[§] introvertlogic / LAB LEDGER

INTROVERTLOGIC · LAB LEDGER

ENTRY LOG

AI หาช่องโหว่เก่งกว่ามนุษย์แล้ว — แล้วเว็บที่ผมไม่ได้เขียนเองล่ะ?

Published
Author
ไทน์

ไม่กี่วันก่อน Anthropic บอกว่า AI
ของเขาหาช่องโหว่ในโค้ดได้เก่งกว่ามนุษย์เกือบทุกคนบนโลกแล้ว

ไม่ใช่คำโฆษณา. เขาเอาตัวเลขมาวาง — partner รุ่นแรกของโปรเจกต์ชื่อ Project
Glasswing เจอช่องโหว่ระดับร้ายแรงไปแล้วมากกว่า 10,000 จุด ในโค้ดของโรงไฟฟ้า
ระบบน้ำ โรงพยาบาล ธนาคาร แล้วเมื่อ 2 มิถุนายน เขาขยายให้อีก ~150 องค์กรใน 15
ประเทศ มี NATO กับหน่วยงานความมั่นคงไซเบอร์ของ EU อยู่ในนั้นด้วย

อ่านจบผมนั่งคิดอยู่นาน. ไม่ใช่เพราะกลัวโรงไฟฟ้าระเบิด —
แต่เพราะมันชี้กลับมาที่ของใกล้ตัวกว่านั้น

ของเล่นชิ้นเดียว
ใช้ได้ทั้งป้องกันและโจมตี

เรื่องที่คนไม่ค่อยพูดถึงในข่าวพวกนี้คือ ความสามารถ “หาช่องโหว่” มันเป็นกลาง. AI
ตัวที่หาบั๊กเจอเพื่อให้คุณปิดมันก่อน — เป็น AI ตัวเดียวกับที่แฮกเกอร์เอาไปหาบั๊กเพื่อเจาะคุณ

Anthropic รู้ดี. เขาถึงเขียนตรงๆ ในประกาศว่าคาดว่าบริษัทอื่นจะมี AI
เก่งระดับนี้ในเร็วๆ นี้ “ดังนั้น” เขาเลยต้องรีบแจกเครื่องมือป้องกันให้โครงสร้างพื้นฐานสำคัญก่อน
— เหมือนแจกเกราะให้ทันก่อนที่ดาบจะถึงมือทุกคน

และมันไม่ใช่การแข่งของเจ้าเดียว. OpenAI ปล่อยโมเดลสายความปลอดภัยชื่อ
GPT-5.5-Cyber ออกมาแล้วเหมือนกัน

สงคราม AI ที่ผมเขียนถึงเมื่อวาน — เรื่องใครเขียนโค้ดเก่งกว่ากัน —
มันขยับไปอีกสนามแล้ว. ตอนนี้คือใคร “เจาะ” และ “อุด” โค้ดได้เร็วกว่ากัน

แต่ข่าวนี้ไม่ได้พูดถึงเว็บเล็กๆ
อย่างของผม

นี่คือจุดที่ผมสะดุด

โปรเจกต์พวกนี้มันใหญ่ — ระดับองค์กรที่ “ถ้าถูกเจาะ คนกระทบเกิน 100 ล้านคน” ตามที่
Anthropic ประเมินเอง. เขาเลือก partner เป็นโรงไฟฟ้า ผู้ผลิตชิป ระบบสื่อสาร.
ไม่มีใครเอา AI ระดับนั้นมาสแกนบล็อกเล็กๆ ของคนทำคนเดียวหรอก

แต่เว็บนี้ — introvertlogic.com — โค้ดทั้งหมด AI เป็นคนเขียน.
ผมไม่ได้พิมพ์โค้ดเองสักบรรทัด. ปลั๊กอินที่ทำ SEO ก็ AI เขียน ตัวจัดการ cache ก็ AI เขียน
หน้าเครื่องมือ introvert ที่กดเล่นได้ก็ AI เขียน

คำถามที่ค้างในหัวคือ — แล้วใครเช็คว่าของพวกนี้ปลอดภัย?

ผมไม่ได้แอบอ้างว่าเอา Project Glasswing มาสแกนเว็บตัวเองนะ — เข้าไม่ถึง
มันเป็นโมเดลปิดที่แจกเฉพาะองค์กรใหญ่. แต่ของที่เข้าถึงได้จริงคือตัวที่ Anthropic
เปิดให้ใช้สาธารณะ ชื่อ Claude Security ที่ใช้ Opus 4.8 สแกน codebase แล้วแนะนำ
patch ให้ — อันนี้คนทั่วไปกดใช้ได้

จุดที่น่าคิดคือ: ยุคที่คนไม่เขียนโค้ดอย่างผมเอา AI สร้างเว็บขึ้นมาได้ภายในวันเดียว
ความเสี่ยงมันก็ย้ายมาด้วย. เมื่อก่อน “ไม่เขียนโค้ดเป็น = ไม่มีเว็บให้โดนเจาะ”. ตอนนี้
“ไม่เขียนโค้ดเป็น แต่มีเว็บที่ตัวเองอ่านโค้ดไม่ออก” — ซึ่งน่ากลัวกว่าในแง่หนึ่ง เพราะถ้ามันพัง
ผมไม่รู้ด้วยซ้ำว่าพังตรงไหน

ดาบสองคมอันเดียวกัน

เรื่องนี้มันเลยกลายเป็นภาพย่อของสิ่งที่ผมทดลองอยู่ทั้งเว็บ

AI ทำให้คนที่เขียนโค้ดไม่เป็นสร้างของได้ — นั่นคือด้านสว่าง. ด้านเดียวกันนั้น AI
ก็ทำให้คนที่ไม่เก่งความปลอดภัยเจาะของคนอื่นได้ง่ายขึ้นเหมือนกัน. ความสามารถมันไม่เลือกข้าง
คนใช้ต่างหากที่เลือก

สิ่งที่ Anthropic กำลังทำกับ Glasswing — รีบเอา AI ฝั่งป้องกันออกตัวก่อน —
มันคือการยอมรับกลายๆ ว่า “ของแบบนี้ห้ามไม่ได้ ทำได้แค่ทำให้ฝั่งดีไปถึงก่อน”

สำหรับคนตัวเล็กอย่างผม บทเรียนมันเรียบง่ายกว่านั้น. ถ้าจะให้ AI สร้างของให้ —
อย่างน้อยก็ควรให้ AI อีกตัวมาช่วยตรวจของชิ้นนั้นด้วย. ไม่ใช่เพราะผมเก่งพอจะอ่านผลตรวจ
แต่เพราะปล่อยให้ของที่ตัวเองอ่านไม่ออกลอยอยู่บนอินเทอร์เน็ตเฉยๆ มันน่ากลัวกว่า

คุณล่ะ — ของที่ AI สร้างให้คุณ เคยมีใครหรืออะไรตรวจมันบ้างไหม?

— END OF ENTRY —

← Previous Entry
Next Entry →

§ RELATED ENTRIES · บันทึกที่เกี่ยวข้อง

← BACK TO LEDGER