Claude Opus เขียนโค้ดเจาะช่องโหว่ Chrome สำเร็จด้วยงบแค่ 7 หมื่นบาท

เทคโนโลยี

1 ครั้ง

0 ความเห็น

3 นาที

Photo by EdenMoon on Pixabay

By Suphansa Makpayab19 เมษายน 2569 18:04

แชร์บทความ

TL;DR

เมื่อการเขียน Exploit เจาะระบบไม่ได้จำกัดอยู่แค่แฮกเกอร์ระดับเทพอีกต่อไป CTO จาก Hacktron โชว์ผลงานใช้ Claude Opus 4.6 เขียนโค้ดเจาะช่องโหว่ Chrome ได้สำเร็จด้วยงบไม่ถึงแสนบาท สัญญาณเตือนภัยครั้งใหญ่ของวงการซอฟต์แวร์

ดูเหมือนว่าความพยายามของ Anthropic ที่จะกั๊กโมเดล AI สายค้นหา Bug อย่าง Mythos เอาไว้จะไม่ค่อยช่วยอะไรเท่าไหร่ เพราะโมเดลที่เปิดให้คนทั่วไปใช้อย่าง Claude Opus 4.6 ก็เก่งพอที่จะเขียนโค้ดเจาะระบบได้แล้ว โดย Mohan Pedhapati ตำแหน่ง CTO ของ Hacktron ได้ออกมาเปิดเผยว่า เขาใช้ Claude Opus 4.6 สร้าง Exploit Chain (ชุดโค้ดสำหรับเจาะระบบ) โจมตี V8 JavaScript Engine บน Chrome เวอร์ชัน 138 ซึ่งเป็นเวอร์ชันที่แอปพลิเคชันยอดฮิตอย่าง Discord ใช้งานอยู่

งานนี้ไม่ได้มาเล่นๆ เพราะ Pedhapati ใช้เวลาปลุกป้ำกับ AI ตัวนี้อยู่ประมาณ 20 ชั่วโมง หมด Token ไปกว่า 2.3 พันล้านคำ และจ่ายค่า API ไปเบาๆ ที่ US$2,283 (ประมาณ 71,686 บาท อ้างอิงอัตราแลกเปลี่ยน ณ วันที่ 9 ก.พ. 01:30 UTC) จนในที่สุด AI ก็สามารถ Popped Calc หรือสั่งเปิดแอปพลิเคชันเครื่องคิดเลขได้สำเร็จ ซึ่งเป็นสัญลักษณ์สากลในวงการความปลอดภัยไซเบอร์ที่บอกว่าการเจาะระบบนั้นสมบูรณ์แบบ แม้ตัวเลข 7 หมื่นกว่าบาทอาจดูเยอะสำหรับคนทั่วไป แต่ถ้าเทียบกับเวลาหลายสัปดาห์ที่แฮกเกอร์ต้องนั่งเขียนโค้ดเอง หรือเทียบกับเงินรางวัล Bug Bounty หลักแสนถึงหลักล้านบาทที่บริษัทเทคโนโลยีจ่ายให้ ถือว่าเป็นการลงทุนที่คุ้มค่าเสียยิ่งกว่าคุ้ม

ประเด็นที่น่าสนใจไม่ได้อยู่ที่ว่าโมเดลตัวไหนเก่งกว่ากัน แต่มันคือพัฒนาการของ AI ที่ก้าวกระโดดจนน่าตกใจ (ก่อนหน้านี้ก็เพิ่งมีข่าว Claude ช่วยหาช่องโหว่ใน Firefox ถึง 22 จุด) Pedhapati ชี้ให้เห็นว่าในอนาคตอันใกล้ แค่มี API Key กับความอดทนอีกนิดหน่อย ใครๆ ก็สามารถกลายเป็นแฮกเกอร์เจาะระบบซอฟต์แวร์ที่ยังไม่อัปเดตแพตช์ (Patch) ได้สบายๆ โดยเฉพาะแอปพลิเคชันที่สร้างบน Electron Framework อย่าง Discord หรือ Slack ที่มักจะอัปเดตเวอร์ชันของ Chrome ช้ากว่าปกติ ทำให้เกิดช่องโหว่ทิ้งไว้ให้โจมตี

เมื่อ AI เขียน Exploit ได้เก่งขึ้น หน้าต่างเวลาสำหรับการอัปเดตระบบก็ยิ่งแคบลงตามไปด้วย Pedhapati ทิ้งท้ายไว้อย่างน่าคิดว่า "ทุกครั้งที่มีการปล่อยแพตช์แก้บั๊ก มันก็คือคำใบ้ชั้นดีสำหรับแฮกเกอร์" โดยเฉพาะในโปรเจกต์ Open Source ที่โค้ดมักจะถูกเปิดเผยก่อนการอัปเดตจริง ทางรอดเดียวของนักพัฒนาในยุคนี้คือการให้ความสำคัญกับ Security ตั้งแต่เนิ่นๆ และบังคับอัปเดตอัตโนมัติให้ผู้ใช้งาน เพราะในยุคที่ AI พร้อมเป็นอาวุธให้ทุกคน การรอให้ผู้ใช้งานกดอัปเดตเองอาจเป็นความไว้ใจที่ราคาแพงเกินไป