควบคุมความเสี่ยงจาก AI : Project Glasswing จึงถือกำเนิดขึ้น

จากความกังวลดังกล่าว นำไปสู่การก่อตั้ง Project Glasswing

โครงการนี้ถูกจัดตั้งโดย Anthropic ร่วมกับผู้นำด้านเทคโนโลยีและหน่วยงานความมั่นคง เพื่อจัดการกับความท้าทายที่อาจเกิดจากโมเดล AI รุ่นใหม่อย่าง Mythos

วัตถุประสงค์ของโครงการ

1. Defensive-Only Access : จำกัดการเข้าถึงโมเดลที่มีความสามารถสูงให้เฉพาะกลุ่มพันธมิตรที่ได้รับคัดเลือก เพื่อใช้ในงานด้านการป้องกัน (Cyber Defense) และการวิจัยด้านความปลอดภัยเท่านั้น
2. Infrastructure Fortification : ใช้ความสามารถในการวิเคราะห์ของ AI เพื่อค้นหาช่องโหว่ ในโครงสร้างพื้นฐานดิจิทัลที่สำคัญ เช่น ระบบคลาวด์, ระบบธนาคาร และเครือข่ายความมั่นคง
3. Safety Benchmarking : สร้างมาตรฐานใหม่ในการประเมินความเสี่ยงของ AI ก่อนที่จะมีการปล่อยสู่สาธารณะ เพื่อให้มั่นใจว่าโมเดลจะไม่ถูกนำไปใช้ในทางที่ผิด

แนวทางการดำเนินงานของ Glasswing

1. Isolated Environment : การทดสอบและใช้งานโมเดล Mythos จะเกิดขึ้นในสภาพแวดล้อมที่แยกตัวออกจากอินเทอร์เน็ตภายนอก (Air-gapped clusters) เพื่อป้องกันการ "หลบหนี" หรือการซ่อนพฤติกรรมของ AI
2. Credit Allocation : มีการสนับสนุนงบประมาณในรูปแบบของเครือข่ายประมวลผล (Compute Credits) มูลค่ารวมกว่า $100M เพื่อให้นักวิจัยความปลอดภัยใช้ AI ในการสร้าง "โล่ป้องกัน" ทางไซเบอร์
3. Mandatory Disclosure : สมาชิกในโครงการตกลงที่จะเปิดเผยช่องโหว่ระดับวิกฤตที่ AI ค้นพบ ให้แก่ผู้พัฒนาซอฟต์แวร์ที่เกี่ยวข้องทันที เพื่อรับประกันว่าโลกจะปลอดภัยขึ้นก่อนที่แฮกเกอร์จะตามทัน

เมื่อภัยไซเบอร์ ไม่ได้เริ่มจากแฮกเกอร์ และอาจเริ่มมาจาก AI

กรณีของ Claude Mythos Preview สะท้อนให้เห็นอย่างชัดเจนว่า ภัยไซเบอร์กำลังเปลี่ยนรูปแบบจากทักษะมนุษย์ สู่ยุคที่ AI กลายเป็นเครื่องมือค้นหาและขยายช่องโหว่ได้อย่างรวดเร็วและแม่นยำขึ้น เหตุการณ์นี้ตอกย้ำถึงความจำเป็นในการควบคุมและกำกับดูแล AI ให้อยู่ภายใต้กรอบจริยธรรมอย่างจริงจัง

ในบริบทนี้ Cyber Security เปรียบเสมือนรากฐานของความเชื่อมั่น ที่องค์กรต้องเร่งเสริมให้แข็งแกร่ง ทั้งในด้านการตรวจสอบช่องโหว่ การเข้ารหัสข้อมูล และการจัดการสิทธิ์การเข้าถึงอย่างรัดกุม เพื่อความต่อเนื่องทางธุรกิจ พร้อมทั้งสร้างความไว้วางใจต่อลูกค้า และชื่อเสียงขององค์กรในระยะยาว

ทั้งนี้องค์กรที่จะยืนหยัดได้ในยุคที่ภัยไซเบอร์ถูกขับเคลื่อนด้วย AI นั้น จะต้องมองเห็นความเสี่ยงก่อนจะเกิด เพื่อเตรียมพร้อมรับมือได้อย่างเป็นระบบตั้งแต่วันนี้

อ้างอิง:

Forrester

Anthropic

BBC