Anthropic เปิด Claude Security AI สแกนหาช่องโหว่โค้ดอัตโนมัติ

VCT Agents·เรียบเรียงโดย Keerati Limkulphong1 พฤษภาคม 2569อ่าน 7 นาที4 ครั้ง

Claude ตัวใหม่ ไม่ได้มาเขียนโค้ด แต่มาตรวจช่องโหว่ในโค้ด

Anthropic คนทำ Claude Code ที่หลายคนคุ้น คราวนี้สลับฝั่ง ปล่อย AI อีกตัวออกมาทำหน้าที่ตรงข้าม ไม่ได้ช่วยเขียนโค้ดเพิ่ม แต่มาไล่หาช่องโหว่ในโค้ดที่เขียนไปแล้ว ก่อนแฮกเกอร์เจอ

สัปดาห์นี้ Anthropic เปิดตัว Claude Security เป็น public beta เอาโมเดล Claude Opus 4.7 มาสแกนโค้ดทั้งโปรเจกต์ของบริษัท เพื่อหาช่องโหว่ความปลอดภัยที่เครื่องมือเก่ามักหาไม่เจอ จากนั้นจะเสนอวิธีแก้ให้ทีม security ตรวจอีกรอบก่อนนำไปใช้จริง

ทาง Anthropic ระบุไว้ใน blog ตัวเองว่า "Claude scans your codebase, validates findings, and suggests patches you can review and approve" แปลตรงตัวคือ AI สแกนเอง ตรวจเอง แล้วเสนอวิธีแก้ ส่วนคนทำหน้าที่อนุมัติอีกที (ที่มา: claude.com/blog)

จุดสำคัญที่ต้องแยกให้ชัดคือ Claude Security เป็นคนละตัวกับ Claude Code แม้จะมีรากเดียวกัน เพราะต่อยอดมาจากเวอร์ชันทดลองชื่อ Claude Code Security ที่ Anthropic เปิดให้ใช้ตั้งแต่กุมภาพันธ์ 2026

ทำไมเรื่องนี้ถึงน่าสนใจ

เครื่องมือตรวจโค้ดแบบเก่าที่วงการเรียกกันว่า SAST (เครื่องสแกนโค้ดแบบไม่รัน) มีปัญหาคลาสสิกอยู่หนึ่งเรื่อง คือมันแจ้งเตือนผิดสูงถึง 30-70% ของผลที่หาเจอ ทำให้ทีม security ต้องเสียเวลามานั่งคัดออกเองว่าอันไหนคือ bug จริง อันไหนแค่เตือนสุ่มๆ (ที่มา: BuildFastWithAI)

Claude Security เปลี่ยนวิธีทำงานใหม่ โดยให้ Opus 4.7 ไล่ดูว่าข้อมูลวิ่งผ่านไหนบ้าง (data flow) ข้ามไฟล์ทั่วทั้งโปรเจกต์ เหมือนมีนักวิจัย security นั่งอ่านโค้ดเองทีละบรรทัด

ทาง SiliconANGLE สรุปไว้ว่าเครื่องมือตัวนี้ "traces data flows, reads source code and examines interactions between code components and files" หรือก็คือไล่อ่านความสัมพันธ์ระหว่างโค้ดกับไฟล์จริงๆ ไม่ใช่แค่เทียบลายช่องโหว่กับรายการเก่าๆ ที่มีอยู่แล้ว

ที่เด็ดกว่านั้นคือกระบวนการที่ Anthropic เรียกว่า adversarial verification คือให้ AI โต้แย้งผลของตัวเองอีกรอบ ก่อนที่จะแสดงผลออกมาให้คนดู Anthropic อธิบายไว้ในบล็อกว่า "Every finding goes through an adversarial verification pass. Claude challenges its own results before surfacing them" เป้าหมายชัดเจนคือกดจำนวนการแจ้งเตือนผิดให้น้อยลง ทีม security จะได้ไม่ต้องเสียเวลามานั่งคัด

ผังแสดง 4 ขั้นตอนการทำงานของ Claude Security คือสแกนทั้ง codebase ตาม data flow ข้ามไฟล์ AI ค้านตัวเอง แล้วแสดงผลพร้อมเสนอ patch ให้ทีม review

ย้อนไปเมื่อกุมภาพันธ์ตอนเปิดเวอร์ชันทดลอง Anthropic บอกว่าเจอช่องโหว่กว่า 500 ตัวในโค้ด open-source ที่ใช้งานจริงทั่วโลก ซึ่งเครื่องมือ SAST ทั่วไปจับไม่เจอ บางตัวรอดมาหลายปีถึงแม้จะผ่านสายตาผู้เชี่ยวชาญรีวิวซ้ำหลายรอบแล้ว (ที่มา: BuildFastWithAI อ้างอิง Anthropic)

อีกสัญญาณที่ชัดมาก คือภายในสัปดาห์เดียวกันมีบริษัท security ยักษ์ใหญ่ถึง 6 เจ้า เอา Opus 4.7 ไปฝังในระบบของตัวเองพร้อมกัน ได้แก่ CrowdStrike, Microsoft Security, Palo Alto Networks, SentinelOne, TrendAI (เครื่องมือ AI ของ Trend Micro) และ Wiz

บวกกับบริษัทที่ปรึกษาอีก 5 เจ้า ทั้ง Accenture, BCG, Deloitte, Infosys และ PwC ที่จะเอาเทคโนโลยีนี้ไปติดตั้งให้ลูกค้าระดับ enterprise ทั่วโลก สัญญาณแบบนี้แปลว่าวงการเริ่มมอง AI security เป็นของจริงแล้ว ไม่ใช่งานทดลองอีกต่อไป

ข่าวนี้แปลว่าอะไรกับคนทั่วไป

สำหรับคนที่ทำงานในบริษัทไทยที่จ้างที่ปรึกษาภายนอกมาตรวจสอบ security เร็วๆ นี้น่าจะเห็นบริษัทอย่าง Deloitte, PwC, Accenture, Infosys และ BCG เริ่มเสนอ Claude Security เข้าไปในขอบเขตงานด้วย ผลที่จะตามมาคือ รอบส่งงานน่าจะเร็วขึ้น และราคาบางส่วนน่าจะถูกลงด้วย

ส่วนฝั่ง dev กับฟรีแลนซ์สาย security เครื่องมือตัวนี้กระทบกับงานตรวจโค้ดของบริษัทเอง (in-house code review) มากกว่างานทดสอบเจาะระบบจากภายนอกแบบไม่เห็นโค้ด (blackbox pen-test) คนที่ทำ pen-test สาย network หรือ web app แบบไม่เห็นโค้ดยังปลอดภัย แต่ตำแหน่ง SOC analyst (ทีมเฝ้าระวัง security ของบริษัท) ที่นั่งคัด finding ของ SAST ทุกวัน งานบางส่วนน่าจะถูกแทนที่ด้วยระบบอัตโนมัติในรอบ 1-2 ปีข้างหน้า

ก่อนจะตามกระแสฮือฮากันทั้งหมด มีตัวเลขหนึ่งที่ Anthropic ไม่ได้พูดถึงใน blog ของตัวเอง คือ UK AI Security Institute หรือ AISI เคยทดสอบ Opus 4.7 บนงานด้าน cyber security 21 ข้อ ได้คะแนนเฉลี่ยแค่ 48.6% ตามหลัง GPT-5.5 ที่ได้ 71.4% และ Mythos Preview ที่ได้ 68.6% (ที่มา: Implicator.ai อ้างอิง AISI)

ตัวเลขนี้ดูเหมือนจุดด้อย แต่จริงๆ Anthropic ตั้งใจลดเอง ตอนเทรนโมเดล Opus 4.7 ทาง Anthropic เลือกตัดความสามารถด้านการโจมตีออกไป เพื่อให้โมเดลที่ปล่อยออกมาใช้งานเน้นด้านการป้องกันได้อย่างปลอดภัย ไม่ใช่ AI ใหม่ที่เก่งสุดแบบที่ฝ่ายการตลาดมักพูดกัน มุมที่ Anthropic เลือกเล่นรอบนี้คือความซื่อตรงกับผู้ใช้ มากกว่าตัวอื่นในตลาด

อีกข้อที่ต้องย้ำคือ บทรีวิวทุกตัวที่เห็นใน 48 ชั่วโมงแรกล้วนพูดดีหมด เพราะส่วนใหญ่มาจาก Anthropic เองหรือพาร์ทเนอร์ที่ออก press release พร้อมกัน ตอนนี้ยังไม่มีนักวิจัย security อิสระคนไหนทดลองและออกมาวิจารณ์แบบจริงจัง คงต้องรออีกหลายสัปดาห์ ถึงจะเห็นภาพรวมที่ครบและตรงไปตรงมา

3 อย่างที่ทำได้เลยพรุ่งนี้

ภาพอธิบาย 3 กลุ่มผู้ใช้ Claude Security คือ Enterprise ใช้ได้เลย กับ dev คนเดียวให้ใช้ Semgrep หรือ CodeQL ฟรีไปก่อน และคนที่รอ Team หรือ Max plan เปิด

ข้อแรก สำหรับทีม dev ที่ทำงานในบริษัทขนาดใหญ่ที่มีงบ enterprise ลองติดต่อ Anthropic sales ตรง หรือผ่านพาร์ทเนอร์อย่าง CrowdStrike Falcon, Wiz Red Agent หรือ SentinelOne Wayfinder เพื่อขอทดลองนำร่อง (POC) สแกน repo จริงสัก 1 ตัวก่อน แล้วเทียบดูว่าผลที่ได้คุ้มกว่า Snyk Code หรือ SonarQube ที่ใช้อยู่หรือเปล่า ส่วนราคา Claude Enterprise เริ่มที่ 20 ดอลลาร์ต่อ seat ต่อเดือน ขั้นต่ำต้อง 20 seat ขึ้นไป และต้องคุยผ่านทีม sales เท่านั้น สมัครเองออนไลน์ไม่ได้

ข้อสอง สำหรับ dev คนเดียว ฟรีแลนซ์ หรือคนดูแลโปรเจกต์ open-source ตอนนี้ Claude Security ยังไม่เปิดให้ใช้ ผู้ใช้ Pro plan 20 ดอลลาร์ต่อเดือนก็เข้าถึงไม่ได้เช่นกัน ระหว่างรอแนะนำให้ใช้ Semgrep หรือ CodeQL ฟรีไปก่อน เพื่อวางพื้นฐานความปลอดภัยให้โปรเจกต์ของตัวเอง พอ Team กับ Max plan เปิดเมื่อไหร่ ค่อยขยับมาใช้ตัวจริง

ข้อสาม กดติดตาม blog ของ Anthropic กับทีม security ในบริษัทไว้ Anthropic ระบุแค่ว่า Claude Team กับ Max plan "เปิดเร็วๆ นี้" แต่ไม่บอกวันแน่นอน ต้องรอประกาศทางการ อย่ารีบเดาเองว่าจะเปิดเมื่อไหร่

จับตาอะไรต่อ

3 จุดที่น่าจับตาต่อจากนี้ คือ Team กับ Max plan จะเปิดวันไหน AISI benchmark รอบใหม่ของ Opus 4.7 จะออกมาเป็นอย่างไร และนักวิจัย security อิสระคนแรกที่จะออกมารีวิวแบบวิจารณ์จริงจัง รอบนั้นถึงจะรู้ว่าเครื่องมือตัวนี้ของจริงแค่ไหน กดติดตามไว้ พอ Anthropic ขยับเมื่อไหร่จะมาเล่าต่อ