กลุ่มผู้ใช้งานที่ไม่ได้รับอนุญาตสามารถเจาะระบบควบคุมการเข้าถึง 'Claude Mythos Preview' ซึ่งเป็นเครื่องมือด้านความปลอดภัยทางไซเบอร์จาก AI ประสิทธิภาพสูงที่ Anthropic ป้องกันการเข้าถึงไว้อย่างเข้มงวด ส่งผลให้สร้างความกังวลอย่างมากเกี่ยวกับความปลอดภัยของบริษัท Third-party และความเสี่ยงที่อาจเกิดขึ้น หากเครื่องมือที่มีประสิทธิภาพด้านการโจมตีทางไซเบอร์ขั้นสูงของ AI ตกไปอยู่ในมือของผู้ไม่หวังดีได้
เมื่อวันที่ 7 เมษายน 2026 มีการประกาศว่า Claude Mythos Preview เป็นโมเดล AI ที่ Anthropic ถูกระบุว่ามีความอันตรายเกินกว่าที่จะเปิดให้ใช้งานอย่างสาธารณะ เนื่องจากโมเดลดังกล่าวถูกนำมาใช้งานภายในโครงการ Glasswing ของ Anthropic เพื่อค้นหาช่องโหว่ประเภท Zero-day ในระบบปฏิบัติการ และเว็บเบราว์เซอหลัก ๆ รวมถึงการที่สามารถนำ Bugs ของซอฟท์แวร์มาประกอบ และเชื่อมโยงเพื่อสร้างชุดคำสั่งสำหรับโจมตีหลายขั้นตอนได้ (Multi-Step Exploits) ซึ่งโดยปกติแล้วมีเพียงแฮ็กเกอร์ที่มีความสามารถ และทักษะขั้นสูงเท่านั้นที่สามารถทำได้
ก่อนมีการเผยแพร่โมเดลดังกล่าว มีผลจากการทดสอบครั้งหนึ่งที่น่าสนใจ คือการพบว่า Mythos สามารถ escape ออกจากสภาพแวดล้อมแบบ Sandbox ได้ด้วยตนเอง ทั้ง ๆ ที่มีการรักษาความปลอดภัย Sandbox ดังกล่าวอย่างเข้มงวดก็ตาม ด้วยการคิดค้นชุดคำสั่งที่ใช้โจมตีในขั้นตอนต่าง ๆ (Multi-Step Exploit) เพื่อเข้าถึงอินเทอร์เน็ต รวมถึงการส่งอีเมลไปแจ้งนักวิจัยโดยที่ไม่ได้รับคำสั่งใด ๆ ให้ดำเนินการดังกล่าวเลย
ด้วยขีดความสามารถดังกล่าว ส่งผลให้ Anthropic จำกัดการเข้าถึงไว้ให้เพียงกลุ่มพันธมิตรที่เป็นบริษัทเทคโนโลยีชั้นนำกว่า 40 แห่งเท่านั้น ซึ่งหลัก ๆ ประกอบไปด้วย Apple, Amazon, Microsoft, Google, NVDIA, Cisco, และ CrowdStrike โดยมีจุดประสงค์เพื่อใช้ในการระบุ และแก้ไขช่องโหว่สำคัญของซอฟท์แวร์ ก่อนที่ผู้ไม่หวังดีจะค้นพบโจมตีช่องโหว่ดังกล่าวได้
กลุ่มผู้ไม่หวังดีสามารถเข้าถึงระบบโดยไม่ได้รับอนุญาตได้
แม้ว่าจะมีการป้องกันแล้วตามรายละเอียดข้างต้น ทั้งนี้ ทางสำนักงานข่าว Bloomberg ได้รายงานเมื่อวันที่ 21 เมษายน 2026 ว่ามีกลุ่มผู้ไม่หวังดีจำนวนหนึ่งสามารถเข้าถึงเพื่อใช้งานระบบ Mythos โดยไม่ได้รับอนุญาตได้ ผ่านทางระบบของบริษัท Third-party ในวันเดียวกันกับที่มีการประกาศเปิดตัวโมเดลต่อสาธารณะ
จากรายงานมีการระบุเพิ่มเติมว่า กลุ่มดังกล่าวได้มีการสื่อสารกันผ่านช่องแชทส่วนตัวบน Discord ซึ่งถูกสร้างขึ้นเพื่อการรวบรวมข้อมูลข่าวกรองเกี่ยวกับโมเดล AI ที่ยังไม่ได้มีการเผยแพร่ต่อสาธารณะ โดยกลุ่มนี้สามารถทำการคาดเดาที่อยู่ออนไลน์ของโมเดลดังกล่าวได้อย่างแม่นยำ จากข้อมูล URL ที่ทาง Anthropic ได้มีการตั้งค่าไว้สำหรับโมเดลที่อื่น ๆ ก่อนหน้านี้
การที่เหตุการณ์การบุกรุกดังกล่าวเกิดขึ้นได้นั้น ส่วนหนึ่งเป็นผลที่มาจากการดำเนินการของพนักงานปัจจุบันที่เป็นพนักงานของบริษัทคู่สัญญาภายนอกที่ทำงานร่วมกันกับทาง Anthropic
Bloomberg รายงานว่า มีกลุ่มพันธมิตรที่ได้รับสิทธิ์ในการเข้าถึงเพื่อทำการทดสอบเจาะระบบ (Penetration Testing) อยู่แล้ว แต่มีกลุ่มผู้ใช้งานที่ไม่ได้รับอนุญาตได้อาศัยช่องโหว่จากการใช้บัญชีผู้ใช้งาน และ API Keys ของบริษัทคู่สัญญาที่ได้รับอนุญาตในการลักลอบเข้าใช้งานระบบบดังกล่าวด้วย
กลุ่มผู้ใช้งานที่ไม่ได้รับอนุญาตดังกล่าวได้เข้าใช้งาน Mythos อย่างต่อเนื่องนับตั้งแต่ที่สามารถลักลอบเข้าถึงระบบได้ และได้ดำเนินการส่งมอบหลักฐานแก่ Bloomberg เป็นภาพหน้าจอ และวิดิโอสาธิตการใช้งานซอฟท์แวร์แบบถ่ายทอดสดได้
แหล่งข่าวระบุว่า เจตนาของกลุ่มนี้ถูกขับเคลื่อนด้วยความอยากรู้อยากเห็นเพียงเท่านั้น โดยระบุว่า "สนใจที่จะทดลองใช้งานโมเดลใหม่ ๆ เพียงเท่านั้น ไม่ได้มีเจตนาที่จะสร้างความเสียหายใด ๆ" อย่างไรก็ตามผู้เชี่ยวชาญด้านความปลอดภัยเน้นย้ำว่า เจตนาไม่มีความหมายใด ๆ เมื่อเครื่องมือที่กล่าวถึงนั้นมีขีดความสามารถในการสร้างการโจมตีทางไซเบอร์ที่รุนแรง และสร้างความเสียหายในวงกว้างได้
Anthropic ได้ออกมายืนยันว่ารับทราบสถานการณ์ดังกล่าวแล้ว และได้มีการแถลงการณ์ผ่าน TechCrunch โดยระบุว่า "ทางบริษัทอยู่ระหว่างการตรวจสอบรายงานที่มีการอ้างว่าสามารถเข้าถึง Claude Mythos Preview โดยไม่ได้รับอนุญาต ผ่านทางสภาพแวดล้อมของบริษัท Third-party รายหนึ่งของเราได้"
ทางบริษัทได้ให้ข้อมูลเพิ่มเติมว่า ณ ปัจจุบัน ยังไม่พบหลักฐานที่บ่งชี้ว่าการเข้าถึงระบบโดยไม่ได้รับอนุญาตดังกล่าว ได้สร้างความเสียหาย หรือส่งผลกระทบต่อระบบหลักของทาง Anthropic และผลกระทบที่ขยายเป็นวงกว้างนอกเหนือจากสภาพแวดล้อมของบริษัท Third-party ได้
ที่มา: cybersecuritynews
You must be logged in to post a comment.