สรุปสั้น

บริษัท Anthropic ประกาศเมื่อวันอังคารที่ผ่านมาว่ากำลังขยาย Project Glasswing ซึ่งเป็นโครงการความร่วมมือที่มุ่งรักษาความปลอดภัยของซอฟต์แวร์สำคัญด้วย AI โดยริเริ่มเมื่อต้นเดือนเมษายนพร้อมพาร์ตเนอร์เริ่มต้นราว 50 ราย ที่ได้รับสิทธิ์เข้าถึง Claude Mythos Preview และใช้สแกนฐานโค้ดจนพบช่องโหว่นับพันรายการ

การขยายครั้งนี้เพิ่มองค์กรใหม่ราว 150 แห่งใน 15 ประเทศขึ้นไป โดยแต่ละแห่งต้องผ่านมาตรฐานของ Anthropic ก่อนได้รับสิทธิ์ ผู้เข้าร่วมรวมถึงผู้ให้บริการโครงสร้างพื้นฐานสำคัญทั้งด้านพลังงาน น้ำ สาธารณสุข การสื่อสาร และฮาร์ดแวร์ ซึ่งหลายรายเป็นผู้ดูแลฐานโค้ดที่รัฐบาลและองค์กรทั่วโลกพึ่งพา ปัจจัยร่วมคือหากผลิตภัณฑ์ถูกโจมตีสำเร็จอาจกระทบคนกว่า 100 ล้านคนต่อราย

แม้ Anthropic ไม่เปิดเผยรายชื่อพาร์ตเนอร์ใหม่ทั้งหมด แต่ Financial Times รายงานว่ารวมถึง Okta, Samsung, หน่วยงานความมั่นคงไซเบอร์ของสหภาพยุโรป (ENISA) และ NATO โดยก่อนหน้านี้ Mythos ระบุช่องโหว่ที่อาจเกิดขึ้นแล้วกว่า 23,000 จุด และบริษัทคาดว่าจะยืนยันเป็นช่องโหว่ร้ายแรงเกิน 6,000 จุด

รายละเอียดข่าว

เว็บไซต์ SecurityWeek รายงานเมื่อวันที่ 2 มิถุนายน 2569 ว่าบริษัท Anthropic ประกาศขยายโครงการ Project Glasswing ซึ่งเป็นความร่วมมือเพื่อใช้ AI รักษาความปลอดภัยซอฟต์แวร์ที่มีความสำคัญต่อโครงสร้างพื้นฐาน โดยโครงการนี้เปิดตัวพร้อมพาร์ตเนอร์เริ่มต้นราว 50 รายเมื่อต้นเดือนเมษายน และให้สิทธิ์เข้าถึงเครื่องมือ Claude Mythos Preview เพื่อสแกนหาช่องโหว่ในโค้ด

การขยายครั้งนี้เพิ่มองค์กรใหม่ราว 150 แห่ง ซึ่งกระจายอยู่ในกว่า 15 ประเทศ และครอบคลุมผู้ให้บริการโครงสร้างพื้นฐานสำคัญหลายภาคส่วน ทั้งพลังงาน น้ำ สาธารณสุข การสื่อสาร และฮาร์ดแวร์ โดยหลายรายเป็นผู้พัฒนาและผู้ดูแลฐานโค้ดที่ใช้กันอย่างแพร่หลายในหน่วยงานรัฐและองค์กรทั่วโลก ทำให้ผลกระทบจากการโจมตีอาจขยายไปถึงคนกว่า 100 ล้านคนต่อรายและกระทบความมั่นคงระดับชาติและระดับโลก

แม้บริษัท Anthropic จะไม่เปิดเผยรายชื่อพาร์ตเนอร์ที่เพิ่มเข้ามา แต่หนังสือพิมพ์ Financial Times รายงานว่าองค์กรใหม่รวมถึง Okta, Samsung, ENISA และ NATO ทั้งนี้บริษัทเคยรายงานว่า Mythos ระบุช่องโหว่ที่อาจเกิดขึ้นมากกว่า 23,000 จุด โดยคาดว่ากว่า 6,000 จุดจะได้รับการยืนยันว่าเป็นช่องโหว่ร้ายแรง

องค์กรอย่าง Mozilla, Palo Alto Networks และ Cloudflare ต่างได้ผลลัพธ์ที่ดีเมื่อใช้ Mythos ตรวจสอบผลิตภัณฑ์ของตนเอง อย่างไรก็ตาม เมื่อ AI ค้นพบช่องโหว่ได้รวดเร็ว ปัญหาจึงย้ายไปที่การตรวจสอบยืนยันและการแพตช์ เพราะจากช่องโหว่นับพันที่ Mythos พบ มีเพียง 75 รายการระดับวิกฤตและร้ายแรงสูงที่ได้รับการแพตช์แล้ว

รายละเอียดโครงการ

Project Glasswing เป็นความพยายามของบริษัท Anthropic ที่จะนำความสามารถของโมเดล Claude มาช่วยค้นหาช่องโหว่ในซอฟต์แวร์โครงสร้างพื้นฐานก่อนที่ผู้โจมตีจะพบ โดยเครื่องมือหลักคือ Claude Mythos ซึ่งออกแบบมาเพื่อสแกนฐานโค้ดขนาดใหญ่และระบุจุดอ่อนเชิงความปลอดภัย

การขยายครั้งนี้เกิดขึ้นหลังความร่วมมือกับพาร์ตเนอร์เดิม วงการความปลอดภัย ผู้ดูแลซอฟต์แวร์โอเพนซอร์ส และรัฐบาลสหรัฐฯ บริษัท Anthropic ระบุว่า Mythos ไม่เพียงค้นหาช่องโหว่ แต่ยังช่วยงานตรวจสอบยืนยันและการแพตช์ได้ด้วย และบริษัทกำลังทำงานร่วมกับผู้อื่นเพื่อ “ขยายการทบทวนและแพตช์ช่องโหว่ในซอฟต์แวร์โอเพนซอร์สอย่างมีนัยสำคัญ”

บริษัทยังเน้นย้ำถึงการแบ่งปันแนวปฏิบัติที่ดีในการเปิดเผยช่องโหว่ต่อผู้ดูแลโอเพนซอร์ส โดยมีเป้าหมายให้รายงานช่องโหว่ง่ายต่อการคัดแยกและลงมือแก้ไข ซึ่งสะท้อนความท้าทายสำคัญของยุค AI ที่การค้นพบช่องโหว่ทำได้เร็วกว่าความสามารถในการแก้ไขมาก

ผลกระทบต่อไทย

หน่วยงานและองค์กรไทยจำนวนมากพึ่งพาซอฟต์แวร์โอเพนซอร์สและผลิตภัณฑ์จากผู้ผลิตที่เข้าร่วม Project Glasswing เช่น ระบบที่ใช้คอมโพเนนต์โอเพนซอร์ส, โซลูชันของ Palo Alto Networks หรือบริการของ Cloudflare ทำให้ได้รับประโยชน์ทางอ้อมเมื่อช่องโหว่ถูกค้นพบและแก้ไขก่อนถูกโจมตี

ในทางกลับกัน การที่ AI ค้นพบช่องโหว่จำนวนมหาศาลแต่แพตช์ได้เพียงส่วนน้อย หมายความว่าจะมีช่องโหว่ที่รู้แล้วแต่ยังไม่ถูกปิดจำนวนมากในระบบนิเวศซอฟต์แวร์ ซึ่งองค์กรไทยต้องเร่งติดตามและอัปเดตเมื่อแพตช์ออกมา

แนวโน้มการใช้ AI ค้นช่องโหว่ยังเป็นดาบสองคม เพราะเครื่องมือลักษณะเดียวกันอาจถูกผู้โจมตีนำไปใช้ค้นช่องโหว่เพื่อโจมตีได้เช่นกัน องค์กรไทยจึงควรเตรียมกระบวนการแพตช์ให้เร็วขึ้นเพื่อรับมือกับช่วงเวลาที่ช่องโหว่ถูกเปิดเผยและถูกใช้โจมตีเร็วขึ้น

คำแนะนำ

  1. ติดตามประกาศช่องโหว่จากผู้ผลิตหลัก — โดยเฉพาะผู้ที่เข้าร่วม Glasswing เช่น Mozilla, Palo Alto Networks, Cloudflare, Okta, Samsung เพื่ออัปเดตทันทีเมื่อมีแพตช์
  2. เร่งรอบการแพตช์ — เตรียมกระบวนการให้พร้อมปิดช่องโหว่เร็ว เพราะหน้าต่างเวลาระหว่างเปิดเผยและถูกโจมตีสั้นลง
  3. ตรวจสอบ dependency โอเพนซอร์ส — ใช้เครื่องมือ SCA/SBOM ติดตามคอมโพเนนต์โอเพนซอร์สในระบบ เพื่อรู้ว่ามีช่องโหว่ที่เพิ่งเปิดเผยหรือไม่
  4. พิจารณาใช้ AI ช่วยตรวจโค้ด — องค์กรที่พัฒนาซอฟต์แวร์เองอาจนำเครื่องมือ AI มาช่วยค้นช่องโหว่เชิงรุกก่อนปล่อยใช้งานจริง

แหล่งอ้างอิง