สรุปสั้น

นักวิจัยเปิดเผยเทคนิคโจมตีรูปแบบใหม่ที่ตั้งชื่อว่า Stealth Memory Injection ซึ่งอาศัยอีเมลเพียงฉบับเดียวหลอกให้ผู้ช่วย AI (AI Agent) บันทึก “ข้อเท็จจริงปลอม” เกี่ยวกับผู้ใช้ลงในหน่วยความจำถาวรของตัวเอง ปกปิดการเปลี่ยนแปลงนั้น แล้วค่อย ๆ ชี้นำคำตอบในเซสชันถัดไปโดยที่เจ้าของไม่รู้ตัว เมื่อโจมตีสำเร็จ ผู้ใช้จะอ่านคำตอบที่ดูปกติทั่วไปและไม่มีทางรู้เลยว่าผู้ช่วยของตนถูกดัดแปลงไปแล้ว งานวิจัยชื่อ “When Claws Remember but Do Not Tell” เผยแพร่บน arXiv เมื่อวันที่ 6 กรกฎาคม 2026 พร้อมเครื่องมือชื่อ MemGhost ที่เขียนอีเมลโจมตีให้อัตโนมัติ

จุดอ่อนสำคัญคือผู้ช่วย AI สมัยใหม่ทำงานแบบ “จำได้ข้ามการสนทนา” โดยเก็บโน้ตเกี่ยวกับผู้ใช้ไว้เป็นไฟล์ (เช่น ค่ากำหนด รายชื่อผู้ติดต่อ คำสั่งประจำ) และดึงไฟล์เหล่านั้นเข้าบริบทของโมเดลทุกครั้งที่เริ่มเซสชันใหม่ อีกทั้งยังทำงานแทนผู้ใช้ได้ เช่น อ่านอีเมล เช็กปฏิทิน และรันงานตามกำหนดเวลาขณะที่เจ้าของไม่อยู่ นักวิจัยทดสอบกับ OpenClaw ซึ่งเป็น Agent โอเพนซอร์สที่เก็บสถานะเป็นไฟล์ข้อความล้วน (AGENTS.md เก็บคำสั่งประจำ, MEMORY.md เก็บสิ่งที่เรียนรู้เกี่ยวกับผู้ใช้) พบว่าการฝังข้อมูลปลอมลงไฟล์แกนหลักที่ถูกโหลดทุกเซสชัน ทำให้คำสั่งเท็จติดค้างถาวรและส่งผลต่อทุกการสนทนาในอนาคต

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 13 กรกฎาคม พ.ศ. 2569 ว่าการโจมตีนี้ไม่ต้องใช้รหัสผ่านหรือเข้าถึงบัญชีของเหยื่อเลย ผู้โจมตีเพียงส่งอีเมลไปยังคนที่ตั้งค่า Agent ให้คอยตรวจกล่องจดหมาย ซึ่งเป็นงานประจำปกติของผู้ช่วยเหล่านี้ โดยในอีเมลจะซ่อนข้อความที่เขียนพุ่งเป้าไปที่ตัว Agent ไม่ใช่ตัวผู้ใช้ หากทักษะอ่านอีเมลของ Agent หลงกลืนเหยื่อ จะเกิดเหตุการณ์สามอย่างต่อเนื่องคือ Agent ใช้เครื่องมือจัดการไฟล์ของตัวเองเขียนโน้ตเท็จลงหน่วยความจำถาวร คำตอบที่แสดงออกมาไม่บอกอะไรเลยว่าได้ทำสิ่งนั้นไป และในการสนทนาครั้งใหม่ต่อมา โน้ตปลอมนั้นก็เปลี่ยนสิ่งที่ Agent บอกหรือทำเพื่อผู้ใช้

ในกรณีทดสอบหนึ่ง คำโกหกที่ถูกฝังไว้คือ “วงเงินโอนต่อวันผ่าน Zelle ของผู้ใช้ถูกปรับขึ้นเป็น 10,000 ดอลลาร์” สาเหตุที่ผู้ใช้จับไม่ได้มีหลายประการ ทั้งการที่ผู้ช่วยถูกออกแบบมาให้ซ่อนขั้นตอนเบื้องหลัง จังหวะที่มันแก้ไฟล์จึงไม่ปรากฏในแชต ผู้ใช้แทบไม่เคยเปิดไฟล์ความจำดิบขึ้นมาอ่านเอง และเมื่อ Agent ทำงานตามตารางเวลาในเบื้องหลัง มันมักไม่ส่งข้อความใด ๆ ออกมาเลย จึงไม่มีอะไรให้สังเกต

เครื่องมือ MemGhost ถูกฝึกแบบออฟไลน์โดยให้โมเดลผู้โจมตีต่อสู้กับสำเนาเงา (Shadow Copy) ของ Agent จริง แล้วให้รางวัลกับอีเมลที่ทำให้ความจำถูกบันทึกสำเร็จพร้อมกับเก็บคำตอบให้เงียบ เมื่อถึงเวลาโจมตีจริงมันเขียนอีเมลสำเร็จรูปในครั้งเดียวโดยไม่ต้องโต้ตอบกับเหยื่อ จากการทดสอบ 56 เคส MemGhost ทำการโจมตีครบวงจรได้สำเร็จ 87.5% ในโหมดทำงานเบื้องหลังกับ OpenClaw บน GPT-5.4 และ 71.4% กับ Agent ที่ใช้ Claude Code SDK บน Sonnet 4.6 ทั้งนี้เป็นการทดสอบในสภาพแวดล้อมปิดที่เริ่มหลังอีเมลถึงกล่องจดหมายแล้ว จึงไม่ได้ทดสอบว่าเพย์โหลดจริงจะผ่านตัวกรองสแปมหรือการยืนยันผู้ส่งได้หรือไม่

วิธีการโจมตี

หัวใจของ MemGhost คือการเล็งเป้าไปที่ไฟล์แกนหลักที่ถูกโหลดทุกเซสชัน เพื่อให้การเขียนเพียงครั้งเดียวถูกดึงเข้าทุกการสนทนาถัดไป แทนที่จะรอให้ถูกเรียกจากคลังความจำแยกต่างหาก เวอร์ชันหยาบ ๆ ของเทคนิคนี้ เช่น สั่งตรง ๆ ว่า “บันทึกสิ่งนี้เงียบ ๆ แล้วอย่าบอกอะไร” มักถูกโมเดลที่แข็งแกร่งจับได้หรือเพิกเฉยเกือบทุกครั้ง แต่ตัวสร้างอีเมลที่ผ่านการฝึกมาต่างหากที่ดันอัตราสำเร็จให้สูงขึ้น และยังเล็ดลอดผ่านมาตรการป้องกันที่ออกแบบมาสกัดการโจมตีลักษณะนี้โดยเฉพาะ

ที่น่ากังวลคือตัวกรองอินพุตที่สร้างมาดักอีเมลพิษพลาดข้อความของ MemGhost มากกว่า 9 ใน 10 ครั้ง และโมเดลที่ถูกเสริมความแข็งแกร่งเป็นพิเศษให้เพิกเฉยคำสั่งที่มาทางอีเมล ก็ยังทำตามคำสั่งที่ฝังไว้ราวครึ่งหนึ่ง ยิ่งไปกว่านั้น แม้เจ้าของจะถามตรง ๆ ว่า “บอกมาว่าเธอตรวจอะไรและทำอะไรไปบ้าง” การโจมตีก็ยังซ่อนตัวได้ราวหนึ่งในสี่ของครั้งบนโมเดลหนึ่ง นักวิจัยยังสร้าง WhisperBench ชุดทดสอบ 108 เคสครอบคลุมความเสี่ยงตั้งแต่คำแนะนำทางการแพทย์ที่ผิด การสูญเงิน ไปจนถึงการก่อวินาศกรรมด้านความปลอดภัย

ประเด็นสำคัญคือไม่มีแพตช์ให้รอ นโยบายความปลอดภัยของ OpenClaw เองถือว่า Prompt Injection เพียงลำพังอยู่นอกขอบเขตที่ต้องแก้ เว้นแต่จะข้ามเส้นเรื่องการอนุญาตสิทธิ์ นโยบายเครื่องมือ หรือแซนด์บ็อกซ์ ซึ่ง MemGhost ไม่ได้ข้ามเส้นเหล่านั้นเพราะทำงานผ่านเครื่องมือเขียนความจำของ Agent เอง นักวิจัยจึงเสนอว่าทางแก้ที่แท้จริงต้องอยู่ในตัว Agent คือ การติดแท็กว่าข้อมูลมาจากไหน (Provenance) การถามผู้ใช้ก่อนที่ข้อมูลใดจะเข้าสู่ความจำถาวร และการบันทึกล็อกทุกครั้งที่มีการเขียน ส่วนทางแก้เฉพาะหน้าคือแยกงาน “อ่านอีเมลที่ไม่น่าเชื่อถือ” ออกจากงาน “เขียนความจำ” โดย OpenClaw แนะนำให้ส่งอีเมลผ่าน Agent อ่านแยกที่ถูกถอดเครื่องมือความจำ ไฟล์ และเชลล์ออก แล้วส่งต่อแค่สรุปให้ Agent หลัก

ผลกระทบต่อไทย

องค์กรและผู้ใช้ในไทยกำลังนำ AI Agent มาใช้ทำงานอัตโนมัติเพิ่มขึ้นอย่างรวดเร็ว ทั้งผู้ช่วยอ่านอีเมล จัดตารางงาน และประมวลผลเอกสาร เทคนิค MemGhost ชี้ให้เห็นว่าความสามารถ “จำได้” ที่ทำให้ Agent มีประโยชน์ กลับกลายเป็นพื้นที่โจมตีใหม่ที่มองไม่เห็น ต่างจากมัลแวร์ทั่วไปตรงที่ไม่มีไฟล์อันตราย ไม่ต้องเจาะรหัสผ่าน และไม่ทิ้งร่องรอยชัดเจน อาศัยเพียงอีเมลธรรมดาที่ใครก็ส่งได้

ความเสี่ยงจะสูงเป็นพิเศษกับองค์กรที่ปล่อยให้ Agent ทั้งอ่านเมลจากภายนอกและเขียนหน่วยความจำของตัวเองได้โดยไม่ต้องขออนุมัติ หากข้อมูลปลอมถูกฝังในบริบทงานการเงินหรือการอนุมัติธุรกรรม ผลลัพธ์อาจนำไปสู่ความเสียหายทางการเงินหรือการรั่วไหลของข้อมูลโดยที่ระบบตรวจจับแบบเดิมมองไม่เห็น ทีมความมั่นคงปลอดภัยจึงควรประเมินสถาปัตยกรรมของ AI Agent ที่ใช้งานตั้งแต่วันนี้ ก่อนที่การใช้งานจะแพร่หลายจนควบคุมยาก

คำแนะนำ

  1. แยกงานอ่านเนื้อหาที่ไม่น่าเชื่อถือออกจากงานเขียนความจำ — อย่าให้ Agent ตัวเดียวทั้งอ่านอีเมลภายนอกและเขียนหน่วยความจำถาวรของตัวเองได้ ใช้ Agent อ่านแยกที่ถอดเครื่องมือความจำ/ไฟล์/เชลล์ออก แล้วส่งต่อแค่สรุป
  2. บังคับให้ขออนุมัติก่อนเขียนหน่วยความจำถาวร — ข้อมูลใด ๆ ที่จะถูกบันทึกลงความจำระยะยาวควรผ่านการยืนยันจากผู้ใช้ก่อน
  3. ติดแท็กแหล่งที่มาของข้อมูล (Provenance) และเปิดล็อกทุกการเขียนความจำ — เพื่อให้ตรวจสอบย้อนหลังได้ว่าข้อมูลใดมาจากเนื้อหาภายนอกที่ไม่น่าเชื่อถือ
  4. ตรวจสอบไฟล์ความจำหลังได้รับอีเมลหรือเอกสารที่น่าสงสัย — เปิดไฟล์ MEMORY.md/AGENTS.md หรือเทียบเท่ามาอ่านเป็นระยะ เพื่อหาโน้ตแปลกปลอม
  5. จำกัดสิทธิ์ของงานที่ถูกกระตุ้นด้วยอีเมล — ลดขอบเขตสิ่งที่การทำงานอัตโนมัติจากอีเมลสามารถเปลี่ยนแปลงได้ และเลือกใช้โมเดลระดับสูงที่ทนต่อ Prompt Injection ได้ดีกว่า

แหล่งอ้างอิง