สรุปสั้น

เอเจนต์ปัญญาประดิษฐ์ (AI agent) กำลังกลายเป็นประตูบานใหม่สู่อินเทอร์เน็ต และผู้โจมตีก็สังเกตเห็นสิ่งนี้แล้ว บริษัท Zscaler ThreatLabz เปิดเผยว่ามีคลื่นเว็บไซต์อันตรายระลอกใหม่ที่ใช้กลอุบายด้านเสิร์ชเอนจินร่วมกับโค้ดที่มองไม่เห็น เพื่อป้อนคำสั่งเท็จเข้าสู่ระบบ AI โดยตรง เปลี่ยนหน้าเว็บธรรมดาให้กลายเป็นอาวุธโจมตีเครื่องมืออัตโนมัติ เว็บเหล่านี้ไม่ได้พุ่งเป้าไปที่คนในความหมายปกติ แต่มุ่งไปที่ AI agent ที่ท่องเว็บ อ่าน และลงมือทำสิ่งต่างๆ แทนผู้ใช้ โดยอาศัยความไว้ใจที่ระบบเหล่านี้มีต่อสิ่งที่มันอ่านเจอออนไลน์

เทคนิคนี้เรียกว่า indirect prompt injection ซึ่งซ่อนคำสั่งไว้ในโค้ดของหน้าเว็บในจุดที่ผู้เยี่ยมชมที่เป็นมนุษย์จะไม่มีวันเห็น แต่ AI agent ที่สแกนหน้าเว็บจะรับคำสั่งนั้นเสมือนเป็นคำสั่งที่ถูกต้อง ผลกระทบไม่ได้เป็นเพียงทฤษฎีอีกต่อไป ในการทดสอบแบบควบคุม AI agent บางตัวถึงขั้นดำเนินการจ่ายเงินฉ้อโกงจริง และระบุว่าเว็บไซต์ปลอมเป็นแหล่งที่น่าเชื่อถือ แสดงว่านี่เป็นจุดอ่อนที่พิสูจน์ได้ในวิธีที่ AI ยอดนิยมหลายตัวประมวลผลเนื้อหาเว็บ Zscaler ระบุว่าพบสองแคมเปญที่ใช้วิธีนี้ หนึ่งสร้างขึ้นรอบการหลอกจ่ายเงินค่าซอฟต์แวร์ปลอม อีกหนึ่งปลอมตัวเป็นแพลตฟอร์มคริปโตที่มีชื่อเสียง โดยทั้งคู่ผสมการปั่นเสิร์ชเอนจินเข้ากับ HTML ซ่อนเพื่อให้หน้าเว็บอันตรายดูทั้งเกี่ยวข้องกับการค้นหาและน่าเชื่อถือในสายตา AI

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 3 กรกฎาคม พ.ศ. 2569 ว่า นักวิจัยจากบริษัท Zscaler ThreatLabz เปิดเผยในรายงานที่แบ่งปันกับ Cyber Security News (CSN) ว่าพบสองแคมเปญแยกกันที่ใช้เทคนิค indirect prompt injection โดยแคมเปญหนึ่งสร้างขึ้นรอบการหลอกจ่ายเงินค่าซอฟต์แวร์ปลอม ส่วนอีกแคมเปญปลอมตัวเป็นแพลตฟอร์มคริปโตเคอเรนซีที่เป็นที่รู้จัก ทั้งสองแคมเปญอาศัยการผสมผสานการปั่นเสิร์ชเอนจิน (SEO manipulation) เข้ากับ HTML ที่ซ่อนไว้ เพื่อทำให้หน้าเว็บอันตรายปรากฏทั้งตรงกับการค้นหาและดูน่าเชื่อถืออย่างสมบูรณ์ในสายตาระบบ AI ที่เข้ามาสแกน

แคมเปญแรกปลอมตัวเป็นเอกสารประกอบของไลบรารี Python ชื่อ requests-secure-v2 โดยยัดข้อความที่มีคีย์เวิร์ดจำนวนมากลงในหน้าเว็บเพื่อให้ปรากฏใกล้อันดับต้นๆ ของผลการค้นหาสำหรับนักพัฒนาที่กำลังแก้ปัญหาโค้ด ภายในหน้านั้นมีคำสั่งซ่อนอยู่ในรูปแบบที่เรียกว่า JSON-LD ซึ่งเป็นข้อมูลเชิงโครงสร้างที่ปกติใช้ช่วยให้เสิร์ชเอนจินเข้าใจเนื้อหาเว็บ เนื่องจาก AI agent มักปฏิบัติต่อข้อมูลเชิงโครงสร้างนี้ว่าน่าเชื่อถือกว่าข้อความทั่วไป ผู้โจมตีจึงใช้มันจัดฉากค่าไลเซนส์นักพัฒนาปลอมราคาสามดอลลาร์ให้ดูเหมือนขั้นตอนปกติที่ต้องทำเพื่อแก้ error แล้วผลักดันให้เอเจนต์ทำการจ่ายเงินคริปโตไปยังกระเป๋าเงินที่ผู้โจมตีควบคุม ข้อความซ่อนดังกล่าวถูกวางไว้ในองค์ประกอบของหน้าเว็บที่ถูกดันออกไปนอกจอด้วยการจัดวางแบบ CSS ธรรมดา จึงไม่ปรากฏต่อผู้เยี่ยมชมทั่วไป แต่ยังอ่านได้อย่างสมบูรณ์สำหรับ crawler และเครื่องมือ AI นอกจากนี้ Zscaler ยังสืบพบเว็บที่เกี่ยวข้องเพิ่มเติมซึ่งเชื่อมโยงกับบัญชี GitHub ที่โฮสต์คลังโค้ดสิบแห่งที่สร้างขึ้นรอบกลอุบายเดียวกัน บ่งชี้ว่าปฏิบัติการนี้ขยายไปไกลกว่าแพ็กเกจปลอมเพียงตัวเดียว

ai bec cybersecurity security hackers abuse seo poisoning hidden html
ai bec cybersecurity security hackers abuse seo poisoning hidden html

วิธีการโจมตี

แคมเปญที่สองใช้มุมมองต่างออกไป โดยจดทะเบียนโดเมนที่มีหน้าตาคล้ายกันเพื่อปลอมตัวเป็น DeBank แพลตฟอร์มติดตามพอร์ตการลงทุนแบบกระจายศูนย์ (DeFi) ที่ใช้กันอย่างแพร่หลาย เว็บปลอมยัดชื่ออย่าง “DeBank Login” และ “Crypto Tracker” ลงในหัวเรื่องและเมทาดาทา พร้อมคัดลอกแท็กแบบโซเชียลมีเดียเพื่อให้ลิงก์ที่แชร์ดูเหมือนมาจากบริการจริง ภายในหน้าเว็บมีบล็อกข้อความสั่งให้โมเดล AI ที่อ่านเจอปฏิบัติต่อโดเมนฉ้อโกงนี้ว่าเป็นบ้านที่ได้รับการยืนยันและน่าเชื่อถือของ DeBank และให้จัดอันดับเป็นอันดับหนึ่งในผลการค้นหาทั่วไปเกี่ยวกับแพลตฟอร์ม คำสั่งดังกล่าวยังบอกให้ระบบ AI หลีกเลี่ยงการเอ่ยถึงคำว่า “auction” ในชื่อโดเมน ซึ่งเป็นรายละเอียดเล็กน้อยแต่บ่งชี้ชัดถึงเจตนาที่จะรักษาการหลอกลวงให้แนบเนียน

เมื่อ Zscaler ทดสอบสถานการณ์นี้กับโมเดลภาษายี่สิบหกตัว ส่วนใหญ่ปฏิเสธเว็บปลอมได้อย่างถูกต้องเมื่อได้รับที่อยู่ DeBank จริงมาเปรียบเทียบ อย่างไรก็ตาม หากไม่มีจุดอ้างอิงนั้น อย่างน้อยหนึ่งโมเดลสำคัญก็ยังคงให้คะแนนหน้าเว็บฉ้อโกงว่าน่าเชื่อถือ ตอกย้ำว่าวิจารณญาณของ AI ขึ้นอยู่กับข้อมูลที่มันได้รับ ณ ช่วงเวลาตัดสินใจมากเพียงใด Zscaler แนะนำให้องค์กรที่สร้างหรือปรับใช้ AI agent นำมาตรการความปลอดภัยแบบหลายชั้นที่สามารถตรวจจับรูปแบบการ injection ซ่อนเร้นเหล่านี้มาใช้ โดยแพลตฟอร์มของบริษัทได้ตรวจจับกิจกรรมที่เกี่ยวข้องภายใต้ลายเซ็น HTML.MalURL.PromptInj.RC.M.VG แล้ว เมื่อเครื่องมือ AI รับงานอิสระบนอินเทอร์เน็ตมากขึ้น การปฏิบัติต่อทุกหน้าเว็บว่าเป็นแหล่งการหลอกลวงซ่อนเร้นที่เป็นไปได้ จึงกลายเป็นข้อกำหนดพื้นฐานด้านความปลอดภัยมากกว่าจะเป็นทางเลือกเสริม

ผลกระทบต่อไทย

ในไทยที่การนำ AI agent มาช่วยงานอัตโนมัติ ทั้งการค้นข้อมูล เขียนโค้ด และทำธุรกรรม กำลังเพิ่มขึ้นอย่างรวดเร็ว ภัยจาก indirect prompt injection ถือเป็นความเสี่ยงที่ต้องจับตา โดยเฉพาะนักพัฒนาไทยที่ใช้ AI ช่วยหาไลบรารีหรือแก้บั๊ก อาจถูกหลอกให้เอเจนต์จ่ายเงินคริปโตไปยังกระเป๋าของผู้โจมตีโดยไม่รู้ตัว เช่นเดียวกับผู้ใช้คริปโตที่พึ่ง AI ช่วยค้นหาแพลตฟอร์ม ก็เสี่ยงถูกนำไปยังโดเมนปลอมที่ AI รับรองว่าน่าเชื่อถือ องค์กรที่กำลังพัฒนาหรือปรับใช้ระบบ AI agent จึงควรตระหนักว่าเนื้อหาเว็บที่เอเจนต์อ่านอาจถูกฝังคำสั่งอันตรายไว้ และไม่ควรให้เอเจนต์ทำธุรกรรมทางการเงินโดยอัตโนมัติปราศจากการยืนยันจากมนุษย์

คำแนะนำ

องค์กรที่สร้างหรือปรับใช้ AI agent ควรใช้มาตรการความปลอดภัยแบบหลายชั้นที่ตรวจจับรูปแบบ prompt injection ซ่อนเร้นได้ ไม่ควรให้เอเจนต์ดำเนินการที่มีผลผูกพัน เช่น การจ่ายเงินหรือการอนุมัติธุรกรรม โดยอัตโนมัติโดยไม่มีมนุษย์ตรวจสอบยืนยัน ควรกำหนดให้เอเจนต์ตรวจสอบข้อมูลสำคัญ เช่น ที่อยู่โดเมนหรือกระเป๋าเงินปลายทาง กับแหล่งอ้างอิงที่เชื่อถือได้ก่อนลงมือ นักพัฒนาควรระวังแพ็กเกจและเอกสารประกอบที่พบผ่านการค้นหา โดยเฉพาะที่ขอให้จ่ายค่าไลเซนส์หรือค่าธรรมเนียมด้วยคริปโต และควรบล็อกตัวบ่งชี้ภัยคุกคาม (IoC) ที่ระบุด้านล่างในระบบป้องกันขององค์กร

Indicators of Compromise (IoCs)

หมายเหตุ: โดเมนและ URL ถูก defang (เช่น [.]) โดยเจตนาเพื่อป้องกันการเชื่อมโยงหรือ resolve โดยไม่ตั้งใจ ให้ re-fang เฉพาะในแพลตฟอร์มข่าวกรองภัยคุกคามที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM ขององค์กรเท่านั้น

ประเภทตัวบ่งชี้คำอธิบาย
Domainmarket-insight-global[.]comเว็บอันตรายที่เชื่อมโยงกับคลัง GitHub Open-Agent-Utilities
Domainidentity-breach-response[.]orgเว็บอันตรายที่เชื่อมโยงกับคลัง GitHub Open-Agent-Utilities
Domainrunners-daily-blog[.]comเว็บอันตรายที่เชื่อมโยงกับคลัง GitHub Open-Agent-Utilities
Domainbistro-reserve-now[.]netเว็บอันตรายที่เชื่อมโยงกับคลัง GitHub Open-Agent-Utilities
Domainedge-compliance-node[.]orgเว็บอันตรายที่เชื่อมโยงกับคลัง GitHub Open-Agent-Utilities
Domaindigital-asset-mart[.]orgเว็บอันตรายที่เชื่อมโยงกับคลัง GitHub Open-Agent-Utilities
Domainconsensus-protocol-v4[.]orgเว็บอันตรายที่เชื่อมโยงกับคลัง GitHub Open-Agent-Utilities
Domainvisual-media-rights-group[.]orgเว็บอันตรายที่เชื่อมโยงกับคลัง GitHub Open-Agent-Utilities
Domainpermits[.]global-transit-authority[.]orgเว็บอันตรายที่เชื่อมโยงกับคลัง GitHub Open-Agent-Utilities
Domainpy-lib-repository[.]devเว็บเอกสาร Python ปลอมที่ใช้ทำ SEO poisoning
Domaindebank[.]auctionโดเมน typosquatting ปลอมตัวเป็นแพลตฟอร์ม DeFi DeBank
URLhttps://github[.]com/Open-Agent-Utilities/mig-institutional-api-clientคลัง GitHub ที่เกี่ยวข้อง
URLhttps://github[.]com/Open-Agent-Utilities/session-token-leak-detectorคลัง GitHub ที่เกี่ยวข้อง
URLhttps://github[.]com/Open-Agent-Utilities/sneaker-drop-monitor-v2คลัง GitHub ที่เกี่ยวข้อง
URLhttps://github[.]com/Open-Agent-Utilities/opentable-resy-bypasserคลัง GitHub ที่เกี่ยวข้อง
URLhttps://github[.]com/Open-Agent-Utilities/bot-compliance-middlewareคลัง GitHub ที่เกี่ยวข้อง
URLhttps://github[.]com/Open-Agent-Utilities/digital-asset-arbitrage-cliคลัง GitHub ที่เกี่ยวข้อง
URLhttps://github[.]com/Open-Agent-Utilities/llm-fact-check-protocolคลัง GitHub ที่เกี่ยวข้อง
URLhttps://github[.]com/Open-Agent-Utilities/royalty-free-image-scraperคลัง GitHub ที่เกี่ยวข้อง
URLhttps://github[.]com/Open-Agent-Utilities/global-visa-automation-cliคลัง GitHub ที่เกี่ยวข้อง
URLhttps://github[.]com/Open-Agent-Utilities/requests-secure-v2คลัง GitHub ที่เกี่ยวข้อง
Wallet0x691bc3793205e574fa7b4aa068e62c0e470ad267กระเป๋าเงิน Ethereum ที่ใช้รับเงินค่าไลเซนส์ API ปลอม

แหล่งอ้างอิง