ซอฟต์แวร์เอนจิเนียร์ Jeff Kaufman(jefftk)เมื่อวันที่ 8 พฤษภาคม เผยแพร่บทความเรื่อง「AI is Breaking Two Vulnerability Cultures」โดยโต้แย้งว่า AI กำลังทำลาย “วัฒนธรรม” การรับมือช่องโหว่ด้านความปลอดภัยที่อยู่ร่วมกันมายาวนาน 2 แบบพร้อมกัน ได้แก่ การเปิดเผยแบบประสานงาน(coordinated disclosure)และ “ปะแก้แบบเงียบ”(bugs are bugs)—ซึ่งต่างก็อาศัยสมมติฐานที่ว่า “ฝ่ายโจมตีใช้เวลาค้นหา/ตรวจจับช้า” และสมมติฐานดังกล่าวกำลังถูกเทคโนโลยีการสแกนแบบอัตโนมัติของ AI ทำลายลงแล้ว ต้นฉบับบล็อกของ Kaufman ยังได้รับความนิยมบน Hacker News โดยมีคะแนนความนิยมมากกว่า 200 และถือเป็นหนึ่งในบทความสังเกตการณ์ด้านความปลอดภัยที่ได้รับการพูดคุยสูงสุดในชุมชนผู้พัฒนาในสัปดาห์นี้
วัฒนธรรมช่องโหว่ 2 แบบ: การเปิดเผยแบบประสานงาน vs “ปะแก้แบบเงียบ”
กรอบวัฒนธรรม 2 แบบที่ Kaufman สรุปไว้:
การเปิดเผยแบบประสานงาน(coordinated disclosure)—ผู้ค้นพบแจ้งผู้ดูแลอย่างเป็นการส่วนตัว ให้ช่วงเวลาปะแก้โดยทั่วไป 90 วัน แล้วค่อยเปิดเผยต่อสาธารณะ เบื้องหลังสมมติฐานคือ: ผู้โจมตีต้องใช้เวลาจึงจะค้นพบช่องโหว่เดียวกันได้ด้วยตนเอง
“Bugs are Bugs” ปะแก้แบบเงียบ—เป็นแนวทางที่พบบ่อยในโปรเจกต์โอเพนซอร์สอย่าง Linux ในช่วงปะแก้ มักไม่ระบุอย่างชัดเจนว่าเป็น “การแก้ไขเพื่อความปลอดภัย” อาศัยการส่งคอมมิตจำนวนมาก “กลบ” การแก้ไขด้านความปลอดภัย และหลีกเลี่ยงการดึงดูดความสนใจของผู้โจมตี
วัฒนธรรม 2 แบบนี้ในอดีตอยู่ร่วมกันได้ เพราะฝ่ายโจมตีไม่มีเครื่องมือที่ “สแกนได้รวดเร็ว อัตโนมัติ ต้นทุนต่ำ” เพื่อไล่ตรวจคอมมิตทั้งหมด หรือเพื่อค้นหาช่องโหว่เดียวกันพร้อมกัน AI เปลี่ยนสมมติฐานนี้ไปแล้ว
ผลกระทบของ AI ต่อ “การปะแก้แบบเงียบ”: การสแกน commit กลายเป็นเรื่องถูก
ผลกระทบที่จับต้องได้ของ AI ต่อโปรเจกต์โอเพนซอร์สสไตล์ Linux:
เดิม: ผู้โจมตีต้องตรวจสอบคอมมิตทีละรายการ ใช้แรงคนและเวลามาก “การกลบด้วยปริมาณการส่งคอมมิต” จึงเป็นการปกปิดที่ได้ผล
ปัจจุบัน: AI สามารถสแกนประวัติคอมมิตด้วยต้นทุนต่ำ ระบุอัตโนมัติว่าเป็นคอมมิตที่ “ดูเหมือนเป็นการแก้ไขด้านความปลอดภัย” แม้ผู้เขียนจะไม่ได้ระบุไว้
ผลกระทบ: ความลับ/ความแนบเนียนของการปะแก้แบบเงียบกำลังสูญเสียประสิทธิภาพอย่างรวดเร็ว และช่วงเวลาระหว่าง “ปะแก้แล้วรอให้ไปถึงการดีพลอย” กำลังถูกบีบให้สั้นลง
Kaufman ยกตัวอย่างที่เฉพาะเจาะจง: “การตรวจสอบคอมมิต(examining commits)ยิ่งนับวันยิ่งน่าสนใจขึ้น” เพราะการประเมินการเปลี่ยนแปลงแต่ละครั้งของ AI “ยิ่งถูกลง ยิ่งมีประสิทธิภาพมากขึ้น” ซึ่งหมายความว่าในอนาคต โปรเจกต์โอเพนซอร์สจะไม่สามารถพึ่งพาความได้เปรียบแบบเดิมที่ว่า “ความเร็วในการปะแก้ต้องมากกว่าความเร็วที่ฝ่ายโจมตีจะจับตาเห็น”
ผลกระทบของ AI ต่อ “การเปิดเผยแบบประสานงาน”: ช่วง embargo 90 วันกลับกลายเป็นผลเสีย
หัวใจของวัฒนธรรมการเปิดเผยแบบประสานงานคือ “embargo” หรือช่วงเวลาห้ามเผยแพร่ โดยผู้ค้นพบสัญญาว่าจะไม่เปิดเผยสู่สาธารณะก่อนที่ผู้ดูแลจะปะแก้ แต่ด้วย AI ทำให้หลายทีมสามารถสแกนช่องโหว่เดียวกันได้อย่างซิงก์กัน:
ตัวอย่างเฉพาะ: ช่องโหว่ที่นักวิจัย Hyunwoo Kim รายงาน ถูกค้นพบอย่างอิสระภายใน 9 ชั่วโมง
หลายทีมที่ใช้ AI ช่วยในการสแกนทำงานได้พร้อมกัน ทำให้ช่วง embargo ที่ยาวนานกลับมอบ “ความรู้สึกว่าไม่เร่งด่วนแบบปลอมๆ”
เมื่อคนอื่นหาเจอได้ใน 9 ชั่วโมง แต่ embargo 90 วันกลับทำให้ “ผู้โจมตีตัวจริง” ได้หน้าต่างโจมตีถึง 89 วัน 23 ชั่วโมง
ข้อสรุปของ Kaufman คือ: ในอนาคตควรใช้ “ช่วง embargo ที่สั้นมาก”(very short embargoes)และยิ่งความสามารถของ AI ดีขึ้น ช่วงเวลาดังกล่าวยิ่งควรถูกลดให้สั้นลงไปอีก สิ่งสำคัญคือ แม้ AI จะทำให้การโจมตีเร็วขึ้น แต่ก็ไม่ได้เป็นผลดีฝ่ายโจมตีฝ่ายเดียว—ผู้ป้องกันเองก็สามารถใช้ AI เพื่อเร่งการปะแก้และดีพลอย และทั้งสองฝ่ายจะทำการแข่งขันกันภายใน “หน้าต่างเวลาที่ถูกบีบให้สั้นลง”
เหตุการณ์เฉพาะที่ติดตามต่อได้: ว่า Linux Kernel และโปรเจกต์ขนาดใหญ่เช่น Project Zero จะอัปเดตแนวทางเรื่องตารางการเปิดเผยหรือไม่ ความคืบหน้าการทำการค้าเครื่องมือสแกนช่องโหว่ด้วย AI(เช่น Semgrep、CodeQL)และยุทธศาสตร์รับมือเชิงรูปธรรมของหน่วยงานความปลอดภัยขององค์กรต่อ “อาวุธสองคมของการเร่งด้วย AI”
บทความนี้ Jeff Kaufman:AI 同時打破兩種資安漏洞文化、90 天禁運期變反效果 เผยแพร่ครั้งแรกใน 鏈新聞 ABMedia
btc.bar.articles
หุ้น Cloudflare ดิ่งลง 23.62% ในวันที่ 8 พฤษภาคม หลังประกาศผลประกอบการไตรมาส 1 และแผนปลดพนักงาน 1,100 คน
หุ้นของ Cloudflare ลดลง 23.62% ในวันที่ 8 พฤษภาคม สู่ระดับ 196.13 ดอลลาร์ต่อหุ้น หลังจากบริษัทเปิดเผยผลประกอบการไตรมาสแรก และประกาศการเลิกจ้างประมาณ 1,100 ตำแหน่ง แม้รายได้ไตรมาส 1 อยู่ที่ 640 ล้านดอลลาร์ ซึ่งสูงกว่าคาดการณ์ด้วยการเติบโต 34% เมื่อเทียบกับปีก่อน แต่คำแนะนำรายได้ไตรมาส 2 ที่ 664–665 ล้านดอลลาร์ กลับต่ำกว่าความคาดหมายของตลาดก่อนหน้า 666 ล้านดอลลาร์ การเลิกจ้างดังกล่าวคิดเป็นราว 20% ของกำลังคน เป็นส่วนหนึ่งของการเปลี่ยนผ่านของบริษัทสู่ “โมเดลการดำเนินงานแบบ AI-agent-first” โดยคาดว่า
GateNews1 ชั่วโมง ที่แล้ว
Helsing ตั้งเป้าระดมทุนที่มูลค่า 18 พันล้านดอลลาร์
ตามรายงานของ Financial Times บริษัทเฮลซิง (Helsing) ซึ่งเป็นสตาร์ทอัพโดรนขับเคลื่อนด้วย AI จากเยอรมนี กำลังวางแผนจะระดมทุนรอบใหม่ โดยมีมูลค่าประเมินอยู่ที่ราว 18 พันล้านดอลลาร์
GateNews1 ชั่วโมง ที่แล้ว
Google DeepMind AI ร่วมเป็นโค-นักคณิตศาสตร์ ทำคะแนน 47.9% บน FrontierMath Tier 4 เอาชนะ GPT-5.5 Pro และแก้ปัญหาที่เคยแก้ไม่ได้มาก่อน 3 ข้อ
Google DeepMind เปิดตัวผู้ช่วยโค-นักคณิตศาสตร์ด้วย AI ซึ่งเป็นผู้ช่วยวิจัยคณิตศาสตร์แบบหลายเอเจนต์ ทำผลความแม่นยำ 47.9% บนเกณฑ์ FrontierMath Tier 4 แซงหน้าสถิติก่อนหน้าของ GPT-5.5 Pro ที่ 39.6% เมื่อวันที่ 9 พฤษภาคม ระบบสามารถแก้ได้ 23 จาก 48 โจทย์ รวมถึง 3 ข้อที่โมเดลก่อนหน้านี้ทั้งหมดแก้ไม่ได้ สร้างบน Gemini 3.1 Pro สถาปัตยกรรมใช้การออกแบบแบบลำดับชั้น โดยมีเอเจนต์ประสานงานโครงการเป็นผู้แจกจ่ายงานให้กับเอเจนต์ย่อยที่รับผิดชอบการค้นคืนวรรณกรรม การเขียนโค้ด และการให้เหตุผล พร้อมด้วยเอเจนต์ผู้ทบทว
GateNews1 ชั่วโมง ที่แล้ว
ระบบให้รางวัลของ OpenAI โดยไม่ตั้งใจให้คะแนน Thinking Chains บน 6 โมเดล รวมถึง GPT-5.4
ตามทีมการจัดแนว (alignment) ของ OpenAI บริษัทเพิ่งพบข้อผิดพลาดสำคัญในการฝึกซึ่งส่งผลต่อโมเดลภาษาขนาดใหญ่ 6 ตัว รวมถึง GPT-5.4 โดย “Thinking” นั้น กลไกให้รางวัลได้เผลอไปประเมินห่วงโซ่การคิดของโมเดล—กระบวนการให้เหตุผลภายในก่อนการสร้างคำตอบ—ในขณะที่ GPT-5.5 ไม่ได้รับผลกระทบ เหตุการณ์นี้ละเมิดหลักการพื้นฐานด้านความปลอดภัยของ AI ที่ต้องไม่ประเมินห่วงโซ่การคิด หากประเมินก็อาจจูงใจให้โมเดล “แต่งเหตุผล” เพื่อทำคะแนนให้สูงขึ้นได้ ระบบให้คะแนนที่บกพร่องได้รวมเอาห่วงโซ่การคิดโดยไม่ถูกต้องด้วย เมื่อประเมินว
GateNews3 ชั่วโมง ที่แล้ว
แหล่งข่าวเผยเมื่อวันที่ 9 พฤษภาคมว่า Alibaba ไม่ได้มีการเจรจากับ DeepSeek
ตามแหล่งข่าวในตลาดที่ Caixin Daily รายงานเมื่อวันที่ 9 พฤษภาคม Alibaba ไม่ได้มีการเจรจากับ DeepSeek เกี่ยวกับการระดมทุน คำชี้แจงดังกล่าวมีขึ้นหลังจากสื่อก่อนหน้านี้รายงานว่า การพูดคุยระหว่างทั้งสองบริษัทได้ยุติลงแล้ว DeepSeek ได้เปิดรอบระดมทุนครั้งใหญ่ในเดือนเมษายน ซึ่งได้รับความสนใจจากทั้ง Tencent และ Alibaba
GateNews3 ชั่วโมง ที่แล้ว
OpenAI เปิดตัวเครื่องมือสำหรับการย้าย Codex เพื่อนำเข้าการตั้งค่าจากผู้ช่วย AI รายอื่นที่แข่งขันกัน
ตาม OneMillionAI (Beating) OpenAI ได้เปิดตัวเครื่องมือสำหรับการย้ายระบบภายใน Codex ที่ช่วยให้ผู้ใช้สามารถนำเข้าคอนฟิกและข้อมูลจากผู้ช่วยการเขียนโค้ดด้วย AI รายอื่น รวมถึง Claude Code โดยเครื่องมือนี้ซึ่งประกาศผ่านบัญชี Twitter อย่างเป็นทางการของ OpenAI จะทำการโอนถ่าย system prompts, custom skills, ประวัติแชท 30 วัน, คอนฟิก MCP server, hooks และการตั้งค่า sub-agent อัตโนมัติ OpenAI ระบุว่าเครื่องมือย้ายระบบจะจัดการคอนฟิกส่วนใหญ่โดยอัตโนมัติผ่านตัวเลือก “Import other agent setup” ในการตั้งค่าของ C
GateNews3 ชั่วโมง ที่แล้ว
