Bruce Schneier มองข่าว Claude Mythos หาช่องโหว่ซอฟต์แวร์เป็นแผนการประชาสัมพันธ์ของ Anthropic

By lew Founder on Tag: Security, Claude
Security

Bruce Schneier ผู้เชี่ยวชาญความปลอดภัยไซเบอร์วิเคราะห์ข่าวการเปิดตัว Claude Mythos ที่สามารถหาช่องโหว่ซอฟต์แวร์ได้นับพันรายการ ว่าเป็นการวางแผนประชาสัมพันธ์ของ Anthropic ที่ประสบความสำเร็จอย่างมาก เพราะสื่อลงข่าวเป็นวงกว้างดึงความสนใจจากคู่แข่งอย่าง OpenAI ไปได้มาก และเอาเข้าจริงแล้วโมเดลอื่นๆ ที่เล็กกว่าและถูกกว่า Mythos ก็หาช่องโหว่บางตัวได้เหมือนกัน

Read more

Gmail เพิ่มการเข้ารหัส E2EE สำหรับบัญชี Workspace ในแอป Android, iOS แล้ว

By arjin Writer on Tag: Gmail, Encryption, Security, Enterprise, Google Workspace
Gmail

กูเกิลประกาศเพิ่มการเข้ารหัสแบบ End-to-end (E2EE) สำหรับคนใช้งาน Gmail ในแอป Android, iOS ที่เป็นบัญชีองค์กร โดยผู้ดูแลระบบสามารถเปิดการทำงานได้เลยใน Workspace จากก่อนหน้าที่ต้องใช้แอปหรือพอร์ทัลเสริม

เมื่อปีที่แล้วกูเกิลเปิดการใช้งาน E2EE บน Gmail ด้วยการเข้ารหัสอีเมลแบบใหม่ client-side encryption (CSE) แต่มีผลเฉพาะการใช้งานผ่านเว็บ ซึ่งตอนนี้กูเกิลขยายการทำงานมาที่แอปสมาร์ทโฟนด้วยนั่นเอง

หากผู้รับอีเมลใช้แอป Gmail เปิดอ่าน ข้อความจะแสดงในรูปแบบอีเมลตามปกติ แต่ถ้าใช้แอปอื่นจะสามารถเปิดอ่านได้ผ่านเบราว์เซอร์

Read more

Anthropic เปิดตัว Claude Mythos โมเดลสุดฉลาด หาช่องโหว่ซอฟต์แวร์ได้แล้วนับพันรายการ ไม่ขายคนทั่วไป

By lew Founder on Tag: Claude, Anthropic, LLM, Security
Claude

Anthropic เปิดตัวโมเดลรุ่นใหญ่สุดในชื่อ Claude Mythos เป็นโมเดลรุ่นใหญ่ความสามารถสูง ผลทดสอบต่างๆ ทำคะแนนเหนือกว่าโมเดลเดิมๆ อย่างชัดเจน เช่น SWE Bench Verified ที่ทำคะแนนได้ถึง 93.9% แซงหน้า Claude Opus ขึ้นถึง 13.1% หรือคะแนนทดสอบอื่นๆ เช่น SWE Bench Pro, Terminal Bench 2.0 ก็ล้วนทำคะแนนทิ้งห่างจาก Claude Opus 4.6

Read more

ผู้สร้างดูแลแพ็กเกจ Crypto ในภาษา Go ชี้ภัยคอมพิวเตอร์ควอนตัมใกล้มาถึง จากนี้จะสอน RSA, ECDSA, ECDH ในฐานะอัลกอริทึมเก่า

By lew Founder on Tag: Quantum Cryptography, Security, Encryption, Quantum Computer
Quantum Cryptography

Filippo Valsorda วิศวกรกระบวนการเข้ารหัสลับ ผู้ดูแลแพ็กเกจ Crypto ในภาษา Go เขียนบทความถึงภัยคอมพิวเตอร์ควอนตัม โดยเฉพาะประเด็นที่กูเกิลกำหนดให้เริ่มปรับกระบวนการเข้ารหัสให้ทนทานต่อคอมพิวเตอร์ควอนตัมภายในปี 2029 โดยเขาชี้ว่ามีงานวิจัยสองงานแสดงความก้าวหน้าของการใช้คอมพิวเตอร์ควอนตัมมากขึ้น ส่งผลให้ตอนนี้เราอาจจะต้องเข้าสู่โหมดการใช้งานกระบวนการเข้ารหัสลับที่ทนทานต่อคอมพิวเตอร์ควอนตัมอย่างเร่งรีบ

งานวิจัยสองชิ้นที่ Valsorda อ้างถึงได้แก่

Read more

ผู้ดูแล Axios ระบุถูกคนหลอกให้ติดตั้งโปรแกรมเพื่อเข้าประชุม เครื่องจึงถูกแฮก

By wittawasw Contributor on Tag: Security, NPM, Social Engineering
Security

จากข่าวก่อนหน้า ที่มีการตรวจพบมัลแวร์ใน axios ซึ่งเป็น library ยอดนิยม และมีการปล่อยแพ็กเกจอันตรายขึ้น npm ล่าสุด Jason Saayman ผู้ดูแลโครงการได้ออกมาเปิดเผยรายละเอียดเหตุการณ์ (Post Mortem) ตั้งแต่จุดเริ่มต้นของการโจมตีว่า ไม่ได้มาจากช่องโหว่ทางเทคนิคโดยตรง แต่เป็นการทำ social engineering ที่ออกแบบมาเฉพาะตัวเขา โดยมีลำดับเหตุการณ์ตามนี้

Read more

axios ไลบรารี HTTP ยอดนิยมถูกฝังมัลแวร์ เปิดทางคนร้ายคุมเครื่องทุกเครื่องที่ติดตั้ง

By lew Founder on Tag: Security, NPM
Security

axios ไลบรารี HTTP ที่ได้รับความนิยมสูงมาก และมีอัตราการติดตั้งถึง 100 ล้านครั้งต่อสัปดาห์ถูกคนร้ายฝังมัลแวร์ได้สำเร็จและวางเป็นเวอร์ชัน 1.14.1 และ 0.30.4 เป็นช่วงเวลาประมาณสองชั่วโมงครึ่ง โดยในมัลแวร์เป็น remote access trojan (RAT) ที่สามารถควบคุมเครื่องของนักพัฒนาทุกคนที่ได้ติดตั้งเวอร์ชันมุ่งร้ายนี้ไป

แนวทางของคนร้ายคือการไปสร้างแพ็กเกจฝังมัลแวร์ของตัวเองเอาไว้ ชื่อว่า plain-crypto-js จากนั้นไปแก้ dependency ของ axios ให้ดาวน์โหลดแพ็กเกจเข้าไปด้วย

Read more

กูเกิลขีดเส้นตายต้องเข้ารหัสทนทานต่อคอมพิวเตอร์ควอนตัมในปี 2029

By lew Founder on Tag: Google, Security, Encryption, Quantum Computer
Google

กูเกิลประกาศแนวทางรักษาความลับข้อมูลด้วยอัลกอริทึมที่ทนทานต่อคอมพิวเตอร์ควอนตัมภายในปี 2029 หลังจากงานวิจัยใหม่ๆ แสดงความก้าวหน้าในการเจาะกระบวนการเข้ารหัสได้เร็วกว่าที่เคยคาดไว้

แม้จะเตือนว่าการโจมตีจากคอมพิวเตอร์ควอนตัมอาจจะเร็วกว่าที่คิด แต่ประกาศนี้ก็ระบุว่าควรแยกตามความเสี่ยงการโจมตี โดยข้อมูลประเภทที่เป็นอันตรายหากคนร้ายสามารถถอดรหัสได้ในอนาคตอีกหลายๆ ปี (store-now-decrypt-later) ควรปรับกระบวนการเข้ารหัสไปก่อน หรือบางระบบที่จะฝังกุญแจเข้ารหัสในระบบเป็นระยะเวลานานมากๆ นับสิบปีก็ควรเร่งปรับกระบวนการโดยเร็ว

Read more

แจ้งเตือน LiteLLM ถูกแฮกบัญชี PyPI คนร้ายวางเวอร์ชันใหม่ฝังโค้ดขโมย API key

By lew Founder on Tag: Security, LLM
Security

LiteLLM แจ้งเตือนผู้ใช้ว่ามีคนร้ายเจาะบัญชี PyPI ได้สำเร็จ และอัปโหลดเวอร์ชัน 1.82.7 และ 1.82.8 เมื่อวันที่ 24 มีนาคมที่ผ่านมา โดยทั้งสองเวอร์ชันฝังโค้ดที่ใช้ขโมย API key ขององค์กรออกไป ระยะเวลาที่คนร้ายสามารถวางเวอร์ชันมุ่งร้ายจนมีการตรวจพบและลบออกไปรวมประมาณ 3 ชั่วโมง

LiteLLM เป็น AI API Gateway ที่ได้รับความนิยมสูง หลายองค์กรอาศัยมันเป็นตัวจัดการการใช้งานในองค์กร โดยนำกุญแจกลางขององค์กรมาวางไว้ที่ gateway แล้วให้แอปพลิเคชันต่างๆ ภายในใช้กุญแจของ LiteLLM อีกที ทำให้จัดการงบประมาณได้ง่ายขึ้น รวมถึงสามารถใช้ API กลางแม้จะมีผู้ให้บริการ AI หลายเจ้าก็ตาม

Read more

กสทช. สหรัฐฯ สั่งแบนเราเตอร์ตามบ้านที่ผลิตนอกสหรัฐฯ ทั้งหมด

By lew Founder on Tag: FCC, USA, Security
FCC

กสทช. สหรัฐฯ (Federal Communications Commission - FCC) ออกประกาศแบนเราเตอร์:สำหรับผู้ใช้ทั่วไปตามบ้านที่ผลิตนอกสหรัฐฯ รวดเดียวทั้งหมดโดยไม่ระบุยี่ห้อ ประกาศให้เหตุผลว่าเราเตอร์:เหล่านี้เป็นภัยต่อความมั่นคงเนื่องจากถูกโจมตีบ่อยครั้ง

ปัญหาความปลอดภัยในอุปกรณ์อิเล็กทรอนิกส์ขนาดเล็กๆ เหล่านี้เป็นปัญหาจริง ที่ผ่านมารัฐบาลไบเดนพยายามผลักดันความปลอดภัยด้วยนโยบายเชิงบวกด้วยการตรวจสอบภาคสมัครใจ แต่ในสมัยทรัมป์นี้นโยบายเปลี่ยนไปเป็นการแบนเป็นวงกว้าง

Read more

Ubuntu 26.04 เตรียมแสดงจำนวนอักษรในรหัสผ่าน sudo ระบุประสบการณ์ผู้ใช้ดีขึ้น

By lew Founder on Tag: Ubuntu, Security
Ubuntu

Ubuntu 26.04 Resolute Raccoon กำลังจะออกตัวจริงในเดือนเมษายนนี้ ตอนนี้ความเปลี่ยนแปลงหนึ่งเป็นประเด็นขึ้นมา คือการเปลี่ยนคอนฟิกเริ่มต้นของโปรแกรม sudo ให้แสดงจำนวนตัวอักษรที่พิมพ์รหัสผ่านไปแล้วด้วยอักขระ "*" (asterisk) ซึ่งอยู่ในคอนฟิก pwfeedback

เดิม sudo มีค่าคอนฟิกเริ่มต้นไม่แสดงข้อมูลใดๆ เพื่อผู้ใช้พิมพ์รหัสผ่านโดยให้เหตุผลว่าลดความเสี่ยงคนแอบมองจอแล้วเห็นว่ารหัสผ่านยาวเพียงใด แม้ว่าจะเปิดให้คอนฟิกได้ภายหลัง แต่แนวทางนี้ก็มีปัญหาว่าผู้ใช้มือใหม่อาจจะงงว่าพิมพ์รหัสผ่านไปหรือยังเนื่องจากมาตรการรักษาความปลอดภัยรหัสผ่านโดยปกติแล้วจะแค่ปิดบังตัวอักษรเท่านั้น

Read more

Google ซื้อกิจการ Wiz เสร็จสิ้นแล้ว เป็นดีลขนาดใหญ่ที่สุดของบริษัท

By arjin Writer on Tag: Wiz, Acquisition, Google Cloud, Google, Alphabet, Security, Cybersecurity
Wiz

เมื่อสัปดาห์ที่ผ่านมากูเกิลประกาศว่าการซื้อกิจการ Wiz บริษัทด้านความปลอดภัยบนคลาวด์และ AI ได้เสร็จสิ้นขั้นตอนทั้งหมดแล้ว โดย Wiz จะเป็นส่วนหนึ่งภายใต้บริการ Google Cloud แต่ยังคงแบรนด์ Wiz ไว้ต่อไป และยังคงให้บริการลูกค้าทั้งหมดต่อไป

กูเกิลประกาศการซื้อกิจการ Wiz ตั้งแต่มีนาคมปีที่แล้ว ด้วยมูลค่า 3.2 หมื่นล้านดอลลาร์ ซึ่งเป็นมูลค่าดีลซื้อกิจการที่ใหญ่ที่สุดที่มีมาของกูเกิล (สถิติเดิมคือ Motorola Mobility)

Read more

Meta โชว์ผลงานลบเพจมิจฉาชีพกว่า 10 ล้านบัญชี พร้อมเปิดตัวฟีเจอร์ AI ตรวจจับหลอกลวงแบบใหม่

By jaideejung007 Contributor on Tag: Meta, Facebook, WhatsApp, Messenger, AI, Security, Scam
Meta

Meta ประกาศเปิดตัวเครื่องมือและฟีเจอร์ใหม่ที่ขับเคลื่อนด้วย AI เพื่อยกระดับการป้องกันมิจฉาชีพบนแพลตฟอร์ม Facebook, Messenger และ WhatsApp พร้อมเปิดเผยความคืบหน้าในการร่วมมือกับหน่วยงานบังคับใช้กฎหมายทั่วโลกเพื่อกวาดล้างเครือข่ายหลอกลวง

Meta ระบุว่ามิจฉาชีพมีการปรับเปลี่ยนรูปแบบให้ซับซ้อนขึ้น บริษัทจึงได้พัฒนาระบบ AI ที่สามารถวิเคราะห์บริบทแวดล้อม ทั้งข้อความ รูปภาพ และลิงก์ที่น่าสงสัย เพื่อตรวจจับการสวมรอยเป็นบุคคลที่มีชื่อเสียง แบรนด์สินค้า หรือการหลอกลวงผ่านโดเมนปลอมได้อย่างแม่นยำและรวดเร็วยิ่งขึ้น

นอกจากนี้ ยังมีการเพิ่มฟีเจอร์แจ้งเตือนผู้ใช้งานแบบเชิงรุก ได้แก่

Read more

Apple อัปเดต iOS, iPadOS เวอร์ชันเก่า 15-16 แก้ไขช่องโหว่ที่มีรายงานการเจาะข้อมูล iPhone

By arjin Writer on Tag: Apple, Security, iOS 15, iPadOS 15, iOS 16, iPadOS 16
Apple

แอปเปิลออกอัปเดตระบบปฏิบัติการ iOS และ iPadOS สำหรับ iPhone และ iPad รุ่นเก่าที่ไม่สามารถอัปเดตเป็นซอฟต์แวร์รุ่นล่าสุดได้ ดังนี้

  • iOS 16.7.15 และ iPadOS 16.7.15
  • iOS 15.8.7 และ iPadOS 15.8.7
Read more

Mozilla ใช้ Claude Opus 4.6 ตรวจพบช่องโหว่ Firefox เป็นจำนวนมาก

By mk Founder on Tag: Firefox, Anthropic, Mozilla, Claude, Security, Artificial Intelligence
Firefox

Anthropic เปิดเผยว่าได้ร่วมมือกับ Mozilla ใช้โมเดล Claude Opus 4.6 ค้นหาช่องโหว่ความปลอดภัยจากซอร์สโค้ดของ Firefox และสามารถค้นพบช่องโหว่ 22 จุดได้ภายในเวลา 2 สัปดาห์

ช่องโหว่เหล่านี้มี 14 จุดที่เป็นระดับความร้ายแรงสูง (high-severity) และช่องโหว่ทั้งหมดถูกแก้ไขแล้วใน Firefox 148

Anthropic บอกว่าเลือก Firefox เพราะเป็นโค้ดที่มีความซับซ้อนสูง อีกทั้ง Firefox เองก็ถูกทดสอบความปลอดภัยมาอย่างยาวนาน ถือเป็นความท้าทายของโมเดลที่จะต้องเจอโจทย์ยากขึ้น ผลความร่วมมือนี้เป็นการบ่งบอกว่าโมเดลปัญญาประดิษฐ์สามารถตรวจหาช่องโหว่ร้ายแรงสูงได้จริง และภายในระยะเวลาอันสั้นด้วย

Read more

[ลือ] หน่วยข่าวกรองอิสราเอล แฮ็กกล้องจราจร-เสาโทรศัพท์ในอิหร่าน มาได้หลายปี

By mk Founder on Tag: Iran, Israel, Military, Hacking, Telecom, Security
Iran

Financial Times รายงานเบื้องหลังงานข่าวกรองของการโจมตีสังหารผู้นำอิหร่าน ว่าหน่วยข่าวกรองของอิสราเอลแฮ็กกล้องจราจรและเสาสัญญาณโทรศัพท์ในกรุงเตหะรานมานานหลายปีแล้ว

แหล่งข่าวของ Financial Times บอกว่า อิสราเอลแฮ็กระบบกล้องจราจรของกรุงเตหะราน และส่งภาพกลับไปยังเซิร์ฟเวอร์ในกรุงเทลอาวีฟและทางตอนใต้ของอิสราเอล ทำให้หน่วยข่าวกรองสามารถเก็บข้อมูลได้ว่า บอดี้การ์ดและคนขับรถแต่ละคนมีพฤติกรรมการจอดรถอย่างไร เส้นทางการขับรถ รู้ชั่วโมงการทำงานของการ์ดเหล่านี้ และที่สำคัญคือรู้ว่าการ์ดคนนี้ทำหน้าที่คุ้มครองผู้นำสำคัญคนไหนบ้าง

Read more

Anthropic เปิดตัว Claude Code Security ผู้ช่วยหาช่องโหว่ความปลอดภัยโค้ด

By mk Founder on Tag: Claude, Anthropic, Security, Programming
Claude

Anthropic เปิดตัว Claude Code Security เป็นฟีเจอร์ย่อยของ Claude Code ที่ช่วยหาช่องโหว่ความปลอดภัยและหาวิธีแก้ไขให้

Claude Code Security จะช่วยสแกน codebase ทั้งหมด เพื่อค้นหาว่ามีช่องโหว่ความปลอดภัยอะไรบ้าง พร้อมเสนอวิธีแก้ไขออกมาเป็นแพตช์ เพื่อให้มนุษย์คอยรีวิวอีกที

วิธีการสแกนโค้ดของ Claude Code Security จะไม่ได้เป็นแค่การมองหาแพทเทิร์นแบบพื้นๆ แต่จะ "คิดแบบนักวิจัยความปลอดภัย" ทำความเข้าใจความเชื่อมโยงของโค้ด การเคลื่อนตัวของข้อมูลภายในแอพ จึงค้นหาช่องโหว่ที่ซับซ้อนมากขึ้นได้

Read more

Google รายงานสถิติความปลอดภัย Google Play ปีที่ผ่านมาปฏิเสธคำขอแอปขึ้นสโตร์ไปมากกว่า 1.75 ล้านแอป

By arjin Writer on Tag: Android, Google, Google Play, Security
Android

กูเกิลเผยแพร่รายงานด้านความปลอดภัยของ Android และ Google Play ในปี 2025 โดยปฏิเสธคำขอนำแอปขึ้นสโตร์ Google Play ไปมากกว่า 1.75 ล้านแอป เนื่องจากทำผิดกฎ และแบนบัญชีนักพัฒนาที่พยายามเผยแพร่แอปอันตรายมากกว่า 80,000 บัญชี รวมทั้งป้องกันแอปมากกว่า 255,000 ที่พยายามเข้าถึงข้อมูลส่วนตัวผู้ใช้งานซึ่งละเมิดกฎของกูเกิล

Read more

แอพบน Windows 11 จะเพิ่มหน้าจอขอสิทธิแบบเดียวกับแอพมือถือ, ไฟล์แอพต้อง Signed ถึงจะรันได้

By mk Founder on Tag: Windows 11, Security, Microsoft, Operating System
Windows 11

ไมโครซอฟท์ประกาศแผนการยกระดับความปลอดภัยของการรันแอพบน Windows เพิ่ม 2 อย่าง ที่จะทำให้แอพบน Windows คล้ายแอพบนสมาร์ทโฟนมากขึ้น ดังนี้

Read more

ไมโครซอฟท์ออกแพตช์อุดช่องโหว่ Notepad เปิดโอกาสรันโค้ดจากระยะไกล

By mk Founder on Tag: Notepad, Microsoft, Security Patch, Security
Notepad

ในแพตช์ความปลอดภัยของ Windows 11 รอบเดือนกุมภาพันธ์ 2026 มีแพตช์ที่น่าสนใจคือเป็นการอุดรูรั่วของ Notepad ใช่แล้วครับ อ่านไม่ผิด

Notepad มีชื่อเสียงจากการเป็นแอพแก้ไขข้อความเรียบง่ายที่อยู่คู่ Windows มานาน ดูแล้วไม่น่าจะมีโอกาสเกิดช่องโหว่ใหม่ๆ ได้ง่ายนัก แต่เมื่อช่วงหลังมานี้ ไมโครซอฟท์เริ่มหันมาอัพเกรด Notepad ครั้งใหญ่ มีฟีเจอร์ใหม่ๆ มากมาย จึงมีโอกาสที่จะเกิดช่องโหว่ตามมา

Read more

ใบรับรอง Secure Boot จะครบอายุ 15 ปีช่วงกลางปี 2026, พีซี Windows ต้องอัพเดต

By mk Founder on Tag: Windows 11, Security, Digital Certificate, Microsoft, Operating System
Windows 11

ไมโครซอฟท์เริ่มนำระบบ Secure Boot มาใช้กับพีซีตั้งแต่ปี 2011 เพื่อการันตีว่าระบบปฏิบัติการ Windows จะโหลดตัวเองขึ้นมาได้อย่างปลอดภัย ไม่มีมัลแวร์หรือซอฟต์แวร์ประสงค์ร้ายบูทตัวขึ้นมาก่อนหน้า โดยใช้เทคนิคว่าเฟิร์มแวร์ของผู้ผลิตพีซีจะต้องผ่านการรับรองดิจิทัลก่อนเสมอ เพื่อการันตีความถูกต้องและความปลอดภัยของเฟิร์มแวร์

Read more
Subscribe to Security