AI สแกนโค้ดโอเพ่นซอร์สเปิดเผยช่องโหว่หมื่นรายการ สร้างความยุ่งยากให้ทีมความปลอดภัย

การสแกนโค้ดโอเพ่นซอร์สด้วยโมเดล AI ขั้นสูงกำลังทำให้ทีมความปลอดภัยต้องเผชิญกับจำนวนช่องโหว่ที่ไม่เคยพบมาก่อน ตามที่ Dan Lorenc CEO‑ผู้ร่วมก่อตั้งของ Chainguard รายงาน “ฤดูร้อนนี้จะเป็นฤดูที่วุ่นวายสำหรับทุกคน” เนื่องจากกลุ่ม Athena ได้รับผลการค้นพบมากกว่าหมื่นรายการและกำลังเตรียมเปิดเผยชุดแรกของบั๊กในอีกไม่กี่สัปดาห์

Overview

Athena เป็นพันธมิตรระหว่างบริษัทเทคโนโลยีระดับโลกกว่า สองสิบบริษัท โดยมุ่งหมายทำให้กระบวนการค้นหาและแก้ไขบั๊กในซอฟต์แวร์โอเพ่นซอร์สเป็นเรื่องง่ายเหมือนการใช้เครื่องมือทั่วไป กลุ่มนี้ได้ให้คำมั่นว่าจะใช้ AI เพื่อลดความเสี่ยงจากการโจมตีบนโค้ดโอเพ่นซอร์ส ทั้งนี้หลายบริษัทในกลุ่มยังเป็นพันธมิตรกับโครงการ Project Glasswing ของ Anthropic และ Daybreak ของ OpenAI ซึ่งให้โอกาสทดลองโมเดลตรวจจับบั๊กที่ล้ำสมัยที่สุด

Coalition & AI Models

สมาชิกก่อตั้งของ Athena ประกอบด้วย

• BNY
• Cisco
• Cloudflare
• Corridor
• DepthFirst
• Docker
• JPMorganChase
• Kyndryl
• LTM
• PwC

และ Chainguard เอง บริษัทเหล่านี้ใช้โมเดล AI ที่อยู่ในระดับ “frontier” เช่น Mythos ของ Anthropic และ GPT‑5.5‑Cyber ของ OpenAI เพื่อสแกนโค้ด ทั้งภายในองค์กรและไลบรารีที่มาจากแหล่งเปิด ผลลัพธ์คือการค้นพบช่องโหว่ที่ก่อนหน้านี้ไม่ได้รับการตรวจพบโดยเครื่องมือแบบดั้งเดิม

Scale of Findings & Patching

จนถึงวันนี้ Athena ได้ประมวลผล กว่า 20,000 รายการค้นพบ และสร้าง กว่า 2,000 แพตช์ สำหรับ 500 โครงการโอเพ่นซอร์ส ในขั้นตอนแรกของการเปิดเผยบั๊กจะเริ่มขึ้นภายในประมาณ สามสัปดาห์ โดยมีการบันทึกว่าการสแกนซ้ำ ๆ บนไลบรารีเดียวกันยังคงพบช่องโหว่เพิ่มขึ้นเรื่อย ๆ ไม่มีสัญญาณว่ากราฟจำนวนบั๊กจะเริ่มลดลง

Anthropic รายงานว่าเมื่อใช้ Mythos Preview สแกน มากกว่า 1,000 โครงการโอเพ่นซอร์ส พบ ประมาณ 6,202 ช่องโหว่ระดับสูงหรือวิกฤติ ซึ่งยืนยันว่าความสามารถของโมเดล AI ในการค้นหาจุดอ่อนยังคงเติบโตอย่างต่อเนื่อง

Operational Challenges

แม้จะมีเครื่องมือที่ทรงพลัง แต่การจัดการกับผลลัพธ์จำนวนมหาศาลก็เป็นปัญหาที่ซับซ้อน เมื่อต้องเผชิญกับช่องโหว่หลายพันรายการในหลายโครงการ ผู้ใช้งานมักไม่รู้ว่าจะติดต่อผู้ดูแลโครงการอย่างไร หรือแม้กระทั่งไม่มีช่องทางสื่อสารที่เป็นทางการ ผลลัพธ์คือเวลาในการแก้ไขบั๊ก (time‑to‑patch) ถูกบีบให้สั้นลงอย่างมาก โดยอาจเกิดการใช้ประโยชน์จากช่องโหว่ได้ทันทีหลังจากเปิดเผย CVE

ในมุมมองของ Lorenc การใช้ AI ทำให้เกิด “pickle” คือการที่ระบบขององค์กรอาจปลอดภัยกว่าก่อนสแกน แต่ไม่มีใครรู้ว่ามีช่องโหว่ที่ซ่อนอยู่มาก่อน จึงเพิ่มความเสี่ยงโดยไม่ได้ตั้งใจ

Industry Response & Akrites

เมื่อเดือนพฤษภาคมที่ผ่านมา Linux Foundation ได้เข้าร่วมโครงการและเปิดตัว Akrites ซึ่งเป็นพันธมิตรอุตสาหกรรมเพื่อปกป้องซอฟต์แวร์โอเพ่นซอร์สจากภัยคุกคามที่ขับเคลื่อนด้วย AI Akrites ตั้งทีม Security Incident Response Team (SIRT) ร่วมกันและกำหนดกระบวนการ Coordinated Vulnerability Disclosure (CVD) มาตรฐาน

บริษัทผู้ก่อตั้งของ Akrites ได้แก่

• Amazon Web Services
• Anthropic
• Chainguard
• Cisco
• Citi
• Endor Labs
• Ericsson
• Google
• IBM
• JPMorganChase
• Microsoft
• GitHub
• Nvidia
• OpenAI
• RapidFort
• Red Hat
• Rust Foundation
• Sonatype
• Vodafone
• Zscaler

กลไกของ Akrites จะทำหน้าที่เป็นศูนย์กลางในการรับบั๊กจากสมาชิก โดย Chainguard จะทำการ deduplicate และ correlate ผลลัพธ์ จากนั้นจะแจกจ่ายเวอร์ชันที่ได้รับการ “hardened” ให้กับสมาชิกก่อนที่บั๊กจะถูกเปิดเผยต่อสาธารณะ ในกรณีที่ผู้ดูแลโครงการไม่สามารถแก้ไขได้ Akrites จะทำหน้าที่เป็น “maintainer of last resort” เพื่อป้องกันการกระจายของแพตช์ที่อาจทำให้ระบบซับซ้อนและเกิดการ fork ที่ไม่มีการบำรุงรักษา

Analysis

การใช้ AI ในการสแกนโค้ดโอเพ่นซอร์สได้พิสูจน์ว่ามีศักยภาพในการค้นพบช่องโหว่ที่ลึกซึ้งและจำนวนมาก อย่างไรก็ตาม ความเร็วและปริมาณของข้อมูลทำให้กระบวนการจัดการบั๊กต้องอาศัย การประสานงานระดับอุตสาหกรรม เพื่อหลีกเลี่ยงการสร้าง “fork” ที่ไม่มีการอัปเดตและทำให้ผู้ดูแลโครงการที่มีทรัพยากรจำกัดต้องเผชิญกับภาระงานที่เพิ่มขึ้น โครงการ Athena และ Akrites จึงเป็นความพยายามที่สำคัญในการสร้างโครงสร้างพื้นฐานที่สามารถรับมือกับความท้าทายนี้ได้

Summary

AI กำลังทำให้การค้นพบช่องโหว่ในโค้ดโอเพ่นซอร์สเพิ่มขึ้นอย่างรวดเร็ว ส่งผลให้ทีมความปลอดภัยต้องเผชิญกับภาระงานที่ซับซ้อนและเวลาตอบสนองที่สั้นลง โครงการ Athena และ Akrites พยายามแก้ไขโดยการสร้างศูนย์กลางประสานงานและมาตรฐานการเปิดเผยบั๊กเพื่อให้การแก้ไขเป็นไปอย่างสอดคล้องและมีประสิทธิภาพ.