22 พฤษภาคม 2026 — Anthropic เปิดอัปเดตความคืบหน้าโครงการ Glasswing ที่ใช้ AI สแกนหาช่องโหว่รักษาความปลอดภัยให้ซอฟต์แวร์ที่โลกใช้งานอยู่ทุกวัน
AI ที่มาเพื่อ "ปกป้อง" ไม่ใช่ "ทำลาย"
จินตนาการว่ามีนักสืบระดับอัจฉริยะที่สามารถสแกนโค้ดหลายล้านบรรทัดแล้วชี้ได้ทันทีว่าจุดไหนเป็นช่องโหว่ร้ายแรง — นั่นคือสิ่งที่ Project Glasswing ของ Anthropic กำลังทำอยู่ เมื่อเดือนเมษายน 2026 Anthropic เปิดตัว Project Glasswing เป็นความร่วมมือกับองค์กรกว่า 50 แห่งเพื่อใช้โมเดล Claude Mythos Preview (โมเดลที่ยังไม่เปิดตัวอย่างเป็นทางการ) สแกนหาช่องโหว่ด้านความปลอดภัยในซอฟต์แวร์ที่ "สำคัญต่อระบบ" (systemically important) ทั่วโลก
ตัวเลขที่น่าตกใจ
ผลลัพธ์ในเดือนแรกนั้นน่าทึ่ง: ช่องโหว่ระดับ high/critical กว่า 10,000 จุด ถูกค้นพบในซอฟต์แวร์ของพาร์ทเนอร์กว่า 50 องค์กร Cloudflare พบช่องโหว่ 2,000 จุด (400 จุดเป็นระดับ high/critical) ในระบบ critical-path โดยมีอัตรา false positive ต่ำกว่ามนุษย์ Mozilla พบและแก้ไขช่องโหว่ 271 จุดใน Firefox 150 — มากกว่า 10 เท่าของที่เคยพบใน Firefox 148 กับ Claude Opus 4.6 อัตราการหาบั๊กเพิ่มขึ้น มากกว่า 10 เท่า เมื่อเทียบกับวิธีเดิม
Mythos Preview: เหนือกว่ามนุษย์แทบทุกคน
Claude Mythos Preview ถูกออกแบบมาเพื่องานด้านความปลอดภัยโดยเฉพาะ ผลการทดสอบจากหลายฝ่ายยืนยันว่า: UK AI Security Institute รายงานว่า Mythos Preview เป็นโมเดลแรกที่ "เคลียร์" cyber range (จำลองการโจมตีหลายขั้นตอน) ได้ทั้งสองชุด XBOW ซึ่งเป็นแพลตฟอร์มทดสอบความปลอดภัยอิสระ กล่าวว่า Mythos Preview มี "precision ที่ไม่เคยปรากฏมาก่อน" ในมาตรวัด ExploitBench และ ExploitGym โมเดลนี้ทำผลได้ดีที่สุดเป็นอันดับ 1
ช่องโหว่ในโอเพนซอร์ส: เปอร์เซ็นต์ยืนยัน 90.6%
นอกจากพาร์ทเนอร์แล้ว Anthropic ยังใช้ Mythos Preview สแกนโปรเจกต์โอเพนซอร์สกว่า 1,000 โปรเจกต์ที่เป็นฐานของอินเทอร์เน็ตในปัจจุบัน ผลคือพบช่องโหว่ระดับ high/critical ประมาณ 6,202 จุด เมื่อส่งให้บริษัทวิจัยความปลอดภัย 6 แห่งตรวจสอบ ปรากฏว่า 90.6% เป็นช่องโหว่จริง (true positive) และ 62.4% ได้รับการยืนยันว่าเป็นระดับ high/critical จริง
ตัวอย่างช่องโหว่ใน wolfSSL
หนึ่งในช่องโหว่ที่น่าตกใจที่สุดถูกค้นพบใน wolfSSL — ไลบรารีการเข้ารหัสแบบโอเพนซอร์สที่ใช้ในอุปกรณ์หลายพันล้านเครื่องทั่วโลก Mythos Preview สร้าง exploit ที่ทำให้ผู้โจมตีสามารถ ปลอมใบรับรอง (certificate) ได้ — หมายความว่าสามารถสร้างเว็บไซต์ปลอมของธนาคารหรือผู้ให้บริการอีเมลที่ดู "ถูกต้อง" ในสายตาผู้ใช้ทั่วไปได้ ช่องโหว่นี้ได้รับหมายเลข CVE-2026-5194 และถูกแก้ไขแล้ว
ปัญหาใหม่: หาเจอเร็วกว่าแก้ได้
แม้จะเป็นข่าวดีที่ AI หาช่องโหว่เก่งขนาดนี้ แต่ Anthropic ก็เผยปัญหาสำคัญ: ความเร็วในการหาช่องโหว่ เร็วกว่าความเร็วในการแก้ไขมาก ปัญหาคือ: ช่องโหว่ระดับ high/critical แต่ละจุดใช้เวลาแก้เฉลี่ย 2 สัปดาห์ Maintainer ของโปรเจกต์โอเพนซอร์สหลายคนขอให้ Anthropic ชะลอการแจ้งเตือน เพราะทำทันไม่ไหว ในจำนวนช่องโหว่ high/critical ที่แจ้งไปแล้ว 530 จุด มีเพียง 75 จุดที่ได้รับการแก้ไขแล้ว Anthropic เปรียบเทียบว่า ก่อนหน้านี้ "ขวดคอ" ของความปลอดภัยคือการหาช่องโหว่ แต่ตอนนี้ขวดคอย้ายมาอยู่ที่ การยืนยัน แจ้งเตือน และแก้ไข แล้ว
บทบาทอื่น ๆ ของ Mythos: ป้องกันการทุจริต
นอกจากหาช่องโหว่แล้ว Mythos Preview ยังช่วยงานด้านความปลอดภัยอื่น ๆ เช่น ธนาคารพาร์ทเนอร์แห่งหนึ่งของ Glasswing ใช้ Mythos Preview ตรวจจับและป้องกัน การโอนเงินทุจริตมูลค่า 1.5 ล้านดอลลาร์ หลังจากผู้ไม่ประสงค์ดีเจาะอีเมลลูกค้าและโทรปลอม
สิ่งที่ต้องทำต่อไป
Anthropic แนะนำว่าในช่วงเปลี่ยนผ่านนี้ที่ AI หาช่องโหว่เก่งขึ้นเรื่อย ๆ แต่ยังแก้ไม่ทัน ทุกฝ่ายควร: นักพัฒนา: ย่นรอบ patch ให้เร็วขึ้น ใช้ AI ช่วยในการแก้ไขบั๊ก ผู้ดูแลระบบ: ปรับใช้ patch เร็วขึ้น ทำ hardening ตามมาตรฐาน NIST และ NCSC ผู้ใช้ทั่วไป: อัปเดตซอฟต์แวร์อย่างสม่ำเสมอ
สรุป
Project Glasswing แสดงให้เห็นว่า AI รุ่นใหม่สามารถเป็น "อาวุธ" ของฝ่ายปกป้องได้อย่างที่ไม่เคยเป็นมาก่อน แต่ในขณะเดียวกันก็เปิดเผยปัญหาโครงสร้างที่สำคัญ: เมื่อ AI สามารถหาช่องโหว่ได้เร็วกว่าที่มนุษย์จะแก้ไขได้ เราต้องปรับตัวกันอย่างไร นี่คือจุดเปลี่ยนของวงการ cybersecurity — และมันเพิ่งเริ่มต้น แหล่งข้อมูล: Anthropic — Project Glasswing: An initial update