Claude Mythos: เอไอที่สามารถเจาะระบบเครือข่ายองค์กรป้องกันอ่อนแอได้อย่างอิสระตั้งแต่ต้นจนจบ
ในวงการความมั่นคงปลอดภัยทางไซเบอร์ มีการทดสอบที่น่าตกตะลึงซึ่งแสดงให้เห็นถึงศักยภาพของปัญญาประดิษฐ์ (AI) ในการดำเนินการโจมตีแบบอัตโนมัติ โดยนักวิจัยได้พัฒนาเอเจนต์ AI ชื่อ “Claude Mythos” ซึ่งใช้โมเดล Claude 3.5 Sonnet จาก Anthropic สามารถเจาะทะลวงระบบเครือข่ายองค์กรที่ป้องกันไว้แบบอ่อนแอได้อย่างสมบูรณ์ ตั้งแต่ขั้นตอนการสอดแนมไปจนถึงการควบคุมระบบหลัก โดยไม่ต้องอาศัยการแทรกแซงจากมนุษย์
การทดสอบนี้ดำเนินการในสภาพแวดล้อมที่จำลองขึ้นอย่างควบคุม โดยใช้เครื่องเสมือน (Virtual Machines: VMs) บนแพลตฟอร์ม Proxmox เพื่อเลียนแบบโครงสร้างเครือข่ายองค์กรขนาดเล็ก ประกอบด้วยเครื่องหลักสามเครื่อง ได้แก่ Domain Controller (DC) ซึ่งรัน Windows Server 2019 กับ Active Directory, File Server และ Workstation โดยทั้งหมดถูกตั้งค่าด้วยช่องโหว่ที่ทราบกันดีและยังคงพบได้บ่อยในองค์กรจริง เช่น SMBv1 ที่เปิดใช้งาน, รหัสผ่านอ่อนแอ, และบริการที่ไม่ได้รับการอัปเดตแพตช์
Claude Mythos เริ่มต้นการโจมตีด้วยการสแกนเครือข่ายเบื้องต้น โดยใช้เครื่องมือ Nmap เพื่อค้นหาเครื่องเป้าหมายและพอร์ตที่เปิดอยู่ จากนั้นจึงระบุช่องโหว่ EternalBlue (CVE-2017-0144) บน File Server ซึ่งเป็นช่องโหว่เก่าแก่แต่ยังคงเป็นภัยคุกคามในระบบที่ไม่ได้รับการบำรุงรักษา เอเจนต์ AI สั่งรัน Metasploit เพื่อ exploit ช่องโหว่นี้ สร้าง shell กลับมาได้สำเร็จ และอัปเกรดเป็น Meterpreter shell เพื่อความยืดหยุ่นในการควบคุม
หลังจากเข้าถึง File Server ได้แล้ว Claude Mythos ดำเนินการขั้นตอนการเคลื่อนที่ด้านข้าง (Lateral Movement) โดย dump credentials จากหน่วยความจำด้วย Mimikatz เพื่อขโมย NTLM hashes จากนั้นใช้ Pass-the-Hash ในการเข้าถึง Workstation ซึ่งมีผู้ใช้ที่มีสิทธิ์ Domain Admin แต่ล็อกอินด้วยรหัสผ่านที่เดาได้ง่าย เอเจนต์ใช้เครื่องมือ CrackMapExec เพื่อทดสอบ credentials และ PsExec เพื่อรันคำสั่งระยะไกล สุดท้ายจึงโจมตี Domain Controller โดยใช้รหัสผ่าน Domain Admin ที่ได้มา สร้าง backdoor และ dump เครื่องมือ LSASS เพื่อดึงข้อมูล credentials เพิ่มเติม
กระบวนการทั้งหมดนี้ใช้เวลารวมเพียง 1 ชั่วโมง 37 นาที ซึ่งแสดงให้เห็นถึงความรวดเร็วและประสิทธิภาพของ AI ในการรวมเครื่องมือ hacking แบบดั้งเดิมเข้าด้วยกัน Claude Mythos ถูกออกแบบด้วย system prompt พิเศษที่กำหนดบทบาทให้เป็น “mythical hacker” ที่มีเป้าหมายชัดเจนในการ compromise เครือข่าย โดยใช้ shell บนเครื่องโจมตีที่ติดตั้งเครื่องมือ hacking มาตรฐาน เช่น Nmap, Metasploit, Mimikatz, CrackMapExec และอื่นๆ นักพัฒนา PompousPilot ซึ่งเป็นผู้สร้างโปรเจกต์นี้ เปิดเผยโค้ดและ prompt บน GitHub เพื่อให้ชุมชนศึกษาต่อ
สิ่งที่น่ากังวลคือ Claude Mythos ไม่ได้เป็นเพียงการทดลองทางทฤษฎี แต่แสดงให้เห็นถึงความเสี่ยงจริงในองค์กรที่ยังคงใช้ระบบเก่าและไม่บำรุงรักษาให้ทันสมัย ช่องโหว่ที่ถูก exploit ล้วนเป็นที่ทราบกันมานาน เช่น EternalBlue ที่ Microsoft ออกแพตช์ตั้งแต่ปี 2017 แต่ยังพบใน 10-20% ขององค์กรตามรายงานจากผู้ให้บริการความปลอดภัย นอกจากนี้ การที่ AI สามารถตัดสินใจเลือกเครื่องมือและปรับแผนตามสถานการณ์แบบเรียลไทม์ ทำให้การป้องกันแบบดั้งเดิมที่อาศัยมนุษย์อาจไม่เพียงพอ
PompousPilot เน้นย้ำว่า “นี่คือการพิสูจน์แนวคิด (proof-of-concept) ที่แสดงศักยภาพของโมเดลภาษาขนาดใหญ่ (LLMs) ในการ automate red teaming” โดย Claude 3.5 Sonnet แสดงผลงานเหนือกว่าโมเดลอื่นๆ เช่น GPT-4o หรือ Gemini ในด้านนี้ เนื่องจากความสามารถในการใช้เครื่องมือและการวางแผนเชิงกลยุทธ์ การทดสอบนี้ยังรวมถึงการจัดการข้อผิดพลาด เช่น เมื่อ exploit ล้มเหลว เอเจนต์จะลองทางเลือกอื่นอัตโนมัติ
สำหรับองค์กรธุรกิจ การค้นพบนี้เป็นสัญญาณเตือนให้เร่งอัปเกรดระบบ ลบช่องโหว่เก่า ปิด SMBv1 ใช้รหัสผ่านที่แข็งแกร่ง และนำ multi-factor authentication (MFA) มาใช้ นอกจากนี้ ยังควรลงทุนในเครื่องมือตรวจจับ AI-driven attacks เช่น anomaly detection ที่วิเคราะห์พฤติกรรมการเข้าถึงผิดปกติ ผู้เชี่ยวชาญด้านไซเบอร์แนะนำให้องค์กรทดสอบระบบด้วยเครื่องมือ red teaming ที่คล้ายกัน เพื่อประเมินจุดอ่อน
ในยุคที่ AI พัฒนาอย่างรวดเร็ว การนำมาใช้ในด้านความมั่นคงปลอดภัยทั้งฝั่งป้องกันและโจมตีจะกลายเป็นมาตรฐานใหม่ Claude Mythos จึงไม่ใช่แค่ความสำเร็จทางเทคนิค แต่เป็นจุดเปลี่ยนที่บังคับให้องค์กรต้องปรับตัวเพื่อรับมือกับภัยคุกคามอัจฉริยะในอนาคต
(จำนวนคำประมาณ 720 คำ)
This Article is sponsored by Gnoppix AI (https://www.gnoppix.org)