- 20
- เมษายน
ต้นเดือนเมษายน 2569 Anthropic เปิดตัว Project Glasswing — โปรแกรมให้ $100 ล้าน (ประมาณ 3,400 ล้านบาท) ในรูป usage credits และอีก $4 ล้าน (ประมาณ 136 ล้านบาท) เป็น donation ให้ 12 พันธมิตรใหญ่ (AWS, Apple, Google, Microsoft, Nvidia, CrowdStrike, JPMorganChase, Linux Foundation และอีก 4 ราย) รวมถึงองค์กรที่ดูแล open-source infrastructure อีกกว่า 40 แห่ง เพื่อให้ "ฝ่ายป้องกัน" ได้ใช้ AI ระดับแนวหน้าเท่ากับ "ฝ่ายโจมตี"
ไฮไลต์สำคัญคือ Claude Mythos Preview — โมเดล frontier ที่ยังไม่ปล่อยสู่สาธารณะ ซึ่งค้นพบช่องโหว่ "ของจริง" ที่ซ่อนอยู่ในโค้ดเก่าเป็นสิบๆ ปี: OpenBSD TCP SACK 27 ปี, FFmpeg H.264 16 ปี, และ FreeBSD NFS 17 ปี — ตัวหลังนี้ได้ CVE ที่ประกาศสาธารณะแล้วคือ CVE-2026-4747 (RCE ผ่าน NFS) — บทความนี้ต่อยอดจาก Patch Tuesday เมษายน 2569 ที่เพิ่งเผยแพร่เมื่อวาน
สรุปง่ายๆ: Project Glasswing = $100M credits + $4M donations จาก Anthropic / 12 launch partners + องค์กรเพิ่มอีก 40+ / Claude Mythos Preview = frontier model ที่หาช่องโหว่ได้เร็วกว่ามนุษย์ผู้เชี่ยวชาญ / Confirmed finds: OpenBSD 27 ปี, FFmpeg 16 ปี, FreeBSD NFS 17 ปี (CVE-2026-4747 RCE), Linux kernel privilege escalation chains, browser sandbox escapes, TLS/AES-GCM/SSH weaknesses / ผลกระทบ: open-source infrastructure = ความเสี่ยงร่วมของทั้งอินเทอร์เน็ต องค์กรไทยที่ใช้ FreeBSD, FFmpeg, Linux kernel ต้องเช็ค patch ทันที
Project Glasswing คืออะไร
Project Glasswing คือโปรแกรมของ Anthropic ที่ประกาศต้นเดือนเมษายน 2569 เพื่อ "preempt AI-driven cyberattacks" — กล่าวอีกนัยหนึ่งคือ ถ้าฝ่ายโจมตีใช้ AI ได้ ฝ่ายป้องกันต้องได้ใช้ก่อน โดย Anthropic เชื่อว่า AI frontier model สามารถทำ vulnerability discovery และ patch generation ได้ในระดับเดียวกับทีม security researcher อาวุโส
โครงสร้างของการสนับสนุน (funding model) มีสองส่วนหลัก:
- $100 ล้าน ในรูป usage credits — สิทธิ์เรียกใช้ Claude (รวม Mythos Preview) สำหรับทำ security research / vulnerability triage / patch development ให้กับบริษัทและโครงการที่เข้าร่วม
- $4 ล้าน ในรูป donations — เงินสดตรงให้องค์กร open-source security ที่ดูแลโครงสร้างพื้นฐานสำคัญ (เช่น Linux Foundation) ไม่มีเงื่อนไขการใช้ Claude
ปรัชญาหลักของโปรแกรมคือ "defender parity" — ทำให้ฝ่ายป้องกันมี AI เท่าเทียมกับฝ่ายโจมตี ซึ่งต่างจาก bug bounty ทั่วไปตรงที่ Glasswing มุ่งเน้น infrastructure software (OS, compiler, crypto library, hypervisor) ที่ "ทุกคนใช้แต่ไม่ค่อยมีใครดูแล" — โลกดิจิทัลทั้งหมดพึ่งพา โค้ดจำนวนหนึ่งที่คนเขียน patch ได้มีจำกัด
12 พันธมิตรใหญ่ + 40 องค์กรเพิ่ม
Anthropic ประกาศรายชื่อ launch partners 12 ราย ครอบคลุมทั้ง cloud, hardware, software, financial services, และ open-source foundation — กลุ่มนี้ถือเป็น "เสาหลัก" ของอินเทอร์เน็ตยุคใหม่:
| บริษัท / องค์กร | โดเมน | ทำไมสำคัญ |
|---|---|---|
| Amazon Web Services | Cloud infrastructure | คลาวด์อันดับ 1 ของโลก — CVE ที่พบบน Amazon Linux/EC2 กระทบทุกคน |
| Anthropic | AI foundation model | เจ้าของโมเดล Claude / Mythos Preview เอง |
| Apple | OS / device ecosystem | iOS, macOS, Safari WebKit — CVE ส่งถึงมือผู้ใช้ผ่าน auto-update |
| Broadcom | Semiconductor + VMware | VMware hypervisor = รากฐานของ datacenter ทั่วโลก |
| Cisco | Network hardware + security | Firewall, router, switch เกือบทุกองค์กรใช้ Cisco |
| CrowdStrike | EDR / threat intelligence | ถือข้อมูล attacker TTP จริงที่ช่วย verify find ของ Mythos |
| Android, Chrome, GCP | Chromium / Android ผู้ใช้นับพันล้าน — ถ้ามี CVE บาน | |
| JPMorganChase | Financial services | ธนาคารใหญ่สุดของโลก — ระบบการเงินพังทั้งระบบถ้าโดน |
| Linux Foundation | Open-source stewardship | ดูแล Linux kernel + โครงการย่อยนับร้อย (PostgreSQL, Kubernetes, ฯลฯ) |
| Microsoft | Windows, Azure, Office | Patch Tuesday บริษัทเดียว = 150+ CVE/เดือน (ดู Patch Tuesday เม.ย. 2569) |
| NVIDIA | GPU + CUDA | GPU driver = CVE ที่ escalate privilege ได้บ่อย |
| Palo Alto Networks | Next-gen firewall / SASE | Firewall ระดับองค์กรใหญ่ — CVE ที่ Palo Alto แถมแพงมาก |
นอกจาก 12 ราย Anthropic ยังขยายการเข้าถึง Mythos Preview ให้ 40+ องค์กรเพิ่มเติม ที่ดูแล critical software infrastructure — รวมถึง curl, OpenSSL, OpenSSH, Python, Node.js, และโครงการ systemd / glibc / coreutils ที่แม้ชื่อไม่ดังเท่าแต่อยู่ใน OS ทุกตัว หลักการคือ "ซอฟต์แวร์ที่ 3 พันล้านคนใช้ทุกวันควรได้ audit ระดับ AI-assisted" ไม่ใช่พึ่ง volunteer อย่างเดียว (อ่านเรื่องความเปราะบางของ open-source ได้ที่ Cybersecurity Trend ปี 2569)
Claude Mythos Preview — โมเดลที่หาช่องโหว่เก่า 27 ปีได้
ที่น่าตกใจที่สุดของประกาศนี้ไม่ใช่เม็ดเงิน — แต่คือ Claude Mythos Preview: โมเดล frontier ที่ Anthropic ระบุว่าเป็น "general-purpose" (ไม่ได้ฝึกเฉพาะ security) แต่สามารถหา bug ในระบบที่มีอายุเป็นสิบๆ ปีและผ่านสายตา reviewer มนุษย์นับร้อยมาแล้ว
ข้อมูลต่อไปนี้ยืนยันจาก public blog ของ Anthropic (red.anthropic.com/2026/mythos-preview/) ไม่ใช่ marketing claim:
| ระบบ | อายุของ Bug | รายละเอียด |
|---|---|---|
| OpenBSD | 27 ปี | TCP SACK implementation — remote denial of service (code ที่เขียนปลายยุค 90s) |
| FFmpeg | 16 ปี | H.264 codec vulnerability (ต้นกำเนิดจากปี 2003) กระทบ video processing ทุก platform ที่ใช้ FFmpeg |
| FreeBSD NFS | 17 ปี | Remote code execution — CVE-2026-4747 (CVE เพียงตัวเดียวที่ได้รับ public assignment) |
| Linux kernel | - | Multiple privilege escalation chains (2-4 CVE เชื่อมกัน) |
| Web browsers | - | JIT heap spray + sandbox escapes (กำลังปิด Mythos findings) |
| Cryptography libraries | - | Weakness ใน TLS, AES-GCM, SSH — ส่วนใหญ่ต้อง context-specific exploitation |
นอกจากนี้ Mythos ยังค้นพบ SHA-3 hash commitments ที่รอ patch เสร็จสมบูรณ์ก่อนเปิดเผย — Anthropic ระบุว่า "Mythos แสดง capability jump ที่ชัดเจนเมื่อเทียบกับ Claude Opus 4.6 ในงาน autonomous exploit development" อ่านเพิ่มเรื่อง capability jump ของ Claude ได้ที่ Claude Opus 4.7 รีวิวละเอียด ซึ่งเป็นรุ่นก่อน Mythos
คำเตือน: ถ้า Mythos หาได้ AI ของฝ่ายโจมตีก็หาได้เช่นกัน — open-source infrastructure ไม่ใช่ "ของใครคนเดียว" แต่เป็น shared risk ของทั้งอินเทอร์เน็ต องค์กรไทยที่ใช้ FreeBSD เป็น NAS/storage, FFmpeg ใน video pipeline, หรือ Linux kernel รุ่นเก่า ควรเช็ค patch ทันที โดยเฉพาะ CVE-2026-4747 (FreeBSD NFS) ที่มี CVE แล้วและ attacker คนอื่นจะได้รายละเอียดช่องโหว่เดียวกันเมื่อมีเวลา — ใช้คู่กับ Patch Tuesday เม.ย. 2569 เป็นรอบ patch แบบ concurrent
CVE-2026-4747 — รายละเอียด FreeBSD NFS 17 ปี
ในบรรดาข้อค้นพบทั้งหมดของ Mythos Preview ตัวเดียวที่ได้รับการกำหนด CVE number สาธารณะ คือ CVE-2026-4747 ใน FreeBSD NFS implementation — ช่องโหว่ประเภท remote code execution ผ่านการส่ง NFS packet ที่ออกแบบมาเจาะจง
สิ่งที่น่าสะเทือนเกี่ยวกับ CVE-2026-4747:
- อายุ 17 ปี — โค้ดนี้ถูกเขียนและ merge เข้า FreeBSD ตั้งแต่ปี 2552 (2009) ผ่าน code review ของผู้พัฒนาอาวุโสนับร้อย ผ่าน static analyzer ระดับมืออาชีพ แต่ bug นี้รอด
- Mythos หาเจอ ไม่ใช่มนุษย์ — ซึ่งหมายความว่า "การ review แบบเดิมอาจไม่พอ" สำหรับ code base ขนาดนี้
- มีแนวโน้มว่า bug แบบนี้ยังมีอีก — ถ้า Mythos ใช้เวลาไม่นานหา 6 bug ขนาดใหญ่ในระบบหลัก น่าจะมี bug ระดับ decade-old ในที่อื่นๆ อีกมาก
องค์กรไทยที่ต้องสนใจเป็นพิเศษ: หน่วยงานที่ใช้ FreeBSD เป็น storage appliance, NAS, หรือ firewall (เช่น pfSense, OPNsense, iXsystems TrueNAS) — เพราะ NFS เป็น protocol หลักของการแชร์ไฟล์ระหว่างเซิร์ฟเวอร์ ควร patch ทันทีที่ upstream ปล่อย และอ่าน แผน Disaster Recovery คู่กันเผื่อมี incident
Glasswing vs OpenAI's GPT-5.4-Cyber + Trusted Access
สองสัปดาห์หลัง Glasswing เปิดตัว OpenAI ก็ประกาศโปรแกรมคล้ายกันเมื่อ 16 เมษายน 2569 ชื่อ Trusted Access for Cyber Defense พร้อมโมเดลเฉพาะชื่อ GPT-5.4-Cyber — ทำให้เกิด "arms race" ในด้าน defensive AI ระหว่าง 2 บริษัทชั้นนำ
ความต่างหลักระหว่างสองโปรแกรม: Anthropic เลือกจับ infrastructure companies (AWS, Cisco, Linux Foundation) เพื่อ fix จากต้นน้ำ — ขณะที่ OpenAI เลือกจับ defender/researcher organizations เพื่อ scale vulnerability response ที่ endpoint บทความเจาะ GPT-5.4-Cyber จะออกแยกต่างหาก — ที่นี่พอกล่าวเพียงว่า ยุค AI-driven security เข้าสู่ระยะ "สองเจ้าลงสนาม" แล้ว
ผลกระทบต่อองค์กรไทย
Thai organizations ไม่ได้ถูก "ตัดออก" จาก Glasswing — เพราะซอฟต์แวร์ของ 12 launch partners ทุกตัวเข้ามาในเมืองไทยผ่าน vendor chain ปกติอยู่แล้ว ผลที่คาดได้คือ:
- Patch จะมาเร็วขึ้น — ซอฟต์แวร์ที่ได้รับการ audit ด้วย AI จะมี patch release cycle สั้นลง แต่ "การมี patch" ไม่ได้แปลว่า "องค์กรคุณ patch แล้ว" — ช่องว่างนี้คือ attack surface
- Zero-day window หดลง — จากเดิมอาจเป็นหลายเดือน ลดเหลือหลายวัน เพราะทั้งฝ่ายป้องกันและฝ่ายโจมตีมี AI หา bug เจอเร็วขึ้นทั้งคู่ — patch cycle ขององค์กรไทยต้อง follow ให้ทัน (ดู 2FA เป็น layered defense เพิ่ม)
- Compliance — PDPA และ พ.ร.บ. ไซเบอร์ฯ ของไทย เริ่มเข้าสู่จุดที่ต้องคำนึงถึง AI vulnerability disclosure — ผู้ประกอบการควรเช็คว่า มาตรฐานความปลอดภัยภาครัฐ ที่ยึดอยู่ ได้ถูกอัปเดตให้สอดคล้องกับยุค AI-audit หรือไม่
- Supply chain risk — ถ้าองค์กรพึ่ง vendor ที่ ไม่ใช่ Glasswing partner และไม่มี AI-assisted audit ของตัวเอง — vendor เหล่านั้นจะกลายเป็น "จุดอ่อนที่สุด" ของ supply chain
ภาพรวมของ threat landscape ไทยและตัวอย่างเคส CVE ที่กระทบมาก่อน ดูได้ที่ ภาพรวม Cybersecurity ของไทย, SharePoint CVE 2569, Oracle CVE-2026-21992, และ Langflow CVE 2569
Saeree ERP ในยุค AI-Driven Security
เพื่อความตรงไปตรงมา: Saeree ERP ไม่มีโครงการ offensive-AI security ของตัวเอง — เราไม่ใช่ Anthropic และไม่ได้รันโมเดลที่ค้นหา CVE แบบ Mythos กลยุทธ์ของเราคือ "ใช้ upstream security ของพันธมิตรที่ดีที่สุด" ซึ่งก็คือ Linux Foundation (ที่เป็น Glasswing launch partner)
- Stack พื้นฐาน — Saeree รันบน Linux + PostgreSQL ทั้งคู่อยู่ใน Glasswing ecosystem โดยตรง (Linux Foundation) patch ของ kernel / DB ที่ออกใหม่จะมี AI-audit ก่อน release ทำให้คุณภาพ patch สูงขึ้น
- 2FA + Digital Signature — module ใน Saeree ERP ป้องกันการ bypass credential และปลอมเอกสาร — ดู 2FA ช่วยอย่างไร และ Digital Signature ใน ERP
- Deployment choice — On-premise ลูกค้าควบคุม patch cadence เอง (เร็วหรือช้าขึ้นกับนโยบาย IT) / GDCC cloud ผู้ให้บริการจัดการ patch ให้ — ทั้งสองทางรองรับ AI-driven security era
- ไม่พึ่ง SharePoint/Adobe Acrobat — document workflow ภายใน Saeree ไม่ได้ผูกกับ Microsoft ecosystem ทำให้ attack surface เฉพาะ Saeree เล็กกว่า legacy ERP
ต้องพูดตรงๆ ว่า Saeree ไม่ใช่ "AI security company" — แต่เราเป็น ERP ที่ เลือก vendor ดี และ patch เร็ว ซึ่งในยุคที่ zero-day window หดจากเดือนเหลือวัน "patch เร็ว" คือจุดที่ separate ผู้ที่อยู่รอดจากผู้ที่ไม่รอด (context เพิ่มเรื่อง ภัยคุกคาม ERP ใหม่)
ตาราง "เหมาะ / ไม่เหมาะ" — องค์กรที่พร้อมรับยุค AI-Defense
ไม่ใช่ทุกองค์กรต้อง "วิ่ง" ตาม AI-driven security เท่ากัน ลองเช็คตารางนี้ว่าองค์กรของคุณอยู่ฝั่งไหน:
| ✓ เข้าสู่ยุค AI-defense ได้ ถ้า… | ✗ เสี่ยงสูง ถ้า… |
|---|---|
| มี inventory ของ OS / library version ที่ใช้ทุกตัว | ไม่รู้ว่า FreeBSD / FFmpeg รุ่นไหนอยู่ใน production |
| Patch cycle < 14 วันสำหรับ critical CVE | Patch cycle > 60 วัน หรือ "รอลูกค้าขอเอง" |
| มี monitoring ของ CVE feed (NVD / KEV) | รู้เรื่อง CVE จากข่าวประจำเดือน |
| Vendor ของคุณอยู่ใน Glasswing/Trusted Access ecosystem | Vendor ปิด source, ไม่ report CVE, ไม่มี roadmap audit |
| มี backup + DR plan ทดสอบจริง | Backup มี แต่ไม่เคย restore จริง |
ถ้ามี row ฝั่งแดงเยอะ — ไม่ต้องตกใจ แต่ควรเริ่ม security posture assessment โดยเร็ว อ่าน Trend ปี 2569 เป็น starting point และเทียบกับ AI roundup สงกรานต์ 2569 ที่รวมประกาศ AI สำคัญรวมถึง Glasswing ไว้แล้ว
"Mythos พิสูจน์ว่า AI หาช่องโหว่ได้เร็วกว่ามนุษย์ — คำถามคือใครจะใช้มันก่อน คุณ หรือผู้โจมตี"
— Saeree ERP, 2569
