สรุปสั้น

Google Threat Intelligence Group (GTIG) เผยแพร่รายงานเมื่อวันที่ 11 พฤษภาคม 2569 ยืนยันว่าค้นพบ zero-day exploit ตัวแรกของโลกที่ถูกสร้างด้วย AI ในการโจมตีจริง กลุ่มอาชญากรไซเบอร์ใช้ AI model สร้าง Python script ที่เจาะผ่านระบบ two-factor authentication (2FA) ของเครื่องมือ admin แบบโอเพนซอร์สที่ใช้กันอย่างแพร่หลาย ช่องโหว่เกิดจาก logic flaw ระดับสูงที่มาจาก hardcoded trust assumption ในกระบวนการยืนยันตัวตน ผู้โจมตียังต้องใช้ credentials ที่ถูกต้องจึงจะใช้ exploit ได้ GTIG ระบุว่าผู้โจมตีวางแผน mass exploitation จะโจมตีระบบที่ใช้เครื่องมือดังกล่าวเป็นจำนวนมาก แต่ Google เข้าแทรกทันและร่วมกับ vendor ออกแพตช์ก่อนที่แคมเปญจะเริ่ม John Hultquist หัวหน้านักวิเคราะห์ของ GTIG กล่าวว่า ทุก zero-day ที่สามารถสืบย้อนไปถึง AI ได้ อาจมีอีกหลายตัวที่ยังไม่ถูกค้นพบ

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 11 พฤษภาคม พ.ศ. 2569 ว่า GTIG เผยแพร่หลักฐานชิ้นแรกที่บันทึกได้ว่ากลุ่มอาชญากรใช้ AI เพื่อพัฒนา zero-day exploit นักวิจัยของ GTIG พบร่องรอยหลายจุดที่บ่งชี้ว่า script ถูกสร้างด้วย AI ได้แก่ docstrings แบบ educational ที่ละเอียดผิดปกติ, คะแนน CVSS ที่ถูกสร้างขึ้นมา (hallucinated), โครงสร้างโค้ดแบบ Pythonic ที่เป็นแบบฉบับของ LLM training data และ ANSI color classes ที่เขียนอย่างเป็นระเบียบเกินไปสำหรับ exploit ทั่วไป GTIG ประเมินด้วยความมั่นใจสูงว่า AI model ถูกใช้เพื่ออำนวยความสะดวกในการค้นพบและพัฒนา exploit แต่ไม่เปิดเผยชื่อเครื่องมือที่ถูกโจมตี กลุ่มผู้โจมตี หรือ AI model ที่ใช้ โดยยืนยันว่าไม่ใช่ Gemini ของ Google หรือ Mythos Preview ของ Anthropic Google ทำงานร่วมกับ vendor เพื่อออกแพตช์อย่างรับผิดชอบก่อนที่แคมเปญโจมตีหมู่จะเริ่มต้น

วิธีการโจมตี

Exploit เป็น Python script ที่ออกแบบมาเพื่อข้ามระบบ 2FA:

  • ช่องโหว่เป็น semantic logic flaw ที่เกิดจากการ hardcode trust assumption ในกระบวนการยืนยันตัวตน
  • ผู้โจมตีต้องมี valid credentials (username + password) ของเป้าหมาย จึงจะใช้ exploit เจาะผ่าน 2FA ได้
  • script ถูกออกแบบสำหรับการ โจมตีหมู่แบบอัตโนมัติ ไม่ใช่การเจาะเป้าหมายเดียว
  • AI ช่วยทั้งการ ค้นพบช่องโหว่ (vulnerability discovery) และการ เขียน exploit code ทำให้กระบวนการที่เคยต้องใช้ผู้เชี่ยวชาญเร็วขึ้นอย่างมาก

เหตุการณ์นี้ถือเป็นจุดเปลี่ยนสำคัญเพราะแสดงให้เห็นว่า AI ไม่ได้ถูกใช้แค่ปรับปรุง malware ที่มีอยู่ แต่สามารถค้นพบและสร้าง zero-day exploit ใหม่ทั้งหมดได้

ผลกระทบต่อไทย

เหตุการณ์นี้ส่งสัญญาณว่าภัยคุกคามทางไซเบอร์กำลังเข้าสู่ยุคใหม่ที่ AI ลดอุปสรรคในการสร้าง exploit ลงอย่างมาก องค์กรในไทยที่ใช้เครื่องมือ admin แบบโอเพนซอร์สควรทบทวนการตั้งค่า 2FA และตรวจสอบว่าไม่มี logic flaw ที่ถูกมองข้าม นอกจากนี้ credentials ที่รั่วไหลจาก data breach ต่างๆ อาจถูกนำมาใช้ร่วมกับ exploit ลักษณะนี้ได้ทันที ทำให้การเปลี่ยนรหัสผ่านเป็นประจำและการใช้ 2FA แบบ hardware key มีความสำคัญยิ่งขึ้น

คำแนะนำ

  • ทบทวนการตั้งค่า 2FA บนเครื่องมือ admin ทุกตัว ตรวจสอบว่าไม่มี bypass path
  • ใช้ hardware security keys (FIDO2/WebAuthn) แทน OTP ที่อาจถูกเจาะได้ง่ายกว่า
  • หมุนเวียนรหัสผ่านและตรวจสอบว่า credentials ไม่รั่วไหลจาก breach ก่อนหน้า
  • เฝ้าระวัง login anomalies เช่น login สำเร็จโดยข้าม 2FA หรือ login จาก IP ที่ผิดปกติ
  • อัปเดตเครื่องมือ admin แบบโอเพนซอร์สทุกตัวเป็นเวอร์ชันล่าสุด

แหล่งอ้างอิง