ความร่วมมือครั้งนี้แสดงให้เห็นว่า AI ไม่ได้เป็นเพียงเครื่องมือของผู้โจมตี แต่สามารถเป็นพันธมิตรสำคัญของผู้ป้องกัน การค้นหาช่องโหว่ที่เคยใช้เวลานานหลายเดือน ตอนนี้สามารถทำได้ภายในไม่กี่วันหรือไม่กี่ชั่วโมง
หากโลกซอฟต์แวร์สามารถใช้ AI อย่างมีความรับผิดชอบ เราอาจเข้าสู่ยุคที่การป้องกันภัยไซเบอร์ทันต่อการเปลี่ยนแปลงของผู้โจมตี
ทุกครั้งที่คุณเปิดเว็บไซต์ เบราว์เซอร์คือเกราะป้องกันด่านแรกจากภัยคุกคามที่แฝงมากับโค้ดและข้อมูลที่ไม่รู้จัก
การที่ Firefox ซึ่งมีผู้ใช้หลายร้อยล้านคนทั่วโลกต้องรับมือกับการโจมตีที่ซับซ้อน ทำให้การรักษาความปลอดภัยของมันไม่ใช่เรื่องเล็ก แต่เป็นภารกิจระดับโลก
Mozilla จึงร่วมมือกับ Anthropic บริษัทวิจัยด้าน AI ที่มุ่งเน้นความปลอดภัย เพื่อทดสอบว่าโมเดลภาษาขั้นสูงสามารถช่วยค้นหาช่องโหว่ได้จริงหรือไม่
ผลลัพธ์คือ Claude Opus 4.6 สามารถค้นพบ 22 ช่องโหว่ในเวลาเพียงสองสัปดาห์ โดย 14 ช่องโหว่ถูกจัดว่าเป็นระดับร้ายแรง ซึ่งคิดเป็นเกือบหนึ่งในห้าของช่องโหว่ร้ายแรงทั้งหมดที่ Firefox ได้แก้ไขในปี 2025
...AI นักล่าช่องโหว่
- Claude เริ่มจากการทดสอบกับช่องโหว่เก่า (CVEs) และสามารถระบุได้แม่นยำอย่างน่าประหลาดใจ
- จากนั้นทีมงานให้ Claude ค้นหาช่องโหว่ใหม่ในโค้ดจริงของ Firefox โดยเฉพาะใน JavaScript engine ซึ่งเป็นพื้นที่เสี่ยงเพราะต้องประมวลผลโค้ดจากภายนอก
- ภายในเวลาเพียง 20 นาที Claude พบช่องโหว่แบบ Use After Free ที่อาจเปิดทางให้ผู้โจมตีเขียนข้อมูลอันตรายลงในหน่วยความจำ
สิ่งที่น่าทึ่งคือในขณะที่นักวิจัยกำลังตรวจสอบ Claude ก็ยังคงค้นพบช่องโหว่ใหม่ ๆ อย่างต่อเนื่อง จนสุดท้ายมีการส่งรายงานกว่า 112 เคสไปยัง Mozilla
Mozilla ไม่เพียงรับรายงาน แต่ยังช่วยทีม Anthropicปรับกระบวนการให้เหมาะสม เช่น การส่งข้อมูลแบบ bulk แม้ยังไม่มั่นใจทุกเคส เพื่อให้ทีม triage ของ Mozilla คัดกรองได้รวดเร็ว
ผลลัพธ์คือ Firefox 148.0 ได้รับการอัปเดตแก้ไขช่องโหว่จำนวนมาก และผู้ใช้ทั่วโลกได้รับการปกป้องทันที
Anthropic ยังทดสอบว่า Claude สามารถสร้าง exploit หรือเครื่องมือโจมตีจากช่องโหว่ที่พบได้หรือไม่ ผลคือ Claude ทำได้เพียง 2 เคสจากหลายร้อยครั้ง และ exploit ที่สร้างขึ้นยังคง “หยาบ” ใช้งานได้เฉพาะในสภาพแวดล้อมทดสอบที่ไม่มี sandbox ของ Firefox
แม้จะยังไม่สมบูรณ์ แต่การที่ AI สามารถก้าวเข้าสู่การสร้าง exploit ได้ ถือเป็นสัญญาณเตือนว่าช่องว่างระหว่าง “การค้นหา” และ “การโจมตี” อาจถูกปิดลงในอนาคตอันใกล้
Anthropic และ Mozilla ได้สรุปแนวทางที่สำคัญสำหรับการใช้ AI ในงานรักษาความปลอดภัย
- Task Verifiers: เครื่องมือที่ตรวจสอบผลลัพธ์ของ AI แบบเรียลไทม์ เพื่อยืนยันว่าช่องโหว่ถูกแก้จริงและฟังก์ชันยังทำงานได้
- หลักฐานประกอบรายงาน: เช่น test case, proof-of-concept และ candidate patch เพื่อสร้างความเชื่อมั่นให้กับผู้ดูแลโค้ด
- กระบวนการเปิดเผยช่องโหว่แบบประสานงาน (CVD): เพื่อให้การแก้ไขเป็นไปตามมาตรฐานอุตสาหกรรมและลดความเสี่ยงจากการเผยแพร่ข้อมูลที่อาจถูกนำไปใช้โจมตี
Key Takeaways
- Claude Opus 4.6 พบ 22 ช่องโหว่ใน Firefox ภายในสองสัปดาห์ โดย 14 ช่องโหว่เป็นระดับร้ายแรง
- Mozilla อัปเดต Firefox 148.0 เพื่อแก้ไขช่องโหว่ที่ค้นพบและปกป้องผู้ใช้หลายร้อยล้านคน
- AI มีศักยภาพสูงในการ ค้นหาช่องโหว่ แต่ยังจำกัดในการสร้าง exploit อย่างสมบูรณ์
- Task Verifiers และหลักฐานประกอบรายงาน เป็นหัวใจสำคัญในการทำให้ AI มีประโยชน์ต่อผู้ดูแลโค้ด
- ความร่วมมือระหว่างนักวิจัย AI และผู้พัฒนาโอเพนซอร์สคือ แนวทางใหม่ในการรักษาความปลอดภัยซอฟต์แวร์ในยุค AI
…..
เรียบเรียงโดย AiNextopia
