สรุปสั้น

ระบบปัญญาประดิษฐ์ (AI) ที่เปิดเชื่อมต่อกับอินเทอร์เน็ตกำลังกลายเป็นเป้าหมายใหม่ของผู้โจมตีที่ฉวยโอกาส นักวิจัยพบกิจกรรมการสแกนล่าสุดที่แสดงให้เห็นว่าผู้ก่อภัยคุกคามกำลังค้นหาเซิร์ฟเวอร์ Model Context Protocol (MCP — โปรโตคอลมาตรฐานที่ให้ AI agent เชื่อมต่อกับเครื่องมือและข้อมูลภายนอก) ไฟล์ตั้งค่าของผู้ช่วย AI และบริการโมเดลภาษาที่รันในเครื่องแต่เปิดให้เข้าถึงจากภายนอก การสแกนนี้ถูกพบบนเว็บไซต์ที่มีทราฟฟิกต่ำและไม่ได้โฮสต์โครงสร้างพื้นฐาน AI แต่อย่างใด ซึ่งบ่งชี้ว่าเป็นการลาดตระเวน (Reconnaissance) แบบกวาดกว้าง ไม่ใช่การเจาะจงองค์กรใดองค์กรหนึ่ง

นักวิเคราะห์จาก Internet Storm Center ตรวจพบกิจกรรมนี้ระหว่างตรวจสอบล็อกของ Apache และ ModSecurity เป็นเวลา 2 สัปดาห์จากผู้ให้บริการเว็บโฮสต์รายเล็ก โดยพบคำขอราว 200 รายการที่เชื่อมโยงกับการลาดตระเวนของ AI agent และมี MCP handshake probe มาจาก IP ต้นทางถึง 49 IP ที่แตกต่างกัน จุดที่น่าสนใจที่สุดคือผู้สแกนใช้คำขอเริ่มต้น MCP (MCP Initialization Request) ที่ถูกต้องตามรูปแบบ JSON-RPC แทนที่จะเช็กเพียงว่ามีหน้าเว็บอยู่หรือไม่ วิธีนี้ทำให้ผู้โจมตีระบุได้ว่าบริการที่เข้าถึงได้นั้นทำงานเหมือน MCP server หรือไม่ และหากเซิร์ฟเวอร์ตอบกลับ ขั้นถัดไปอาจเป็นการระบุเครื่องมือ แหล่งข้อมูลที่เชื่อมต่อ และการกระทำที่ AI agent มีสิทธิ์ทำได้

รายละเอียดข่าว

เว็บไซต์ Cyber Security News (CSN) รายงานเมื่อวันที่ 13 กรกฎาคม พ.ศ. 2569 ว่าทีมนักวิจัยจาก Internet Storm Center ได้เปิดเผยรายงานเกี่ยวกับการสแกนทั่วอินเทอร์เน็ตที่มุ่งเป้าไปยังเซิร์ฟเวอร์ MCP และข้อมูลรับรองของเครื่องมือ AI โดยการที่คำขอมาจาก IP จำนวนมากทำให้กิจกรรมนี้ดูเหมือนการสแกนทั่วอินเทอร์เน็ตแบบกระจาย (Distributed Internet-wide Scanning) ที่ตั้งใจค้นหาการติดตั้งที่มีช่องโหว่ในวงกว้าง มากกว่าจะเป็นการทดสอบเชิงวิชาการ

เซิร์ฟเวอร์ MCP สามารถให้ AI agent เข้าถึงฐานข้อมูล API ภายใน ระบบไฟล์ เครื่องมือจัดการทิกเก็ต และทรัพยากรทางธุรกิจอื่น ๆ ได้ เมื่อเซิร์ฟเวอร์เหล่านี้ถูกเปิดโดยไม่มีการยืนยันตัวตน (Authentication) มันจะเปรียบเสมือนการมอบแผนที่แบบอ่านด้วยเครื่องได้ (Machine-readable Map) ของบริการและข้อมูลที่ agent เข้าถึงให้แก่บุคคลภายนอก นอกจากนี้การสแกนชุดเดียวกันยังค้นหาไฟล์ที่เชื่อมโยงกับผู้ช่วยเขียนโค้ดด้วย AI รวมถึงไฟล์ตั้งค่าและไฟล์ข้อมูลรับรองที่นักพัฒนาอาจเผลอวางไว้ในไดเรกทอรีเว็บที่เผยแพร่สู่สาธารณะ ซึ่งไฟล์เหล่านี้อาจมีรายละเอียดการเชื่อมต่อ การตั้งค่าบริการ และความลับที่มีค่า ผู้โจมตียังพยายามค้นหา endpoint ของบริการโมเดล (Model-serving Interface) ที่ไม่มีการยืนยันตัวตนซ้ำ ๆ เพราะ endpoint ที่เข้าถึงได้แบบสาธารณะอาจเปิดให้ผู้โจมตีใช้ทรัพยากรประมวลผลได้ฟรี เปิดเผยโมเดลที่ติดตั้งไว้ หรือกลายเป็นจุดตั้งหลักเพื่อเจาะลึกเข้าไปในระบบต่อไป

mcp ai bec claude claude credentials exposed ai models
mcp ai bec claude claude credentials exposed ai models

วิธีการโจมตี

การสแกนครั้งนี้ยังมาพร้อมกับความพยายามใช้เทคนิค Server-Side Request Forgery (SSRF — การหลอกให้เซิร์ฟเวอร์ส่งคำขอไปยังปลายทางที่ผู้โจมตีกำหนด) โจมตีบริการ metadata ของคลาวด์ เทคนิคนี้เกี่ยวข้องกับเครื่องมือ AI เป็นพิเศษ เพราะ agent และบริการผู้ช่วยมักมีฟีเจอร์ดึงเนื้อหาจาก URL ที่ผู้ใช้ป้อนเข้ามา ผู้โจมตีจึงพยายามชี้คำขอเหล่านี้ไปยังบริการ metadata ของคลาวด์อย่าง metadata.google.internal และ IP 169.254.169.254 เพื่อขโมยโทเคนที่ให้สิทธิ์เข้าถึงทรัพยากรคลาวด์

การใช้การตรวจสอบการมีอยู่ของไฟล์แบบเบา ๆ (Lightweight Existence Check) ต่อไฟล์ที่เกี่ยวข้องกับข้อมูลรับรอง บ่งชี้ว่าผู้โจมตีปรับการสแกนให้รองรับเป้าหมายจำนวนมาก โดยแทนที่จะดาวน์โหลดทุกไฟล์ที่เป็นไปได้ พวกเขาจะเช็กก่อนว่ามีทรัพยากรที่อาจมีประโยชน์อยู่หรือไม่ก่อน กลุ่มไฟล์ที่ตกเป็นเป้า ได้แก่ ไฟล์ตั้งค่า MCP ของ Claude (.claudemcp.json), Cursor (.cursormcp.json), Visual Studio Code (.vscodemcp.json) รวมถึงไฟล์ข้อมูลรับรองอย่าง .claude.credentials.json และยังทดสอบ endpoint โมเดลแบบ OpenAI (GET /v1/models) และ Ollama (GET /api/tags)

ผลกระทบต่อไทย

องค์กรและนักพัฒนาในไทยกำลังนำ AI agent และ MCP มาใช้เพิ่มขึ้นอย่างรวดเร็ว ทั้งในงานพัฒนาซอฟต์แวร์ ระบบอัตโนมัติ และการเชื่อมต่อกับข้อมูลภายใน การสแกนแบบกวาดกว้างนี้หมายความว่าเซิร์ฟเวอร์ MCP หรือไฟล์ตั้งค่าเครื่องมือ AI ของไทยที่เผลอเปิดสู่อินเทอร์เน็ตโดยไม่มีการยืนยันตัวตน มีโอกาสถูกค้นพบและเจาะได้ทันทีโดยไม่ต้องเป็นเป้าหมายเจาะจง หากข้อมูลรับรองหรือโทเคนคลาวด์รั่วไหล ผู้โจมตีอาจเข้าถึงฐานข้อมูล API ภายใน และทรัพยากรคลาวด์ทั้งหมดที่ agent เชื่อมต่ออยู่ ยิ่งไปกว่านั้น การโจมตี SSRF ต่อบริการ metadata ของ Google Cloud และ AWS ยังเป็นภัยโดยตรงต่อองค์กรไทยจำนวนมากที่ใช้บริการคลาวด์เหล่านี้เป็นโครงสร้างพื้นฐานหลัก

คำแนะนำ

องค์กรควรตรวจสอบล็อกการเข้าถึงเพื่อหาทราฟฟิก MCP ที่น่าสงสัย ระบบที่ไม่ได้ใช้ MCP ควรถือว่าคำขอลักษณะนี้เป็นสัญญาณลาดตระเวนและบล็อกทิ้งตามความเหมาะสม ส่วนองค์กรที่รันเซิร์ฟเวอร์ MCP จริงควรบังคับใช้การยืนยันตัวตนที่แข็งแรงและไม่เปิดให้เข้าถึงจากอินเทอร์เน็ตสาธารณะโดยตรงเว้นแต่จำเป็นจริง ๆ พร้อมจำกัดการเข้าถึงเครือข่ายเพื่อลดโอกาสที่ผู้สแกนจะค้นพบบริการตั้งแต่แรก นักพัฒนาควรตรวจสอบระบบที่เปิดสู่สาธารณะจากภายนอกเครือข่าย ตรวจให้แน่ใจว่าไฟล์ตั้งค่าที่เกี่ยวกับ AI ไม่ถูกเว็บเซิร์ฟเวอร์เสิร์ฟออกไป และทบทวนฟังก์ชันดึง URL ให้มีการป้องกันปลายทางภายในและ metadata ของคลาวด์ ในระดับคลาวด์ควรบังคับใช้การป้องกัน metadata service ที่มี เช่น GCP header enforcement และ AWS IMDSv2

Indicators of Compromise (IoCs)

หมายเหตุ: IP และโดเมนถูก defang ไว้ (เช่น [.]) เพื่อป้องกันการเชื่อมโยงโดยไม่ตั้งใจ ให้ re-fang เฉพาะภายในแพลตฟอร์ม threat intelligence ที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM

ประเภทIndicatorคำอธิบาย
MCP endpointPOST /mcpคำขอเริ่มต้น MCP JSON-RPC
MCP transportGET /sseprobe ช่องทาง Server-Sent Events
ไฟล์ตั้งค่าผู้ช่วย AI.claudemcp.jsonไฟล์ตั้งค่า MCP client ของ Claude
ไฟล์ตั้งค่าผู้ช่วย AI.cursormcp.jsonไฟล์ตั้งค่า MCP client ของ Cursor
ไฟล์ตั้งค่าผู้ช่วย AI.cursormcpconfig.jsonไฟล์ตั้งค่า MCP ของ Cursor
ไฟล์ตั้งค่าผู้ช่วย AI.vscodemcp.jsonไฟล์ตั้งค่า MCP ของ Visual Studio Code
ไฟล์ตั้งค่า MCP.mcpconfig.jsonไฟล์ตั้งค่า MCP ของโปรเจกต์/editor
ไฟล์ตั้งค่าผู้ช่วย AI.claudesettings.local.jsonไฟล์ตั้งค่า local ของ Claude
ไฟล์ข้อมูลรับรอง AI.claude.credentials.jsonไฟล์ข้อมูลรับรองของ Claude
ไฟล์ข้อมูลรับรอง AI.configclaude.credentials.jsonprobe ไฟล์ข้อมูลรับรอง Claude
LLM endpointGET /v1/modelsendpoint แสดงรายการโมเดลแบบ OpenAI
LLM endpointGET /api/tagsendpoint แสดงรายการโมเดลของ Ollama
SSRF probefetch?url=http://metadata.google.internal/...tokenความพยายามขโมยโทเคน metadata คลาวด์
SSRF probefetch?uri=http://metadata.google.internal/...tokenความพยายามขโมยโทเคน metadata คลาวด์
SSRF probefetch?path=http://metadata.google.internal/...tokenความพยายามขโมยโทเคน metadata คลาวด์
SSRF probefetch?dest=http://metadata.google.internal/...tokenความพยายามขโมยโทเคน metadata คลาวด์
Cloud metadata hostmetadata.google.internalเป้าหมายบริการ metadata ของ Google Cloud
Cloud metadata IP169.254.169[.]254ที่อยู่ link-local ของบริการ metadata คลาวด์
Kubernetes token pathvar/run/secrets/.../serviceaccount/tokenเป้าหมายโทเคน service-account ของ Kubernetes

แหล่งอ้างอิง