สรุปสั้น

บทวิเคราะห์โดย นาย Etay Maor รองประธานฝ่าย Threat Intelligence ของ บริษัท Cato Networks ชี้ถึงการเกิดขึ้นของ “Zero-Knowledge Threat Actor” ซึ่งเป็นหนึ่งในผลกระทบอันตรายที่สุดจากการเข้ามาของ AI ในวงการไซเบอร์ผู้โจมตีกลุ่มนี้แทบไม่มีความเชี่ยวชาญด้านเทคนิค แต่มีเจตนาร้ายมากพอ และอาศัย AI เปลี่ยนทักษะอันจำกัดให้กลายเป็นขีดความสามารถเชิงรุกที่ใช้งานได้จริง โดย AI ช่วยสร้างมัลแวร์ สร้าง payload อันตราย ข้ามการตรวจสอบความปลอดภัยพื้นฐาน และแปลงเจตนาร้ายที่คลุมเครือให้กลายเป็นโค้ดที่ทำงานได้

รายงาน Verizon 2026 Data Breach Investigations Report ระบุว่าการเจาะช่องโหว่ (vulnerability exploitation) พุ่งสูงขึ้น อันดับหนึ่ง ได้แก่ ช่องทางเข้าถึงเริ่มต้น หรือ Initial Access คิดเป็น 31% ของเหตุการณ์เจาะช่องโหว่ทั้งหมด แรงกดดันจากผู้โจมตีที่ใช้ AI กำลังบีบหน้าต่างเวลาของการเปิดเผยช่องโหว่อย่างมีความรับผิดชอบ (responsible disclosure) จนช่วงเวลาให้ผู้ใช้แพตช์ทันแทบหายไป

นาย Maor ย้ำว่าทางออกนั้น ไม่ใช่การตื่นตระหนก แต่ควนเป็นการมองเห็นที่คมชัดขึ้น การลงมือเร็วขึ้น และการซักซ้อมรับมือที่ดีขึ้น

รายละเอียดข่าว

เว็บไซต์ SecurityWeek เผยแพร่บทวิเคราะห์เมื่อวันที่ 2 มิถุนายน 2569 โดยนาย Etay Maor ผู้เชี่ยวชาญด้านไซเบอร์และรองประธานฝ่าย Threat Intelligence ของ Cato Networks ว่าด้วยภัยจากผู้โจมตีไร้ทักษะที่ติดอาวุธด้วย AI

นายMaor อธิบายว่า AI ไม่ได้เปลี่ยนเป้าหมายดั้งเดิมของอาชญากรรมไซเบอร์ ทั้งการขโมย credential การเจาะช่องโหว่ การยกระดับสิทธิ์ การขโมยข้อมูลสำคัญ และการขัดขวางการดำเนินงาน

สิ่งที่เปลี่ยนไปคือความเร็วในการค้นพบช่องโหว่ การทำให้ขีดความสามารถเข้าถึงได้โดยคนทั่วไป (democratization) และการเร่งจังหวะการโจมตีให้เร็วขึ้น

เครื่องมือที่ขับเคลื่อนด้วย AI กำลังเพิ่มทั้งความเร็วและปริมาณการค้นพบและใช้ประโยชน์จากช่องโหว่ ทำให้คนจำนวนมากขึ้นสามารถมีส่วนร่วมในการโจมตีได้โดยไม่ต้องมีความเชี่ยวชาญ

นาย Maor เตือนว่าความเสี่ยงใหม่กำลังเข้ามา เพราะ AI ปัจจุบันยังช่วยงานวิเคราะห์เป้าหมาย การลาดตระเวน (reconnaissance) การค้นหาช่องโหว่ การเลือก attack vector งาน social engineering การปรับแต่ง exploit และการประสานหลายขั้นตอนของ kill chain

แม้วิจารณญาณของมนุษย์ยังจำเป็นในการเลือกเป้าหมาย จัดการโครงสร้างพื้นฐาน และเปลี่ยนการเข้าถึงให้เป็นผลกระทบจริง แต่เกณฑ์ความเชี่ยวชาญที่จำเป็นต่อการโจมตีกำลังลดต่ำลงอย่างชัดเจน

วิธีการและแนวโน้มภัยคุกคาม

Maor ชี้ว่าองค์กรขนาดเล็กเหมาะกับการตกเป็นเป้าของ Zero-Knowledge Threat Actor มากกว่าองค์กรใหญ่ เพราะมีจุดอ่อนหลายด้าน ทั้งวัฒนธรรมการแพตช์ที่อ่อนแอ เครื่องมือเฝ้าระวังจำกัด ทีมความปลอดภัยขนาดเล็ก และการตอบสนองเหตุการณ์ที่ล่าช้า

ที่สำคัญ องค์กรเล็กเหล่านี้มักเป็นส่วนหนึ่งของระบบนิเวศธุรกิจขนาดใหญ่ ทำหน้าที่เป็นผู้ให้บริการซอฟต์แวร์ พาร์ตเนอร์ managed service หรือผู้ให้บริการโลจิสติกส์ ทำให้ผู้โจมตีมองว่าเป็น “ประตู” สู่องค์กรใหญ่ผ่านห่วงโซ่อุปทาน

ในประเด็นเรื่องหน้าต่างการเปิดเผยช่องโหว่ Maor อธิบายว่า “zero-day” หมายถึงช่องโหว่ที่ถูกใช้โจมตีต่อสาธารณะก่อนที่ผู้ผลิตจะมีแพตช์ ขณะที่ coordinated disclosure เริ่มตั้งแต่นักวิจัยแจ้งผู้ผลิตเป็นการส่วนตัว ตามด้วยขั้นตอนตรวจสอบ ประเมินความรุนแรง สร้างแพตช์ และให้เวลาผู้ใช้อัปเดต

ผู้โจมตีที่เสริมพลังด้วย AI ไม่เพียงค้นพบช่องโหว่ได้เร็ว แต่ยังใช้ประโยชน์ได้เร็วขึ้นด้วย ทำให้ทีมความปลอดภัยต้องเร่งมือ และช่วงเวลาหายใจแบบเดิมกำลังหายไป ส่งผลกระทบโดยตรงต่อกระบวนการ responsible disclosure

ผลกระทบต่อไทย

ประเทศไทยมีองค์กรขนาดกลางและเล็ก (SME) จำนวนมากที่อยู่ในห่วงโซ่อุปทานของบริษัทใหญ่และหน่วยงานราชการ ซึ่งตรงกับลักษณะเป้าหมายที่ Zero-Knowledge Threat Actor มองหา เพราะมักมีงบและทีมความปลอดภัยจำกัด

การที่ AI ลดเกณฑ์ทักษะการโจมตีลง หมายความว่าผู้ไม่หวังดีในประเทศที่เดิมไม่มีความสามารถทางเทคนิคก็อาจสร้างมัลแวร์หรือแคมเปญฟิชชิงที่ซับซ้อนได้ ทำให้ปริมาณภัยคุกคามที่องค์กรไทยต้องเผชิญเพิ่มขึ้น

ฟิชชิงและ social engineering ที่สร้างโดย AI จะแนบเนียนและปรับแต่งเฉพาะบุคคล (hyper-personalized) มากขึ้น ทำให้พนักงานที่ขาดการฝึกอบรมตกเป็นเหยื่อได้ง่าย โดยเฉพาะข้อความภาษาไทยที่ AI สร้างได้ลื่นไหลขึ้นเรื่อย ๆ

นอกจากนี้ หน้าต่างเวลาแพตช์ที่สั้นลงเป็นความท้าทายต่อองค์กรไทยที่มักมีรอบการอัปเดตช้า ทำให้ความเร็วในการปิดช่องโหว่กลายเป็นปัจจัยชี้ขาดความปลอดภัยมากกว่าเดิม

คำแนะนำ

  1. อบรมพนักงานเชิงลึก — เน้นการรับมือฟิชชิงและ impersonation ที่สร้างโดย AI พร้อมจำลองสถานการณ์จริง เพื่อให้พนักงานไม่เชื่อข้อความที่ปรับแต่งเฉพาะตัวโดยอัตโนมัติ
  2. ทำ Red Teaming กับระบบ AI — ทดสอบระบบ AI ขององค์กรกับ malicious prompt, jailbreaking และสถานการณ์ใช้งานในทางที่ผิด เพื่อดูว่าถูกหลอกให้เปิดเผยข้อมูลสำคัญได้หรือไม่
  3. สร้าง Visibility แบบ end-to-end — ลดการใช้เครื่องมือความปลอดภัยที่กระจัดกระจาย หันมาใช้สถาปัตยกรรมรวมศูนย์อย่าง SASE เพื่อตรวจจับกิจกรรมน่าสงสัยทั่วทั้งสภาพแวดล้อม
  4. เร่งการแพตช์ — รักษาระบบสำคัญ แอปพลิเคชันที่เปิดสู่ภายนอก และซอฟต์แวร์ยอดนิยมให้ทันสมัยเสมอ อย่าเปิดช่องโหว่ที่รู้อยู่แล้วทิ้งไว้
  5. ซ้อมแผนตอบสนองเหตุการณ์ — ทำ tabletop exercise วางเส้นทาง escalation ให้ชัด และทดสอบการกู้คืน เพื่อฝังความยืดหยุ่นเข้าไปในระบบ
  6. นำเฟรมเวิร์กความปลอดภัย AI มาใช้ — เช่น MITRE ATLAS, OWASP Top 10 for LLM Applications และ Google Secure AI Framework (SAIF)

แหล่งอ้างอิง