เมื่อ AI Agent กลายเป็น "ทางลัด" ให้พนักงานแอบใช้สิทธิ์เกินหน้าที่ (Privilege Escalation)
ในยุคที่ AI Agent ไม่ได้เป็นแค่แชทบอทตอบคำถามกวนๆ อีกต่อไป แต่มันเริ่มขยับขยายกลายเป็น "ผู้ช่วยมือขวา" ในการทำงานระดับลึก ทั้งฝ่ายบุคคล (HR), ฝ่ายไอที (IT Ops) ไปจนถึงฝ่ายสนับสนุนลูกค้า
แต่ความเก่งของมันนี่แหละที่กำลังกลายเป็นช่องโหว่ชิ้นโตที่เรียกว่า "Privilege Escalation" หรือการขยายสิทธิ์โดยไม่ได้รับอนุญาต
ทำไม AI Agent ถึงกลายเป็นความเสี่ยง?
โดยปกติแล้ว เวลาเราออกแบบ AI Agent ให้ทำงานเก่งๆ เช่น ให้มันไปดึงข้อมูลจากระบบบัญชี มาสรุปใน CRM แล้วส่งเข้าอีเมล มันจำเป็นต้องมี "สิทธิ์การเข้าถึง (Permissions)" ที่กว้างมาก กว้างกว่าพนักงานทั่วไปคนหนึ่งจะมีได้
ปัญหามันอยู่ตรงนี้
- สิทธิ์ทับซ้อน: พนักงานระดับปฏิบัติการ (สิทธิ์น้อย) สามารถสั่งให้ AI Agent (สิทธิ์สูง) ไปเอาข้อมูลที่พนักงานคนนั้น "ไม่มีสิทธิ์เห็น" มาให้ได้ เช่น พนักงานฝ่ายขายสั่งให้ AI สรุปผลประกอบการรวม ซึ่งปกติพนักงานคนนี้เข้าไม่ถึง แต่ AI ดึงมาให้ได้เพราะ AI มีสิทธิ์เข้าถึงฐานข้อมูลการเงิน
- ตัวตนที่หายไป: เวลาเกิการแก้ไขระบบ หรือดึงข้อมูลกลับออกมาใน Log ของระบบจะบันทึกแค่ว่า "AI Agent เป็นคนทำ" แต่ไม่ได้บอกว่า "พนักงานคนไหนเป็นคนสั่ง" ทำให้ตรวจสอบหาคนรับผิดชอบได้ยากมาก
- ทางลัดอันตราย: เช่น วิศวกรที่ไม่มีสิทธิ์เข้าถึงเซิร์ฟเวอร์จริง (Production) แอบสั่งให้ AI Agent ไปแก้ไข Code หรือรีสตาร์ทระบบแทน ตัวเองไม่ต้องลงมือเอง แต่ระบบพังได้เหมือนกัน
แนวทางแก้ไข อย่างปล่อยให้ AI ทำงานโดยไม่มีคนคุม
เพื่อให้องค์กรใช้ AI ได้อย่างสบายใจ ทีมรักษาความปลอดภัยต้อง
- มองให้เห็นภาพรวม: ต้องรู้ว่าในบริษัทมี AI Agent กี่ตัว และแต่ละตัวเข้าถึงข้อมูลอะไรได้บ้าง
- ตรวจสอบความต่างของสิทธิ์: ต้องเช็กว่าสิทธิ์ของ "คนสั่ง" กับสิทธิ์ของ "AI" มันห่างกันเกินไปจนน่ากลัวไหม
- ใช้เครื่องมือช่วยตรวจสอบ: ปัจจุบันเริ่มมีโซลูชันอย่าง Wing Security ที่เข้ามาช่วยมอนิเตอร์ว่า AI Agent กำลังทำอะไร และความสัมพันธ์ระหว่างคนสั่งกับสิ่งที่ AI ทำนั้นปลอดภัยหรือไม่
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก