ตัวอย่าง Claude Mythos ที่ยังไม่เผยแพร่ของ Anthropic ได้ระบุช่องโหว่ zero-day ที่มีความรุนแรงสูงหลายพันรายการอย่างอิสระทั่วทุกระบบปฏิบัติการหลักและเว็บเบราว์เซอร์ พร้อมทั้งทำให้บริษัทเปิดตัว Project Glasswing ซึ่งเป็นพันธมิตรด้านความปลอดภัยทางไซเบอร์แบบเชิงรับ โดยได้รับการสนับสนุนจากเครดิตการใช้งาน AI สูงสุด $100 ล้าน
ประเด็นสำคัญ:
- ตัวอย่าง Claude Mythos ของ Anthropic ทำคะแนนได้ 83.1% บน Cybergym โดยพบ zero-day หลายพันรายการในทุกระบบปฏิบัติการและเบราว์เซอร์หลัก
- Project Glasswing เปิดตัวเมื่อวันที่ 7 เมษายน 2026 โดยมีพาร์ทเนอร์ผู้ก่อตั้ง 11 ราย และเครดิตการใช้งาน Mythos สำหรับผู้ปกป้องสูงสุด $100 ล้าน
- ช่องโหว่ของ OpenBSD อายุ 27 ปี และบั๊ก FFmpeg อายุ 16 ปี รอดพ้นจากการทดสอบอัตโนมัตินับล้านครั้ง จนกระทั่ง Mythos ไปพบมันภายในไม่กี่ชั่วโมง
Claude Mythos AI ทำคะแนนได้ 83% บน Cybergym และพบจุดบกพร่องร้ายแรงในทุกเบราว์เซอร์และระบบปฏิบัติการหลัก
โมเดลนี้ ซึ่ง Anthropic อธิบายว่าเป็นความก้าวหน้าด้านความสามารถแบบโมเดลเดียวที่ยิ่งใหญ่ที่สุดในประวัติศาสตร์ของ AI สายหน้า ได้เสร็จสิ้นการฝึกแล้ว และมีการประกาศต่อสาธารณะเมื่อวันที่ 7 เมษายน 2026 หลังจากรายละเอียดภายในถูกเปิดเผยในช่วงปลายเดือนมีนาคม อันเป็นผลมาจากระบบจัดการเนื้อหาที่ตั้งค่าไว้ไม่ถูกต้อง ซึ่งทำให้ไฟล์ภายในประมาณ 3,000 ไฟล์ถูกเปิดเผย
Anthropic ไม่ได้ตั้งใจจะเผยแพร่ Claude Mythos Preview ต่อสาธารณะหรือผ่าน API ทั่วไปของบริษัท โมเดลได้รับการจำกัดการเข้าถึงไว้กับกลุ่มพาร์ทเนอร์ที่ผ่านการคัดกรอง หลังจากที่โมเดลแสดงให้เห็นว่าสามารถค้นหาและใช้ประโยชน์จากจุดบกพร่องของซอฟต์แวร์ที่ไม่เคยรู้มาก่อนได้ ด้วยความเร็วและขนาดที่เหนือกว่าทั้งผู้เชี่ยวชาญมนุษย์ และระบบ AI รุ่นก่อนหน้า
ในการประเมินด้านความปลอดภัยทางไซเบอร์ gap ระหว่าง Mythos และ Claude Opus 4.6 นั้นละเลยไม่ได้ Mythos ทำคะแนนได้ 83.1% บน Cybergym เทียบกับ 66.6% สำหรับ Opus 4.6 และ 93.9% เทียบกับ 80.8% บน SWE-bench Verified ใน SWE-bench Pro มันทำได้ 77.8% เทียบกับ 53.4% — ช่องว่าง 24 คะแนน มันทำได้ 56.8% บน Humanity’s Last Exam โดยไม่ใช้เครื่องมือ เทียบกับ 40.0% สำหรับรุ่นก่อนหน้า
โมเดลไม่จำเป็นต้องมีการฝึกเฉพาะด้านความปลอดภัยทางไซเบอร์เพื่อค้นหาช่องโหว่เหล่านี้ ความสามารถที่เพิ่มขึ้นมาจากความก้าวหน้าในด้านการให้เหตุผลที่กว้างขึ้น การวางแผนแบบหลายขั้นตอน และพฤติกรรมแบบตัวแทนเชิงอิสระ เมื่อกำหนดให้มีฐานโค้ดเป้าหมายในคอนเทนเนอร์ที่แยกออกมา มันจะอ่านซอร์สโค้ด ตั้งสมมติฐานเกี่ยวกับข้อบกพร่องด้านความปลอดภัยของหน่วยความจำ คอมไพล์และรันซอฟต์แวร์ ใช้ดีบักเกอร์ เช่น Address Sanitizer จัดอันดับไฟล์ตามความเป็นไปได้ของช่องโหว่ และสร้างรายงานบั๊กที่ผ่านการตรวจสอบ พร้อมหลักฐานเชิงแนวคิด (proof-of-concept) ที่ใช้งานได้
บางส่วนของการเอ็กซ์พลอยต์เหล่านั้นแทบไม่ต้องการคำแนะนำจากมนุษย์เลย Tomshardware.com รายงานว่าช่องโหว่ OpenBSD TCP SACK ของผู้ใช้ที่อายุ 27 ปี ซึ่งเป็นความล้นจำนวนเต็มที่ละเอียดอ่อนและทำให้ผู้โจมตีสามารถทำให้โฮสต์ใด ๆ ที่ตอบรับขณะนั้นขัดข้องจากระยะไกลได้ ด้วยการสร้างแพ็กเก็ตที่เป็นอันตราย ถูกพบอย่างอิสระหลังจากรันไปประมาณ 1,000 ครั้ง โดยมีต้นทุนรวมต่ำกว่า $20,000 ส่วนบั๊ก FFmpeg H.264 ของผู้ใช้ที่อายุ 16 ปี รอดจากการทดสอบอัตโนมัติมากกว่าห้าล้านครั้งและการตรวจสอบหลายครั้ง ก่อนที่ Mythos จะจับได้
ผลลัพธ์ด้านเบราว์เซอร์ได้รับความสนใจเป็นพิเศษ ในการทดสอบเครื่องยนต์ JavaScript ของ Firefox 147 Mythos สร้าง full shell exploits ได้ 181 รายการ และเคสควบคุมรีจิสเตอร์ 29 รายการ Claude Opus 4.6 สร้าง shell exploits ได้สองรายการในชุดทดสอบเดียวกัน โมเดลยังสร้างสายโซ่การยกระดับสิทธิ์ของเคอร์เนล Linux ที่ใช้งานได้ จากผู้ใช้สู่ root บนเซิร์ฟเวอร์ หลังจากกรอง CVE ใหม่ 100 รายการให้เหลือผู้สมัครที่เอ็กซ์พลอยต์ได้ 40 รายการ และสามารถเอ็กซ์พลอยต์ได้มากกว่าครึ่ง
ผู้ตรวจสอบที่เป็นมนุษย์ได้ทบทวนรายงานช่องโหว่ของโมเดล 198 ฉบับ และเห็นด้วยกับการให้คะแนนความรุนแรง 89% ของเวลา โดยมีความเห็นพ้องกัน 98% ภายในระดับความรุนแรงเดียว
Project Glasswing
จนถึงตอนนี้ มีการแพตช์อย่างครบถ้วนให้กับบั๊กที่ระบุได้ไม่ถึง 1% Anthropic กำลังประสานงานการเผยแพร่แบบรับผิดชอบ เผยแพร่พันธะการเข้ารหัส SHA-3 สำหรับปัญหาที่ยังไม่ถูกแก้ไข และติดตามไทม์ไลน์ 90-plus-45 วัน ก่อนจะปล่อยรายละเอียดแบบเต็ม ตัวอย่างที่ถูกระบุไว้แล้วในการเผยแพร่ได้แก่ บั๊ก remote code execution ของเซิร์ฟเวอร์ FreeBSD NFS CVE-2026-4747 อายุ 17 ปี ซึ่งให้สิทธิ์ root แบบไม่ต้องยืนยันตัวตนเต็มรูปแบบ
Project Glasswing ที่ประกาศไปพร้อมกับโมเดลนี้ เป็นความพยายามของ Anthropic ในการชี้ความสามารถเหล่านี้ไปที่การป้องกัน ก่อนที่เครื่องมือที่คล้ายกันจะพร้อมใช้งานอย่างแพร่หลาย พาร์ทเนอร์ผู้ก่อตั้งประกอบด้วย Amazon Web Services, Apple, Broadcom, Cisco, Crowdstrike, Google, JPMorganChase, the Linux Foundation, Microsoft, Nvidia และ Palo Alto Networks กำลังขยายการเข้าถึงไปยังองค์กรซอฟต์แวร์ที่สำคัญเพิ่มเติมมากกว่า 40 ราย
Anthropic ให้คำมั่น $4 ล้านดอลลาร์สำหรับการบริจาคเพื่อความปลอดภัยแบบโอเพนซอร์ส: 2.5 ล้านดอลลาร์ให้กับ Alpha-Omega ผ่าน OpenSSF ผ่าน the Linux Foundation และ 1.5 ล้านดอลลาร์ให้กับ Apache Software Foundation
บริษัทรับทราบว่าเครื่องมือ AI เช่น Mythos ช่วยลดอุปสรรคในการค้นหาและใช้ประโยชน์จากช่องโหว่ และได้ชี้ความเสี่ยกระยะใกล้จากผู้มีอำนาจรัฐ จีน อิหร่าน เกาหลีเหนือ และรัสเซีย รวมถึงกลุ่มอาชญากร หากความสามารถที่คล้ายกันแพร่กระจายโดยไม่มีมาตรการควบคุม บริษัทกล่าวถึงช่วงเวลาแห่งความปั่นป่วนระหว่างเปลี่ยนผ่าน ก่อนที่ผู้ปกป้องจะบูรณาการเทคโนโลยีได้อย่างเต็มที่
Anthropic กล่าวว่า การเปิดตัว Claude Opus ในอนาคตจะมีมาตรการป้องกันเพื่อคอยตรวจจับและบล็อกเอาต์พุตด้านความปลอดภัยทางไซเบอร์ที่อันตราย และมีแผนจะนำ Cyber Verification Program สำหรับผู้เชี่ยวชาญด้านความปลอดภัยที่ผ่านการคัดกรอง ภายใน 90 วันคาดว่าจะมีรายงานสาธารณะเกี่ยวกับผลการค้นพบของพาร์ทเนอร์และช่องโหว่ที่ได้รับการแพตช์
