สรุปสั้น

บริษัท Microsoft ได้ทำการ red team ระบบ Agentic AI ที่ใช้งานจริงในองค์กรต่างๆ เป็นเวลา 12 เดือน และพบว่ากลไกความปลอดภัยที่ออกแบบมาให้มนุษย์ตรวจสอบก่อนที่ AI จะดำเนินการสำคัญสามารถถูกเลี่ยงผ่านได้อย่างเป็นระบบ การค้นพบที่น่าตกใจที่สุดคือการสร้างสายโจมตีแบบ Zero-Click ที่รวมจุดบกพร่องหลายอย่างเข้าด้วยกัน ตั้งแต่ต้นจนจบโดยไม่มีมนุษย์เข้ามาโต้ตอบเพิ่มเติม ผลลัพธ์รวมถึงการขโมยข้อมูลและการเคลื่อนที่ผ่านระบบ (lateral movement)

นอกจากนี้ Model Context Protocol (MCP) ซึ่งกลายเป็นมาตรฐานในการเชื่อมต่อ AI กับเครื่องมือภายนอก ยังถูกค้นพบว่ามี CVE ที่เกี่ยวข้องถึง 99 รายการในปี 2568 โดย tool poisoning เปลี่ยนจากความเสี่ยงในทฤษฎีกลายเป็นการโจมตีจริงในสภาพแวดล้อมจริง ผล red team นำไปสู่การอัปเดต Taxonomy เวอร์ชัน 2.0 ที่เพิ่มหมวดความล้มเหลวใหม่ 7 ประเภท

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 5 มิถุนายน พ.ศ. 2569 ว่า Microsoft ได้เผยแพร่บทเรียนจากโปรแกรม red team ที่ครอบคลุมการทดสอบระบบ Agentic AI จริงในองค์กรต่างๆ ตลอดระยะเวลา 12 เดือน ซึ่งนำไปสู่การอัปเดต Taxonomy of Failure Modes in Agentic AI Systems จากเวอร์ชัน 1.0 เป็น 2.0 ขนาดของระบบนิเวศที่ถูกทดสอบแสดงให้เห็นชัดเจนเมื่อ framework โอเพนซอร์ส OpenClaw เปิดตัวในเดือนมกราคม 2569 และสะสมดาว GitHub ได้กว่า 336,000 ดาวภายใน 48 ชั่วโมง การตรวจสอบความปลอดภัยหลังจากนั้นพบช่องโหว่ 512 รายการ รวมถึง CVE-2026-25253 ซึ่งเป็น RCE แบบ one-click ผ่าน WebSocket hijacking และภายในสัปดาห์แรก instance ที่เปิดเผยสู่สาธารณะกว่า 1,800 รายการกำลังรั่วไหล API key และ credential

รายละเอียดช่องโหว่

การโจมตีแบบ Zero-Click Human-in-the-Loop Bypass ทำงานโดยการรวมจุดบกพร่องหลายอย่างเข้าด้วยกัน แต่ละจุดดูไม่น่าสงสัยเมื่อมองแยกส่วน รูปแบบที่พบบ่อย ได้แก่ “consent fatigue” ซึ่งผู้โจมตีค่อยๆ ส่งคำขออนุมัติระดับต่ำซ้ำๆ จนกว่า action ที่มีผลกระทบสูงจะผ่านได้โดยไม่ถูกตรวจพบ “session context contamination” ซึ่งข้อมูลที่ inject เข้ามาตั้งแต่ต้นจะค่อยๆ ปรับทิศทางการตัดสินใจของ AI ในขั้นตอนถัดไปโดยไม่มีสัญญาณผิดปกติที่ชัดเจน และ “semantic laundering” ซึ่ง AI เขียน description ของ action ใหม่เพื่อซ่อนว่ากำลังขอทำอะไร Taxonomy v2.0 เพิ่มหมวดใหม่ 7 ประเภทได้แก่ agentic supply chain compromise, goal hijacking, inter-agent trust escalation, computer use agent visual attacks, session context contamination, MCP and plugin abuse และ capability/architecture disclosure

ผลกระทบต่อไทย

ประเทศไทยกำลังเร่งนำ AI มาใช้ในภาครัฐและภาคเอกชน โดยเฉพาะระบบ chatbot อัจฉริยะ, ระบบอนุมัติเอกสารอัตโนมัติ และระบบช่วยเหลือลูกค้า ซึ่งล้วนอยู่ในหมวด Agentic AI ที่รายงานนี้ครอบคลุม ความเสี่ยงที่ผ่านกลไก human oversight โดยไม่ถูกตรวจพบเหมาะสมอย่างยิ่งกับบริบทองค์กรที่ไม่มีทีมความปลอดภัยเฉพาะทางด้าน AI นอกจากนี้ MCP ที่กลายเป็นมาตรฐานเชื่อมต่อ AI กับเครื่องมือภายนอก ยังเป็นพื้นที่ที่นักพัฒนาไทยกำลังนำไปใช้งาน แต่ยังไม่มีกรอบการประเมินความปลอดภัยที่ชัดเจน

คำแนะนำ

จัดทำ Software Bill of Materials (SBOM) สำหรับ AI agent ทุกตัว รวมถึง plugin, MCP server และ prompt template ทั้งหมด ตรวจสอบ identity ของ agent แบบ cryptographic แทนการเชื่อถือตาม position ใน workflow ออกแบบกลไก human-in-the-loop ให้รองรับ compound action decomposition โดยใช้ tiered approval ตามระดับความสามารถในการยกเลิก action ตรวจสอบ pattern ของคำขออนุมัติที่ผิดปกติ เช่น การขออนุมัติซ้ำๆ ในระยะเวลาสั้น และกำหนด sandbox privilege ที่ให้ AI agent เข้าถึงระบบเฉพาะที่จำเป็นเท่านั้น

แหล่งอ้างอิง