สรุปสั้น

ทีมวิจัยความปลอดภัยของบริษัท Intruder เปิดเผยผลการทดลองที่แสดงให้เห็นว่าปัญญาประดิษฐ์กำลังเปลี่ยนวิธีการค้นหาช่องโหว่อย่างเป็นรูปธรรม ไม่ใช่แค่ในทางทฤษฎีอีกต่อไป โดยพวกเขาได้สร้างสิ่งที่เรียกว่า “เครื่องปั๊มช่องโหว่” (vulnerability vending machine) ซึ่งเป็นไปป์ไลน์ที่ป้อนโทเคน AI เข้าไปแล้วได้ช่องโหว่ zero-day ออกมา ทีมงานใช้โมเดลภาษาขนาดใหญ่ (Large Language Model หรือ LLM) ที่มีอยู่ในปัจจุบันร่วมกับเฟรมเวิร์กสแกนโค้ด และค้นพบช่องโหว่ SQL injection แบบหลายขั้นตอนจากระยะไกลในปลั๊กอิน WordPress ที่มีผู้ใช้งานกว่า 300,000 ราย โดยกระบวนการทั้งหมดตั้งแต่ค้นพบไปจนถึงพัฒนาโค้ดโจมตีเป็นไปแบบอัตโนมัติเต็มรูปแบบ ไม่มีมนุษย์เข้ามาแทรกแซงในระหว่างทาง

ช่องโหว่แรกที่ไปป์ไลน์นี้ปั๊มออกมาคือ CVE-2026-3985 ช่องโหว่ SQL injection ในปลั๊กอิน Creative Mail ซึ่งเปิดให้ผู้โจมตีอ่านข้อมูลในฐานข้อมูลได้ รวมถึงแฮชรหัสผ่านของผู้ดูแลระบบและโทเคนลับต่างๆ จุดที่น่าสนใจคือช่องโหว่นี้ต้องอาศัยการส่งคำขอหลายครั้งต่อเนื่องกันจึงจะเจาะได้ ทำให้เครื่องมือตรวจจับแบบดั้งเดิมมองข้ามได้ง่าย และต้นตอของช่องโหว่ยังถูกซ่อนจากเครื่องมือวิเคราะห์แบบสถิต (Static Analysis) ของนักพัฒนาเองด้วยความผิดพลาดในโค้ด กรณีนี้จึงสะท้อนว่า AI กำลังเร่งความเร็วในการค้นหาช่องโหว่ให้เร็วขึ้นมาก ซึ่งเป็นดาบสองคมที่ทั้งฝ่ายป้องกันและฝ่ายโจมตีต่างนำไปใช้ได้เท่าเทียมกัน

รายละเอียดข่าว

เว็บไซต์ BleepingComputer เผยแพร่บทความของบริษัท Intruder เมื่อวันที่ 15 กรกฎาคม 2569 โดยนาย Sam Pizzey วิศวกรความปลอดภัยของบริษัท อธิบายว่าโจทย์ที่ทีมต้องการตอบคือ ด้วยโมเดล AI ที่มีอยู่ในมือตอนนี้ จะสามารถพา AI ไปได้ไกลแค่ไหนในการค้นหาช่องโหว่ที่ใช้โจมตีได้จริงในซอฟต์แวร์ที่ใช้งานในโลกจริง ปัญหาสำคัญที่สุดของการจับคู่ AI กับเครื่องมือสแกนโค้ดคือเรื่อง “โฟกัส” เพราะ LLM ทำงานได้ดีเยี่ยมเมื่อได้รับโค้ดชิ้นเล็กๆ หรือคำอธิบายปัญหาเฉพาะเจาะจง แต่หากชี้ให้มันดูซอร์สโค้ดทั้งโครงการแล้วสั่งให้หาช่องโหว่ มันจะพยายามอ่านทุกไฟล์ในคลังโค้ด ซึ่งทั้งสิ้นเปลืองโทเคนและทำให้ความแม่นยำแย่ลง เพราะพอโมเดลอ่านไปได้ครึ่งทาง บริบท (Context) ก็เต็มไปด้วยโค้ดที่ไม่เกี่ยวข้อง จนช่องโหว่ที่ต้องการถูกกลบหายไปในกองข้อมูล

เพื่อแก้ปัญหานี้ ทีม Intruder ใช้เทคนิคที่เรียกว่า program slice ซึ่งคล้ายกับที่เครื่องมือ IDE หรือ LSP ใช้ฟีเจอร์อย่าง “find implementation” หรือ call graph เพื่อหาทุกฟังก์ชันที่ถูกเรียกจากฟังก์ชันปัจจุบัน จากนั้นสร้างไปป์ไลน์ที่รับซอร์สโค้ดเข้ามา ประมวลผลผ่านเครื่องมือสแกนโค้ด (ใช้เครื่องมือชื่อ Joern) สร้างชิ้นส่วนโค้ด (slice) ที่เกี่ยวข้องกับแต่ละสิ่งที่พบ แล้วส่งให้ LLM คัดกรองและพัฒนาโค้ดโจมตี ทีมงานชี้ไปป์ไลน์นี้ไปที่ปลั๊กอิน WordPress ยอดนิยม 200 อันดับแรก ซึ่งเป็นโค้ดที่ถูกนักวิจัย bug bounty ตรวจสอบซ้ำแล้วซ้ำเล่า การพบช่องโหว่จริงในนั้นจึงหมายความว่ากระบวนการนี้สามารถแข่งขันกับมนุษย์ที่มีทักษะได้

AI vulnerability vending machine finds zero-day SQL injection in WordPress plugin
AI vulnerability vending machine finds zero-day SQL injection in WordPress plugin

ช่องโหว่แรกที่ไปป์ไลน์ปั๊มออกมาคือ CVE-2026-3985 ช่องโหว่ SQL injection ในปลั๊กอิน Creative Mail ซึ่งโดดเด่นด้วยเหตุผลหลายประการ ทั้งเป็นช่องโหว่ผลกระทบสูงที่เปิดให้ผู้โจมตีอ่านฐานข้อมูลได้ รวมถึงแฮชรหัสผ่านแอดมินและโทเคนลับ ต้องอาศัยการส่งคำขอหลายครั้งต่อเนื่องกัน (multiple chained requests) จึงเจาะได้ ทำให้เครื่องมือแบบเดิมตรวจจับได้ยาก และต้นตอของช่องโหว่ยังถูกซ่อนจากเครื่องมือวิเคราะห์แบบสถิตของนักพัฒนาเองด้วยความผิดพลาดในโค้ด การเจาะช่องโหว่นี้จำเป็นต้องมีปลั๊กอิน WooCommerce ติดตั้งอยู่ควบคู่กับ Creative Mail ด้วย แต่เนื่องจาก WooCommerce เป็นเหตุผลหลักที่หลายคนใช้ WordPress (มีการติดตั้งใช้งานกว่า 7 ล้านครั้ง) การใช้ทั้งสองปลั๊กอินร่วมกันจึงพบได้ทั่วไป ทั้งนี้ช่องโหว่ดังกล่าวยังถูกค้นพบโดยอิสระโดยนาย Dmitrii Ignatyev จากบริษัท CleanTalk ที่รายงานไปยัง Wordfence เช่นกัน ปัจจุบันปลั๊กอิน Creative Mail ถูกถอดออกจากคลังปลั๊กอินของ WordPress เพื่อรอการตรวจสอบแล้ว

วิธีการโจมตี

ไปป์ไลน์ของ Intruder ทำงานเป็นหลายขั้นตอนต่อเนื่องกัน เริ่มจากเครื่องมือ Joern รันกับซอร์สโค้ดโดยใช้กฎที่ออกแบบมาให้ตรวจจับรูปแบบที่ “น่าสนใจ” แบบกว้างๆ ไว้ก่อน ซึ่งจงใจตั้งให้หลวมเพื่อไม่ให้พลาดช่องโหว่ เนื่องจากมีเอเจนต์คัดกรองในขั้นถัดไปอยู่แล้วจึงยอมให้เกิดผลบวกลวง (False Positive) ได้ ในการทดลองนี้ทีมงานมุ่งเป้าไปที่พื้นผิวการโจมตีของปลั๊กอิน WordPress ที่ไม่ต้องยืนยันตัวตน จึงให้ Joern ระบุทุกจุดที่สคริปต์อาจได้รับผลจากข้อมูลนำเข้าของผู้ใช้ ทั้ง REST route, template hook และการเรียก AJAX แบบ nopriv เป็นต้น จากนั้นสำหรับแต่ละ hook ของ WordPress ระบบจะสร้าง slice คือฟังก์ชันที่ hook เรียก ทุกเมธอดที่ฟังก์ชันนั้นเรียกต่อ ไล่ลงไปตามสายการเรียกทั้งหมด แล้วใช้กฎ taint tracking พื้นฐานคัดฟังก์ชันที่ปลอดภัยชัดเจนออก เช่นข้อมูลที่ผ่านตัวกรอง (sanitizer) ที่รู้ว่าปลอดภัยแล้ว

เมื่อได้ slice แล้ว แต่ละชิ้นจะถูกส่งไปยังโมเดลคัดกรองแบบเบา (ในการทดสอบใช้โมเดล Sonnet) เพื่อกรองสิ่งที่ไม่น่าสนใจออก เช่น hook ที่ตั้งใจให้เป็นสาธารณะและไม่มีผลข้างเคียง ส่วนที่เหลือจะถูกส่งต่อไปยังโมเดลที่หนักกว่า (ใช้โมเดล Opus) เพื่อประเมินความสามารถในการเจาะโจมตี โดยมีบริบทการเรียกที่เกี่ยวข้องครบถ้วนอยู่ในหน่วยความจำ สุดท้ายสิ่งที่ถูกตัดสินว่าเจาะได้จะถูกส่งไปยังเอเจนต์พัฒนาโค้ดโจมตีขั้นสุดท้าย ซึ่งจะเข้าถึงซอร์สโค้ดเต็มอีกครั้งผ่านการค้นหาแบบเจาะจง และยังสามารถสร้างคอนเทนเนอร์ Docker ที่รันซอฟต์แวร์นั้นขึ้นมาเพื่อทดสอบระหว่างพัฒนาโค้ดโจมตีได้ด้วย ในกรณีของ CVE-2026-3985 เอเจนต์พัฒนาโค้ดโจมตีสามารถสร้างโค้ดพิสูจน์แนวคิด (Proof-of-Concept) ที่ทำงานได้สำเร็จในครั้งเดียว ทั้งการตรวจยืนยันว่าช่องโหว่มีอยู่จริงและวิธีดึงแฮชรหัสผ่านออกจากฐานข้อมูลได้ครบถ้วน

ผลกระทบต่อไทย

เว็บไซต์และร้านค้าออนไลน์ในไทยจำนวนมากสร้างขึ้นบน WordPress และใช้ WooCommerce เป็นระบบอีคอมเมิร์ซหลัก การที่ช่องโหว่ CVE-2026-3985 ในปลั๊กอิน Creative Mail เจาะได้เมื่อใช้ร่วมกับ WooCommerce จึงกระทบเว็บไซต์ไทยที่ใช้การผสมนี้โดยตรง หากถูกโจมตีสำเร็จ ผู้โจมตีจะอ่านฐานข้อมูลได้ทั้งแฮชรหัสผ่านแอดมินและโทเคนลับ ซึ่งอาจนำไปสู่การยึดเว็บไซต์ทั้งหมด อย่างไรก็ตามประเด็นที่กว้างกว่าตัวช่องโหว่เดียวคือ แนวโน้มที่ AI กำลังทำให้การค้นหาช่องโหว่เร็วขึ้นและถูกลงมาก ซึ่งหมายความว่าผู้โจมตีก็สามารถใช้เครื่องมือลักษณะเดียวกันปั๊มช่องโหว่ใหม่ๆ ในปลั๊กอินและซอฟต์แวร์ยอดนิยมได้เร็วขึ้นเช่นกัน องค์กรและผู้ดูแลเว็บไซต์ไทยจึงต้องเร่งปรับกระบวนการตรวจสอบและแพตช์ให้ทันความเร็วที่เพิ่มขึ้นนี้

คำแนะนำ

ผู้ดูแลเว็บไซต์ที่ใช้ปลั๊กอิน Creative Mail ร่วมกับ WooCommerce ควรปิดการใช้งานปลั๊กอิน Creative Mail ทันทีจนกว่าจะมีแพตช์ออกมา เนื่องจากขณะนี้ปลั๊กอินถูกถอดออกจากคลังของ WordPress เพื่อรอการตรวจสอบแล้ว โดยทั่วไปควรถอนการติดตั้งปลั๊กอินที่ไม่ได้ใช้งานออก จำกัดจำนวนปลั๊กอินให้น้อยที่สุดเพื่อลดพื้นผิวการโจมตี และหมั่นอัปเดตทั้ง WordPress core, ธีม และปลั๊กอินให้เป็นเวอร์ชันล่าสุดเสมอ ควรพิจารณาติดตั้ง Web Application Firewall (WAF) เพื่อช่วยตรวจจับและสกัดการโจมตีแบบ SQL injection รวมถึงเปลี่ยนรหัสผ่านและหมุนเวียนโทเคนลับหากสงสัยว่าถูกเจาะ ในภาพรวมองค์กรควรตระหนักว่าฝ่ายโจมตีกำลังใช้ AI เร่งความเร็วในการค้นหาช่องโหว่ จึงควรลงทุนในกระบวนการตรวจสอบช่องโหว่ที่ทดสอบทุกครั้งที่มีการปล่อยเวอร์ชันใหม่ เพื่อลดช่วงเวลาที่ระบบเปิดช่องให้ถูกโจมตี

แหล่งอ้างอิง