สรุปสั้น
สำนักงานความมั่นคงไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) กำลังใช้โมเดลปัญญาประดิษฐ์ (AI) ที่ทรงพลังชื่อ Mythos ของบริษัท Anthropic เพื่อสแกนและตรวจสอบซอฟต์แวร์ของหน่วยงานรัฐบาลกลางในการค้นหาช่องโหว่ด้านความปลอดภัย ตามรายงานของสำนักข่าว Reuters ที่อ้างแหล่งข่าวสามรายซึ่งรับรู้เรื่องนี้ โดยระบุว่า CISA ใช้ Mythos สแกนคลังซอร์สโค้ด (code repository) ที่กระจายอยู่ตามหน่วยงานรัฐบาลกลาง เพื่อค้นหาและแพตช์บั๊กเชิงรุกก่อนที่หน่วยข่าวกรองต่างชาติหรืออาชญากรไซเบอร์จะฉวยใช้ประโยชน์ได้
ปฏิบัติการนี้นำโดยทีม Attack Surface Evaluation ของ CISA ซึ่งเป็นหน่วยเฉพาะทางที่ทำหน้าที่ประเมินการป้องกันทางดิจิทัลและจำลองการเจาะระบบทั่วทั้งภาครัฐ โดยแหล่งข่าวสองรายระบุว่าโครงการที่ขับเคลื่อนด้วย AI นี้ได้ค้นพบช่องโหว่ซอฟต์แวร์ไปแล้ว “จำนวนมาก” แต่ยังไม่มีการเปิดเผยรายละเอียดเรื่องความรุนแรงของช่องโหว่ หน่วยงานที่ได้รับผลกระทบ หรือปริมาณซอฟต์แวร์ที่ตรวจสอบ ทั้งนี้ ทั้ง Anthropic และ CISA ไม่ได้ให้ความเห็นอย่างเป็นทางการต่อ Reuters และยังมีรายงานว่าสำนักงานความมั่นคงแห่งชาติ (NSA) ก็ใช้ Mythos ในปฏิบัติการเช่นกัน
รายละเอียดข่าว
เว็บไซต์ SecurityWeek รายงานเมื่อวันที่ 7 กรกฎาคม 2569 โดยอ้างรายงานของ Reuters ว่า CISA กำลังใช้โมเดล AI ชื่อ Mythos ของบริษัท Anthropic ในการตรวจสอบและออดิตซอฟต์แวร์ของรัฐบาลกลางสหรัฐฯ เพื่อค้นหาช่องโหว่ด้านความปลอดภัย โดยมีเป้าหมายเชิงรุกคือค้นพบและอุดช่องโหว่ก่อนที่ผู้ไม่หวังดีจะนำไปใช้โจมตี
รายงานระบุว่าเมื่อปลายเดือนก่อน เจ้าหน้าที่สหรัฐฯ รายหนึ่งได้บอกกับสำนักข่าว Associated Press (AP) ว่าหนึ่งในโมเดล AI ของ Anthropic สามารถระบุช่องโหว่ในระบบคอมพิวเตอร์ของรัฐบาลสหรัฐฯ ที่มีความอ่อนไหวและความปลอดภัยสูงได้ระหว่างการทดสอบ ซึ่งสะท้อนว่าการนำ AI มาช่วยงานค้นหาช่องโหว่กำลังถูกเร่งใช้งานในแวดวงข่าวกรองและกลาโหมของสหรัฐฯ
อย่างไรก็ตาม ข่าวนี้เกิดขึ้นท่ามกลางความตึงเครียดระหว่าง Anthropic กับเจ้าหน้าที่รัฐบาลกลางที่พุ่งสูงขึ้นเมื่อต้นปีที่ผ่านมา หลังบริษัทปฏิเสธข้อเรียกร้องของฝ่ายบริหารที่ให้ถอดมาตรการป้องกันในตัวโมเดล ซึ่งจำกัดไม่ให้นำไปใช้กับอาวุธอัตโนมัติหรือการสอดแนมภายในประเทศ ส่งผลให้กระทรวงกลาโหมสหรัฐฯ (Pentagon) จัดให้ Anthropic เป็นความเสี่ยงด้านห่วงโซ่อุปทาน (supply-chain risk) ซึ่งเป็นการจัดประเภทที่มักสงวนไว้สำหรับบริษัทต่างชาติที่ต้องสงสัยเรื่องการจารกรรม
เบื้องหลังและความตึงเครียด
ขณะที่การใช้งาน Mythos ในเชิงลับถูกเร่งขยายในหน่วยข่าวกรองและกลาโหมสหรัฐฯ การเปิดตัวสู่สาธารณะของ Anthropic กลับจุดชนวนศึกด้านกฎระเบียบแยกต่างหาก เมื่อบริษัทเปิดตัวโมเดลรุ่นสาธารณะในชื่อ Fable เมื่อต้นเดือนมิถุนายน ความกังวลของทำเนียบขาวเกี่ยวกับการที่ชาวต่างชาติจะเข้าถึงเครื่องมือดังกล่าวได้ นำไปสู่คำสั่งฉุกเฉินให้จำกัดการเข้าถึง
การเผชิญหน้าที่เกิดขึ้นส่งผลให้โมเดล Fable ถูกปิดชั่วคราวทั่วโลก และเพิ่งได้รับการยกเลิกคำสั่งปิดเมื่อสัปดาห์ที่ผ่านมา เหตุการณ์นี้สะท้อนความตึงเครียดระหว่างการผลักดันให้นำ AI ขั้นสูงมาใช้ในงานความมั่นคง กับความกังวลด้านการควบคุมการเข้าถึงและมาตรการป้องกันการใช้งานในทางที่ผิด
ผลกระทบต่อไทย
แม้ข่าวนี้จะเป็นเรื่องภายในของภาครัฐสหรัฐฯ แต่ก็สะท้อนแนวโน้มสำคัญที่หน่วยงานความมั่นคงทั่วโลกกำลังนำโมเดล AI ขั้นสูงมาช่วยค้นหาช่องโหว่ในซอฟต์แวร์แบบอัตโนมัติและในวงกว้าง ซึ่งเป็นเทคนิคที่ทั้งฝ่ายป้องกันและฝ่ายโจมตีสามารถใช้ได้ หน่วยงานรัฐและองค์กรโครงสร้างพื้นฐานสำคัญของไทยจึงควรตระหนักว่าช่องโหว่ในซอร์สโค้ดที่เคยถูกมองข้ามอาจถูกค้นพบได้เร็วขึ้นมากด้วย AI ทั้งโดยฝ่ายตนเองและฝ่ายตรงข้าม การลงทุนในเครื่องมือตรวจสอบโค้ดและการบริหารช่องโหว่เชิงรุกจึงมีความสำคัญเพิ่มขึ้น ขณะเดียวกันประเด็นการพึ่งพาโมเดล AI จากผู้ให้บริการต่างชาติ และการควบคุมการเข้าถึงข้อมูลอ่อนไหว ก็เป็นบทเรียนด้านอธิปไตยทางเทคโนโลยีที่ไทยควรพิจารณา
คำแนะนำ
องค์กรที่สนใจนำ AI มาช่วยงานความปลอดภัยควรเริ่มจากการประเมินความเสี่ยงของข้อมูลที่จะป้อนให้โมเดล โดยเฉพาะซอร์สโค้ดหรือข้อมูลอ่อนไหว และพิจารณาใช้โมเดลในสภาพแวดล้อมที่ควบคุมได้ ควรผสาน AI เข้ากับกระบวนการบริหารช่องโหว่ที่มีอยู่แทนการพึ่งพาผลลัพธ์จาก AI เพียงอย่างเดียว เพราะยังต้องมีผู้เชี่ยวชาญตรวจสอบและจัดลำดับความสำคัญของช่องโหว่ที่พบ นอกจากนี้ควรติดตามพัฒนาการด้านนโยบายและข้อกำหนดการเข้าถึงเครื่องมือ AI ที่อาจเปลี่ยนแปลงได้ เพื่อวางแผนความต่อเนื่องหากบริการถูกจำกัดหรือระงับ
