All Posts

Project Glasswing กับ Claude Mythos Preview: เมื่อความร่วมมือข้ามค่ายพยายามรักษาโค้ดสำคัญในยุค AI

10 min read2026

เมื่อ «ปีกแก้ว» ไม่ได้หมายถึงแค่ความงาม

ช่วงที่ผ่านมา วงการเทคโนโลยีได้เห็นความเคลื่อนไหวใหญ่ที่ผูก ปัญญาประดิษฐ์ เข้ากับ ความมั่นคงปลอดภัยของซอฟต์แวร์ อย่างชัดเจนขึ้น บทความนี้สรุปสองเรื่องที่เกี่ยวเนื่องกันอย่างแน่นแฟ้น: Project Glasswing ความร่วมมือข้ามองค์กรระดับโลก และ Claude Mythos Preview โมเดลชายแดน (frontier) ที่ Anthropic นำเสนอในบริบทการค้นหาและใช้ประโยชน์จากช่องโหว่เพื่อการป้องกัน—พร้อมอธิบายว่าทำไมประเด็นนี้จึงสำคัญต่อนักพัฒนาและผู้บริหารด้านผลิตภัณฑ์ในไทยที่ติดตามความเสี่ยงของระบบ

ข้อมูลหลักในบทความนี้อ้างอิงจาก ประกาศ Project Glasswing ของ Anthropic โดยตรง

Project Glasswing คืออะไร และทำไมจึงเป็น «พันธมิตรใหญ่»

Project Glasswing เป็นโครงการที่ Anthropic ประกาศว่ามุ่ง รักษาความปลอดภัยของซอฟต์แวร์ที่สำคัญต่อโครงสร้างพื้นฐานดิจิทัล ในยุคที่ AI มีบทบาทมากขึ้น โดยมีพันธมิตรเปิดตัวที่ Anthropic ระบุไว้ ได้แก่ Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA และ Palo Alto Networks และมีองค์กรอื่นที่เข้าร่วมในมิติต่าง ๆ ตามที่โครงการกำหนดเพิ่มเติม

แนวคิดของ Glasswing สะท้อนว่า ซอฟต์แวร์โอเพนซอร์สและซอฟต์แวร์ที่ใช้ร่วมกันอย่างกว้างขวาง เป็นเส้นเลือดใหญ่ของระบบทั่วโลก Jim Zemlin ประธานเจ้าหน้าที่บริหาร Linux Foundation กล่าวไว้ดังนี้

"Open source software constitutes the vast majority of code in modern systems, including the very systems AI agents use to write new software."

ในทางปฏิบัติ นั่นหมายความว่าการลงทุนด้านความปลอดภัยไม่ใช่เรื่องขององค์กรเดียว แต่เป็นเรื่องของ ความทนทานของระบบร่วมกัน

ด้านผู้ให้บริการความมั่นคงปลอดภัย Elia Zaitsev ประธานเจ้าหน้าที่เทคโนโลยีของ CrowdStrike ให้ภาพระยะเวลาตอบสนองต่อภัยคุกคามไว้ดังนี้

"The window between a vulnerability being discovered and being exploited by an adversary has collapsed—what once took months now happens in minutes with AI."

ข้อความนี้ช่วยอธิบายว่าเหตุใดชุมชนจึงต้องการเครื่องมือและกระบวนการที่รวดเร็วและแม่นยำขึ้น โดยเฉพาะเมื่อการค้นพบช่องโหว่และการทดสอบเชิงรุกถูกเร่งด้วยระบบอัตโนมัติและ AI

Claude Mythos Preview: โมเดลที่ยังไม่เปิดให้บริการทั่วไป และข้อความจาก Anthropic

Claude Mythos Preview เป็นโมเดลประเภทใช้งานทั่วไป (general-purpose) ในระดับชายแดนที่ Anthropic ยังไม่วางแผนให้มีให้บริการแบบทั่วไป (generally available) ผู้อ่านจึงควรมองว่าเป็นช่วง research preview / การเข้าถึงแบบจำกัด มากกว่าผลิตภัณฑ์ที่พร้อมผูกเข้ากับระบบ production โดยไม่มีเงื่อนไข

Anthropic อธิบายความสามารถของ Mythos Preview ว่า AI ในระดับนี้สามารถ ค้นหาและใช้ประโยชน์จากช่องโหว่ซอฟต์แวร์ได้ในระดับที่เหนือกว่ามนุษย์เกือบทั้งหมด ยกเว้นผู้เชี่ยวชาญที่เก่งที่สุดกลุ่มหนึ่ง Anthropic ยังระบุว่า Mythos Preview พบ ช่องโหว่แบบ zero-day จำนวนหลายพันรายการ (ช่องโหว่ที่ผู้พัฒนาซอฟต์แวร์ยังไม่เคยทราบมาก่อน) หลายรายการมีความรุนแรงสูง รวมถึงใน ระบบปฏิบัติการและเว็บเบราว์เซอร์หลักทุกตัวที่กล่าวถึงในประกาศ รวมถึงซอฟต์แวร์สำคัญอื่น ๆ

ข้อความเหล่านี้เป็น การประกาศและการรายงานจากฝั่ง Anthropic ผู้อ่านควรแยกแยะระหว่าง «การสื่อสารความสามารถ» กับ «หลักฐานที่ตรวจสอบได้แบบเปิดครบถ้วนในที่เดียว» และควรติดตามรายละเอียดเชิงเทคนิคจาก บล็อก Frontier Red Team ของ Anthropic ซึ่งให้รายละเอียดเฉพาะชุดย่อยที่ แพตช์แล้ว และในบางกรณีรวมวิธีที่โมเดลใช้ในการ exploit รวมถึงการใช้ แฮชเข้ารหัส ของรายละเอียดบางส่วนจนกว่าจะมีการแก้ไข—เป็นแนวทางที่สะท้อนความระมัดระวังในการเปิดเผยข้อมูลที่อาจถูกนำไปใช้ในทางที่เป็นอันตราย

ทิศทางการใช้งานที่ Anthropic เน้นคือ การใช้เชิงป้องกัน (defensive use) และการสนับสนุนงานรักษาความปลอดภัยของซอฟต์แวร์สำคัญ ไม่ใช่การส่งเสริมให้นำไปเป็นเครื่องมือโจมตีนอกกรอบ

ตัวอย่างช่องโหว่ที่ Anthropic หยิบยก: ความลึกของบั๊กเก่าและความซับซ้อนของห่วงโซ่สิทธิ์

Anthropic ยกตัวอย่างเคสดังนี้

  • ช่องโหว่บน OpenBSD ที่มีอายุราว 27 ปี ทำให้ผู้โจมตีสามารถทำให้เครื่องที่รันระบบปฏิบัติการนี้ crash จากระยะไกลได้เพียงการเชื่อมต่อเข้ามา
  • ช่องโหว่ใน FFmpeg ที่มีอายุราว 16 ปี ในบรรทัดโค้ดที่เครื่องมือทดสอบอัตโนมัติ «ชน» มาแล้วประมาณ 5 ล้านครั้ง โดยไม่พบปัญหา—ตัวเลขนี้อธิบาย ขนาดของการสัมผัสกับการทดสอบอัตโนมัติ ไม่ใช่จำนวนผู้ใช้งานทั่วไป
  • การค้นพบและผูกโยง (chain) ช่องโหว่หลายจุดใน Linux kernel เพื่อยกระดับสิทธิ์จากผู้ใช้ธรรมดาไปสู่การควบคุมเครื่องได้อย่างสมบูรณ์

ตัวอย่างเหล่านี้มีคุณค่าในเชิงสื่อสารว่า ความเสี่ยงบางอย่างอาจซ่อนอยู่นาน และเครื่องมือช่วยค้นพบอาจลด «หนี้ด้านความปลอดภัย» ได้ ทว่าในองค์กรจริง สิ่งที่ยังสำคัญคือ กระบวนการแพตช์ การตรวจสอบผลกระทบ และการบริหารความเสี่ยง ไม่ใช่เพียงการ «พบช่องโหว่ได้เร็ว» อย่างเดียว

ตัวเลข benchmark: อ่านอย่างมีข้อจำกัด (รายงานของ Anthropic และคู่ค้า)

ชุดตัวเลขด้านล่างปรากฏใน เอกสารและการประชาสัมพันธ์ของ Anthropic ไม่ใช่ผลการทดสอบอิสระที่ผู้เขียนยืนยันแยกต่างหาก ดังนั้นควรใช้เพื่อเข้าใจ ทิศทางที่ผู้จัดพยายามสื่อ มากกว่าใช้เป็นคำตอบขั้นสุดท้ายว่าโมเดลใด «ดีกว่า» ในทุกงานจริง

บนหน้าประกาศของ Anthropic ยังมี คำอธิบายวิธีประเมินและข้อจำกัด (เช่น การคัดกรอง memorization ในบางชุด SWE-bench เงื่อนไข harness/token ของ Terminal-Bench และข้อควรทราบอื่น ๆ) ผู้อ่านที่ต้องการตีความตัวเลขอย่างรอบคอบควรอ่านประกอบจากแหล่งต้นทาง

  • CyberGym: Mythos Preview 83.1% เทียบกับ Claude Opus 4.6 ที่ 66.6%
  • SWE-bench Pro: 77.8% เทียบกับ 53.4%
  • Terminal-Bench 2.0: 82.0% เทียบกับ 65.4%

ข้อจำกัดที่ควรจำไว้เสมอ

  1. ชุดทดสอบไม่เทียบเท่างาน production ทั้งหมด—งานจริงมีบริบท ข้อจำกัดนโยบาย และข้อมูลที่กระจัดกระจาย
  2. การเปรียบเทียบข้ามรุ่นหรือข้ามช่วงเวลา อาจได้รับผลจากการปรับปรุงเครื่องมือ การตั้งค่า และวิธีการประเมิน
  3. ความสามารถด้าน exploit ในกรอบวิชาการ/การประกาศ ไม่ได้หมายความว่าควรนำไปใช้นอกกรอบกฎหมายหรือนอกนโยบายองค์กร

การเข้าถึง เงินทุน และราคาหลังช่วงเครดิต

Anthropic ระบุกรอบการสนับสนุน เช่น เครดิตการใช้งานโมเดลมูลค่าสูงถึง 100 ล้านดอลลาร์สหรัฐ สำหรับ Project Glasswing และผู้เข้าร่วมเพิ่มเติม และ เงินบริจาค 4 ล้านดอลลาร์สหรัฐ แบ่งเป็น 2.5 ล้านดอลลาร์ ให้ Alpha-Omega และ OpenSSF ผ่าน Linux Foundation และ 1.5 ล้านดอลลาร์ ให้ Apache Software Foundation นอกจากนี้มีการกล่าวถึงการขยายการเข้าถึงให้ องค์กรเพิ่มเติมกว่า 40 แห่ง ที่สร้างหรือดูแลโครงสร้างพื้นฐานซอฟต์แวร์ที่สำคัญ

ด้านราคา หลังช่วงที่เครดิตครอบคลุม Anthropic ระบุว่า Mythos Preview จะมีราคาประมาณ 25 ดอลลาร์ / 125 ดอลลาร์ ต่อล้านโทเค็น (input/output) โดยผู้เข้าร่วมสามารถเข้าถึงผ่าน Claude API, Amazon Bedrock, Google Cloud Vertex AI และ Microsoft Foundry ตัวเลขและเงื่อนไขอาจเปลี่ยนแปลง—องค์กรไทยที่พิจารณาใช้งานควรตรวจสอบเอกสารล่าสุดของผู้ให้บริการโดยตรง

Heather Adkins รองประธานฝ่ายวิศวกรรมความมั่นคงปลอดภัยของ Google กล่าวไว้ดังนี้

"Google is pleased to see this cross-industry cybersecurity initiative coming together and to make Mythos Preview available to participants via Vertex AI."

แผนอนาคต การพิสูจน์ยืนยัน และ safeguards

Anthropic วางแผนพัฒนา safeguards ด้านความมั่นคงปลอดภัยไปพร้อมกับ โมเดล Claude Opus รุ่นถัดไป เพื่อตรวจจับและบล็อกเอาต์พุตที่เป็นอันตรายที่สุดของโมเดลระดับ Mythos โดยไม่ต้องปล่อยความเสี่ยงในระดับเดียวกับ Mythos Preview ลงสู่การใช้งานทั่วไปก่อนกำหนด สำหรับผู้ประกอบวิชาชีพที่งานถูกกระทบโดย safeguards เหล่านี้ Anthropic ระบุว่าจะสามารถยื่นขอเข้าร่วม Cyber Verification Program ที่จะเปิดในอนาคต

นอกจากนี้ Anthropic ระบุว่าภายใน 90 วัน จะรายงานต่อสาธารณะถึงสิ่งที่เรียนรู้ ช่องโหว่ที่แก้ไขได้ และการปรับปรุงที่เปิดเผยได้ พร้อมทำงานร่วมกับองค์กรด้านความมั่นคงปลอดภัยเพื่อจัดทำ ข้อเสนอแนะเชิงปฏิบัติ ในหัวข้อ เช่น กระบวนการเปิดเผยช่องโหว่ กระบวนการอัปเดตซอฟต์แวร์ ความปลอดภัยของซอฟต์แวร์โอเพนซอร์สและซัพพลายเชน วงจรพัฒนาซอฟต์แวร์และแนวทาง secure-by-design มาตรฐานสำหรับอุตสาหกรรมที่มีการกำกับ การขยายการคัดกรองและระบบอัตโนมัติ และการแพตช์แบบอัตโนมัติ

ทำไมชื่อเรื่องถึงมี «ผีเสื้อ» และคำว่า Mythos

ชื่อ Glasswing อ้างอิง ผีเสื้อ Greta oto ที่มีปีกโปร่งใสราวแก้ว—ในทางอุปมา Anthropic เชื่อมโยงได้สองด้าน: ปีกใสทำให้ซ่อนตัว «อยู่ต่อหน้า» เหมือนช่องโหว่ที่มองข้ามได้ยาก และความโปร่งใสยังสื่อถึงแนวทางการเปิดเผยข้อมูลที่โครงการผลักดัน

ส่วน Mythos Anthropic อธิบายว่ามาจากภาษากรีกโบราณ หมายถึง คำพูดหรือการเล่าเรื่อง (utterance/narrative) คือระบบเรื่องเล่าที่อารยธรรมใช้ในการให้ความหมายกับโลก—ในการสื่อสารครั้งนี้จึงเป็นกรอบภาษา ไม่ใช่การยืนยันทางวิทยาศาสตร์เชิงเดียว

สรุปสำหรับผู้อ่านไทย: ควรจับประเด็นอะไร และไม่ควรตื่นเต้นเกินเหตุ

สำหรับนักพัฒนาและผู้บริหารด้านผลิตภัณฑ์ในไทยที่ติดตามความเสี่ยงของระบบ บทเรียนหลักมีสามข้อที่ชัดเจน

  1. Glasswing คือสัญญาณว่าความมั่นคงปลอดภัยของซอฟต์แวร์พื้นฐานเป็นเรื่องของห่วงโซ่อุปทานและความร่วมมือข้ามค่าย ไม่ใช่เพียงทีมความปลอดภัยขององค์กรเดียว
  2. Mythos Preview ยังไม่ใช่ผลิตภัณฑ์ GA และข้อความเรื่องความสามารถด้านช่องโหว่ควรอ่านคู่กับ บล็อก Red Team การจัดการการเปิดเผยข้อมูล และกรอบการใช้งานเชิงป้องกันตามที่ Anthropic นำเสนอ
  3. ตัวเลข benchmark เป็นรายงานของ Anthropic (และข้อความจากคู่ค้าในบางจุด)—ใช้เพื่อเข้าใจทิศทางได้ แต่การตัดสินใจนำเข้าใช้ในองค์กรต้องอิ่ง งานจริง นโยบาย และการกำกับดูแล มากกว่าตารางเปรียบเทียบหน้าเดียว

หากคุณดูแลระบบที่พึ่งพาโอเพนซอร์สและบริการคลาวด์เป็นหลัก ช่วงเวลานี้เป็นจังหวะที่ดีในการทบทวนว่า กระบวนการแพตช์ การตรวจสอบซัพพลายเชน และการบันทึกหลักฐานการตัดสินใจด้านความปลอดภัย ยังทันกับโลกที่ «หน้าต่างเวลา» ระหว่างการค้นพบกับการถูกนำไปใช้โจมตีหดสั้นลงหรือไม่—ไม่ว่าเครื่องมือใหม่จะถูกตั้งชื่อตามผีเสื้อหรือคำว่า mythos ก็ตาม