สรุปสั้น
Emphere สตาร์ทอัปด้านความปลอดภัยจากเมืองซีแอตเทิล ที่กำลังสร้างแพลตฟอร์มแก้ช่องโหว่ (vulnerability remediation) ขับเคลื่อนด้วย AI ประกาศในสัปดาห์นี้ว่าระดมทุน pre-seed ได้ 2.1 ล้านดอลลาร์จาก AI2 Incubator และ Outsiders Fund
แนวทางการแก้ช่องโหว่ของสตาร์ทอัปสอดคล้องกับเทรนด์การพัฒนาซอฟต์แวร์สมัยใหม่ ที่โค้ดไม่ได้ถูกสร้างจากศูนย์อีกต่อไป แต่ประกอบขึ้นจากแพ็กเกจโอเพนซอร์ส runtime, dependency และ OS layer Emphere ชี้ว่าช่องโหว่ใดๆ ในคอมโพเนนต์เหล่านี้คือปัญหาของบริษัทที่ส่งมอบซอฟต์แวร์หรือผู้ขาย แม้พวกเขาจะไม่ได้เขียนโค้ดสักบรรทัดก็ตาม
สตาร์ทอัปตั้งเป้าแก้ปัญหาเชิงโครงสร้างของการจัดการช่องโหว่ที่ค้นพบ โดยไม่ทำให้บางอย่างปลายน้ำพังหรือถูกเครื่องมือความปลอดภัยบล็อก แพลตฟอร์ม AI ของ Emphere วิเคราะห์ dependency graph ของซอฟต์แวร์เพื่อทำความเข้าใจว่าอะไรถูกโจมตีได้จริง แล้วลงมือแก้ไขบั๊กโดยอัตโนมัติ
รายละเอียดข่าว
เว็บไซต์ SecurityWeek รายงานเมื่อวันที่ 7 มิถุนายน พ.ศ. 2569 ว่า Emphere ได้ปิดการระดมทุน pre-seed มูลค่า 2.1 ล้านดอลลาร์ เพื่อนำการแก้ช่องโหว่ด้วย AI มาสู่บริษัทซอฟต์แวร์ และช่วยให้ปล่อย release ได้เร็วขึ้น สิ่งที่โซลูชันของสตาร์ทอัปนำเสนอไม่ใช่แค่ automation แต่เป็นความสามารถในการเข้าใจ dependency และทำให้การแก้ไขที่มั่นใจและปลอดภัยเป็นไปได้ในสเกลใหญ่
Emphere ระบุว่าแพลตฟอร์มจะ execute การแพตช์ validate ผลลัพธ์ แล้ว ship ผลออกไป Ankit Kumar ผู้ร่วมก่อตั้งและซีอีโอของ Emphere กล่าวว่า วงการความปลอดภัยเก่งมากในการ “ค้นหา” ปัญหา แต่การ “แก้ไข” คือจุดที่ทีมงานกำลังจมน้ำ ปริมาณช่องโหว่ได้ข้ามเส้นที่กระบวนการแบบ manual หยุดทำงาน และในที่สุด AI ก็มีความสามารถมากพอที่จะลงมือทำอะไรสักอย่างได้แล้ว
บริษัทจะใช้เงินลงทุนระยะเริ่มต้นนี้เร่งการพัฒนาแพลตฟอร์มที่ขับเคลื่อนด้วย AI และขยายฐานลูกค้า โดยมุ่งไปที่บริษัทซอฟต์แวร์ที่ต้องการส่งมอบ release ได้เร็วขึ้น ในระยะยาวบริษัทต้องการขยายแพลตฟอร์มให้ครอบคลุมทั้งพื้นผิวของการพัฒนาซอฟต์แวร์สมัยใหม่ การลงทุนรอบนี้เป็นส่วนหนึ่งของกระแสเงินทุนที่ไหลเข้าสู่บริษัทที่แก้ปัญหาด้าน software supply chain และ AI security เช่น Socket ที่ระดม 60 ล้านดอลลาร์ที่มูลค่า 1 พันล้านดอลลาร์ และ Ocean ที่ออกจาก stealth ด้วยเงิน 28 ล้านดอลลาร์
บริบทอุตสาหกรรม
ปัญหาที่ Emphere พยายามแก้สะท้อนความเป็นจริงของวงการความปลอดภัยปัจจุบัน ที่เครื่องมือ scanning และ vulnerability detection พัฒนาก้าวหน้ามากจนสร้างรายการช่องโหว่จำนวนมหาศาล แต่ขั้นตอนการแก้ไขจริงยังคงเป็นคอขวด ทีม DevSecOps ต้องเผชิญกับ alert จำนวนมาก ต้องประเมินว่าช่องโหว่ใดถูกโจมตีได้จริง (exploitable) และต้องแพตช์โดยไม่ทำให้ฟังก์ชันอื่นพัง ซึ่งเป็นงานที่ใช้เวลาและทรัพยากรสูง การที่ AI สามารถเข้าใจบริบทของ dependency graph และทำการแก้ไขที่ปลอดภัยได้อัตโนมัติจึงเป็นทิศทางที่หลายบริษัทกำลังลงทุน เพราะช่วยลดช่องว่างระหว่างการ “พบ” และการ “แก้” ช่องโหว่ ซึ่งเป็นช่วงเวลาที่ผู้โจมตีมักใช้ประโยชน์
ผลกระทบต่อไทย
องค์กรและบริษัทพัฒนาซอฟต์แวร์ในไทยเผชิญความท้าทายเดียวกัน คือการมีช่องโหว่จำนวนมากในแพ็กเกจโอเพนซอร์สและ dependency ที่ใช้งาน แต่มีทีมความปลอดภัยและนักพัฒนาจำกัด ทำให้การแพตช์ล่าช้าและเกิดช่องว่างความเสี่ยง โดยเฉพาะในยุคที่การโจมตี supply chain อย่าง Miasma และ IronWorm เกิดถี่ขึ้น เครื่องมือที่ช่วยจัดลำดับความสำคัญและแก้ช่องโหว่อัตโนมัติจึงมีคุณค่าต่อองค์กรไทยที่ต้องการเร่ง release โดยไม่ลดทอนความปลอดภัย แม้ Emphere ยังเป็นสตาร์ทอัประยะเริ่มต้น แต่การเติบโตของตลาด AI-powered remediation เป็นสัญญาณให้ทีม DevSecOps ไทยพิจารณานำแนวคิดการแก้ช่องโหว่อัตโนมัติที่เข้าใจบริบทมาใช้ แทนการพึ่งพา manual patching เพียงอย่างเดียว
คำแนะนำ
องค์กรควรจัดทำบัญชี dependency และ SBOM (Software Bill of Materials) ให้ครบถ้วน เพื่อให้รู้ว่ามีคอมโพเนนต์ใดบ้างที่อาจมีช่องโหว่ จัดลำดับความสำคัญของการแก้ไขตามความสามารถในการถูกโจมตีจริง (exploitability) ไม่ใช่แค่คะแนน CVSS เพียงอย่างเดียว นำกระบวนการทดสอบอัตโนมัติ (automated testing) มาใช้ก่อนและหลังการแพตช์ เพื่อให้มั่นใจว่าการแก้ไขไม่ทำให้ระบบปลายน้ำพัง พิจารณาประเมินเครื่องมือ AI-powered remediation ที่เข้าใจ dependency graph เพื่อลดภาระทีมและเร่งรอบการแพตช์ และถือว่าการอัปเดต dependency ที่มี security fix เป็นงานด้านความปลอดภัยที่ต้องทำสม่ำเสมอ ไม่ใช่งาน maintenance ที่เลื่อนได้
