สแกนเนอร์ก็เอาไม่อยู่! แฮกเกอร์สร้าง "AI Agent ปลอม" ตบตาผ่านฉลุย ยอดติดพุ่งทะลุ 26,000 ตัว

ผมมีข่าวเรื่องความปลอดภัยในโลกไอทีมาเล่าให้ฟังกับแบบเป็นกันเองครับ ล่าสุดนี้บริษัทรักษาความปลอดภัยทางไซเบอร์ที่ชื่อว่า AIR ได้ลองทำภารกิจ "ลูบคม" ระบบรักษาความปลอดภัยของ AI Agent ด้วยการสร้าง Skill ปลอม (คำสั่งเสริมหรือปลั๊กอินที่ช่วยเพิ่มความสามารถให้ AI) ขึ้นมา แล้วลองส่งเข้าไปในระบบตรวจสอบรวมถึงยิงโฆษณาบน Instagram ผลลัพธ์ที่ได้น่าตกใจมากครับ เพราะมันสามารถกระจายตัวไปสู่ AI Agent ได้ถึประมาณ 26,000 ตัว แถมในนั้นมีบัญชีระดับองค์กรรวมอยู่ด้วย

ความพีคคือ ระบบสแกนความปลอดภัยทุกตัวที่ทดสอบ ดันขึ้นไฟเขียวให้ผ่านฉลุยว่า "ปลอดภัย" ซะงั้นครับ แต่โชคดีที่โค้ดฝังตัว (Payload) ที่ AIR ใส่ไว้เป็นเพียงโค้ดจำลองที่เก็บแค่เค่ที่อยู่อีเมลของผู้ใช้เท่านั้น ไม่ได้ทำอันตรายใดๆ

จุดประสงค์ของภารกิจนี้ AIR ต้องการพิสูจน์ให้เห็นว่า "สิ่งที่เราเคยเชื่อถือ" ไม่ว่าจะเป็นระบบสแกนเนอร์, จำนวน Star ใน GitHub หรือชื่อเสียงของ Open-source มันไม่สามารถการันตีความปลอดภัยได้เลยในยุคนี้ครับ

กลเม็ดเคล็ดลับ... ทำไมระบบสแกนเนอร์ถึงโดนหลอก?

Skill ปลอมนี้มีชื่อว่า brand-landingpage โดยอ้างว่าสร้างมาเพื่อช่วยคนทั่วไป (ที่เขียนโค้ดไม่เป็น) ออกแบบหน้า Landing Page ด้วยเครื่องมือดีไซน์ Stitch ของ Google

ทาง AIR ได้ใช้วิธีแนบเนียนในการสร้างความน่าเชื่อถือ 2 ส่วนด้วยกันครับ

1. ยืมเครดิต GitHub: พวกเขาไปยื่น Pull Request ในคลังเก็บข้อมูล (Repository) ของ Marketplace แห่งหนึ่งที่มีคนกด Star อยู่ถึง 36,000 ดวง พอผ่านไปไม่กี่วันคำขอได้รับการอนุมัติ (Merge) ปั๊บ Skill ปลอมนี้เลยได้พลอยฟ้าพลอยฝน ได้รับความน่าเชื่อถือตามตัวเลข Star ของคลังนั้นไปด้วยเลย
2. หลบสายตาสแกนเนอร์ด้วยลิงก์นอก: ระบบสแกนเนอร์ของแบรนด์ดังๆ ทั้ง Cisco, NVIDIA หรือที่อยู่ในเว็บ skills.sh จะตรวจเฉพาะไฟล์ที่แนบไปตอนส่ง (พวกไฟล์ SKILL.md) ซึ่ง AIR ไม่ได้ใส่คำสั่งแปลกปลอมไว้ในนั้นเลยครับ แต่ใช้วิธีบอกให้ AI Agent ไปอ่านวิธีติดตั้ง "Stitch SDK" จากลิงก์ภายนอกชื่อ stitch-design.ai (ซึ่งเป็นโดเมนที่ AIR ซื้อไว้เอง ไม่ใช่ของ Google จริงๆ)

กลลวงสลับหน้าไพ่: ในตอนแรก ลิงก์นั้นจะเชื่อมไปยังคู่มือของจริง ระบบสแกนเนอร์เห็นว่าปลายทางปลอดภัยก็เลยปล่อยผ่าน แต่พอ Skill นี้ถูกติดตั้งเป็นวงกว้างเรียบร้อยแล้ว AIR แค่เข้าไปเปลี่ยนเนื้อหาในลิงก์นั้น ให้สั่ง AI Agent ดาวน์โหลดและรันสคริปต์แทน!

ถ้าเป็นแฮกเกอร์ตัวจริง ช่องโหว่นี้จะเปิดโอกาสให้พวกเขาสามารถเข้าไปอ่านไฟล์ ย้ายข้อมูล หรือเจาะเข้าสู่ระบบภายในขององค์กรได้ เท่าที่สิทธิ์ของ AI Agent ตัวนั้นจะเข้าถึงได้เลยครับ

ปัญหาระดับโครงสร้างที่ยังแก้ไม่ตก

จริงๆ แล้ว AIR ไม่ใช่เจ้าแรกที่เจอเรื่องนี้นะครับ ก่อนหน้านี้ไม่กี่สัปดาห์ ทีม Trail of Bits ก็เพิ่งโชว์การบายพาสตัวตรวจจับของ ClawHub, Cisco และ skills.sh มาเหมือนกัน ซึ่งข้อสรุปนั้นตรงไปตรงมามากครับคือ "สแกนเนอร์ตรวจเช็กแค่ภาพนิ่ง ณ ตอนนั้น แต่คนร้ายสามารถเปลี่ยนเนื้อหาไพโหลดเมื่อไหร่ก็ได้หลังจากผ่านการตรวจไปแล้ว"

แม้กระทั่ง Anthropic (ผู้พัฒนา Claude) เองก็เคยออกโรงเตือนในคู่มือแล้วว่า การให้ Skill ไปดึงข้อมูลจาก URL ภายนอกนั้นมีความเสี่ยงสูงมาก เพราะคอนเทนต์ปลายทางสามารถเปลี่ยนรูปได้ตลอดเวลาหลังจากผ่านการตรวจสอบไปแล้ว

ฝ่ายไอทีและนักพัฒนาควรรับมืออย่างไร?

บทเรียนจากเคสนี้สอนให้รู้ว่า เราต้องปรับวิธีคิดใหม่ครับ:

• มอง Skill ให้เหมือน Software: อย่ามองว่ามันเป็นแค่ข้อความ (Text) ชุดหนึ่ง แต่ให้ปฏิบัติกับมันเหมือนซอฟต์แวร์ตัวหนึ่ง
• ตรวจสอบลิงก์ปลายทางเสมอ: อย่าเช็กแค่สิ่งที่ส่งมาในแพ็กเกจ แต่ต้องตรวจสอบสิ่งที่ Skill นั้นอ้างอิงถึงด้วย
• จำกัดสิทธิ์ (Least Privilege): ตั้งค่าให้ AI Agent มีสิทธิ์ทำงานเฉพาะเท่าที่จำเป็นเท่านั้น และสมมติไว้ก่อนเสมอว่าคำสั่งจากภายนอกที่ AI ไปดึงมา อาจจะรันด้วยสิทธิ์สูงสุดที่ AI ตัวนั้นมี

หมายเหตุส่งท้าย: ตัวเลข 26,000 ตัว หรือเรื่องการเจาะระบบองค์กรนี้ เป็นข้อมูลที่มาจากฝั่ง AIR รายงานเพียงฝ่ายเดียว (และพวกเขาก็กำลังเปิดตัว Marketplace ของตัวเองอยู่ด้วย เลยอาจจะมีเรื่องการตลาดเข้ามาเกี่ยวนิดหน่อย) แต่สิ่งที่เป็นความจริงแน่ๆ และปฏิเสธไม่ได้เลยก็คือ "วิธีการและช่องโหว่" ที่เกิดขึ้นนั้นเป็นของจริง และเป็นช่องว่างที่ฝั่งระบบป้องกันยังคงต้องรีบหาทางอุดรอยรั่วนี้ให้ได้ครับ

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก