ตัวอย่างพรีวิว Claude Mythos: AI ที่ยังไม่เปิดตัวของ Anthropic เจาะช่องโหว่ใน Linux และ OpenBSD ที่มนุษย์พลาดมานานหลายทศวรรษ

ประเด็นสำคัญ:

• Claude Mythos Preview ของ Anthropic ทำคะแนนได้ 83.1% บน Cybergym และพบซีโร่เดย์หลายพันรายการในทุกระบบปฏิบัติการและเบราว์เซอร์หลัก
• Project Glasswing เปิดตัวเมื่อวันที่ 7 เมษายน 2026 โดยมีพันธมิตรผู้ก่อตั้ง 11 ราย และมีเครดิตการใช้งาน Mythos สำหรับฝ่ายป้องกันสูงสุดถึง 100 ล้านดอลลาร์
• ช่องโหว่ OpenBSD ที่มีอายุ 27 ปี และบั๊ก FFmpeg ที่มีอายุ 16 ปี รอดพ้นการทดสอบอัตโนมัตินับล้านครั้ง จนกระทั่ง Mythos พบได้ภายในไม่กี่ชั่วโมง

Claude Mythos AI ทำคะแนนได้ 83% บน Cybergym และพบช่องโหว่วิกฤตในทุกเบราว์เซอร์และระบบปฏิบัติการหลัก

โมเดลนี้ซึ่ง Anthropic อธิบายว่าเป็นการเพิ่มขีดความสามารถของโมเดลเดี่ยวที่มากที่สุดในประวัติศาสตร์ AI ระดับแนวหน้า ได้เสร็จสิ้นการฝึกและประกาศต่อสาธารณะเมื่อวันที่ 7 เมษายน 2026 หลังจากรายละเอียดภายในรั่วไหลช่วงปลายเดือนมีนาคมผ่านระบบจัดการเนื้อหาที่ตั้งค่าผิดพลาด ซึ่งเปิดเผยไฟล์ภายในราว 3,000 ไฟล์

Anthropic จะไม่ปล่อย Claude Mythos Preview สู่สาธารณะหรือผ่าน API ทั่วไปของตน บริษัทจำกัดการเข้าถึงไว้กับกลุ่มพันธมิตรที่ผ่านการคัดกรอง หลังจากโมเดล แสดงให้เห็น ว่าสามารถค้นพบและใช้ประโยชน์จากช่องโหว่ซอฟต์แวร์ที่ไม่เคยรู้จักมาก่อนได้ ด้วยความเร็วและสเกลที่เหนือกว่าทั้งผู้เชี่ยวชาญมนุษย์และระบบ AI ก่อนหน้า

บนเบนช์มาร์กด้านความมั่นคงปลอดภัยไซเบอร์ ช่องว่างระหว่าง Mythos กับ Claude Opus 4.6 ชัดเจนเกินจะมองข้าม Mythos ทำได้ 83.1% บน Cybergym เทียบกับ 66.6% สำหรับ Opus 4.6 และทำได้ 93.9% เทียบกับ 80.8% บน SWE-bench Verified บน SWE-bench Pro ทำได้ 77.8% เทียบกับ 53.4% — ต่างกัน 24 จุด และทำได้ 56.8% บน Humanity’s Last Exam โดยไม่ใช้เครื่องมือ เทียบกับ 40.0% สำหรับรุ่นก่อนหน้า

โมเดลนี้ไม่จำเป็นต้องผ่านการฝึกเฉพาะทางด้านความมั่นคงปลอดภัยไซเบอร์เพื่อค้นหาบั๊กเหล่านี้ ความก้าวหน้ามาจากการพัฒนาที่กว้างขึ้นในด้านการให้เหตุผล การวางแผนหลายขั้นตอน และพฤติกรรมแบบเอเจนต์อัตโนมัติ เมื่อได้รับโค้ดเบสเป้าหมายในคอนเทนเนอร์แบบแยก มันจะอ่านซอร์สโค้ด ตั้งสมมติฐานเกี่ยวกับช่องโหว่ด้านความปลอดภัยของหน่วยความจำ คอมไพล์และรันซอฟต์แวร์ ใช้ดีบักเกอร์อย่าง Address Sanitizer จัดอันดับไฟล์ตามความเป็นไปได้ของช่องโหว่ และสร้างรายงานบั๊กที่ผ่านการยืนยันพร้อมเอ็กซ์พลอยต์แบบ proof-of-concept ที่ใช้งานได้

เอ็กซ์พลอยต์บางส่วนเหล่านั้น ต้องการ แทบจะไม่มีการชี้นำจากมนุษย์เลย Tomshardware.com รายงาน ว่าช่องโหว่ OpenBSD TCP SACK ที่มีอายุ 27 ปี ซึ่งเป็น integer overflow แบบละเอียดอ่อนที่ทำให้ผู้โจมตีสามารถทำให้โฮสต์ใดๆ ที่ตอบสนองล่มจากระยะไกลได้ด้วยการสร้างแพ็กเก็ตอันตราย ถูกค้นพบแบบอัตโนมัติหลังจากรันราว 1,000 ครั้ง ด้วยต้นทุนรวมต่ำกว่า 20,000 ดอลลาร์ บั๊ก FFmpeg H.264 ที่มีอายุ 16 ปี รอดพ้นการทดสอบอัตโนมัติมากกว่า 5 ล้านครั้งและการตรวจสอบหลายรอบก่อนที่ Mythos จะจับได้

ผลลัพธ์ฝั่งเบราว์เซอร์ได้รับความสนใจเป็นพิเศษ ในการทดสอบเอนจิน JavaScript ของ Firefox 147, Mythos สร้างเอ็กซ์พลอยต์แบบ full shell ได้ 181 รายการ และกรณีควบคุมรีจิสเตอร์ได้ 29 กรณี ขณะที่ Claude Opus 4.6 สร้างเอ็กซ์พลอยต์แบบ shell ได้เพียงสองรายการจากชุดทดสอบเดียวกัน โมเดลยังสร้างเชนยกระดับสิทธิ์ของเคอร์เนล Linux ที่ใช้งานได้จริง จากผู้ใช้สู่รูทบนเซิร์ฟเวอร์ หลังจากคัดกรอง CVE ล่าสุด 100 รายการให้เหลือผู้ต้องสงสัยที่เอ็กซ์พลอยต์ได้ 40 รายการ และเอ็กซ์พลอยต์สำเร็จมากกว่าครึ่ง

ผู้ตรวจสอบที่เป็นมนุษย์ได้ทบทวนรายงานช่องโหว่ 198 รายการของโมเดล และเห็นพ้องกับการจัดระดับความรุนแรงของมัน 89% ของเวลา โดยมีความสอดคล้อง 98% ภายในความต่างไม่เกินหนึ่งระดับความรุนแรง

Project Glasswing

จนถึงขณะนี้ มีบั๊กที่ระบุได้ถูกแพตช์สมบูรณ์แล้วน้อยกว่า 1% Anthropic กำลังประสานงานการเปิดเผยอย่างรับผิดชอบ เผยแพร่คอมมิตเมนต์แบบคริปโตกราฟิก SHA-3 สำหรับประเด็นที่ยังไม่แพตช์ และใช้ไทม์ไลน์ 90 บวก 45 วันก่อนเผยรายละเอียดทั้งหมด บั๊ก FreeBSD NFS server ที่ทำให้เกิดการรันโค้ดจากระยะไกล CVE-2026-4747 ซึ่งมีอายุ 17 ปี และให้สิทธิ์รูทแบบไม่ต้องยืนยันตัวตนเต็มรูปแบบ เป็นหนึ่งในตัวอย่างที่มีการระบุชื่อซึ่งอยู่ระหว่างการเปิดเผยแล้ว

Project Glasswing ซึ่งประกาศพร้อมกับโมเดล เป็นความพยายามของ Anthropic ในการชี้นำขีดความสามารถเหล่านี้ไปสู่การป้องกัน ก่อนที่เครื่องมือคล้ายกันจะพร้อมใช้อย่างแพร่หลาย พันธมิตรผู้ก่อตั้งประกอบด้วย Amazon Web Services, Apple, Broadcom, Cisco, Crowdstrike, Google, JPMorganChase, Linux Foundation, Microsoft, Nvidia และ Palo Alto Networks การเข้าถึงกำลังถูกขยายไปยังองค์กรซอฟต์แวร์สำคัญเพิ่มเติมมากกว่า 40 แห่ง

Anthropic ให้คำมั่นบริจาคด้านความปลอดภัยโอเพนซอร์ส 4 ล้านดอลลาร์: 2.5 ล้านดอลลาร์ให้ Alpha-Omega ผ่าน OpenSSF ภายใต้ Linux Foundation และ 1.5 ล้านดอลลาร์ให้ Apache Software Foundation

บริษัทยอมรับว่าเครื่องมือ AI อย่าง Mythos ช่วยลดอุปสรรคในการค้นหาและใช้ประโยชน์จากช่องโหว่ และชี้ถึงความเสี่ยงระยะใกล้จากรัฐผู้เล่น เช่น จีน อิหร่าน เกาหลีเหนือ และรัสเซีย รวมถึงกลุ่มอาชญากรรม หากขีดความสามารถลักษณะเดียวกันแพร่กระจายโดยไม่มีการควบคุม โดยอธิบายว่าจะมีช่วงความปั่นป่วนระหว่างทางก่อนที่ฝ่ายป้องกันจะบูรณาการเทคโนโลยีนี้ได้อย่างเต็มที่

Anthropic ระบุว่าเวอร์ชัน Claude Opus ที่จะออกในอนาคตจะรวมมาตรการคุ้มกันเพื่อ ตรวจจับและบล็อกเอาต์พุตด้านความมั่นคงปลอดภัยไซเบอร์ที่เป็นอันตราย และมีแผนแนะนำโปรแกรม Cyber Verification Program สำหรับผู้เชี่ยวชาญด้านความปลอดภัยที่ผ่านการคัดกรอง คาดว่าจะมีรายงานสาธารณะเกี่ยวกับผลการค้นพบของพันธมิตรและช่องโหว่ที่ถูกแพตช์ภายใน 90 วัน