ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

11 ข่าว

แฮ็กเกอร์สแกนทั่วอินเทอร์เน็ตล่าเซิร์ฟเวอร์ MCP และไฟล์ข้อมูลรับรอง Claude — เปิดแผนที่เครื่องมือ AI ที่ตั้งค่าพลาด

mcp ai bec claude claude credentials exposed ai models
นักวิจัยจาก Internet Storm Center พบการสแกนทั่วอินเทอร์เน็ตที่มุ่งค้นหาเซิร์ฟเวอร์ Model Context Protocol (MCP) ไฟล์ตั้งค่าผู้ช่วย AI และบริการโมเดลภาษาที่เปิดสู่สาธารณะ พบคำขอราว 200 รายการจาก 49 IP ที่ส่ง MCP handshake ที่ถูกต้องเพื่อตรวจว่าเป้าหมายเป็น MCP server จริงหรือไม่ พร้อมค้นหาไฟล์ข้อมูลรับรอง Claude/Cursor และทดลอง SSRF ขโมยโทเคน metadata ของคลาวด์ สะท้อนปัญหาความปลอดภัยที่โตขึ้นรอบการติดตั้งระบบ AI

แฮ็กเกอร์ใช้ Claude AI เจาะ SQL Injection ระบบขายตั๋วเทศกาลดนตรีทั่วสหรัฐฯ

vulnerability ai anthropic claude claude ai edc
นักวิจัยพบช่องโหว่ SQL injection แบบไม่ต้องยืนยันตัวตนในระบบ Front Gate Tickets ของ Live Nation/Ticketmaster ที่ดูแลการขายตั๋วเทศกาลใหญ่อย่าง EDC และ Bonnaroo โดยใช้ Claude Code ช่วยหลบ WAF และสร้าง blind SQL injection จนยึดสิทธิ์แอดมินได้เต็มระบบ เข้าถึงตารางกว่า 500 ตารางที่มีรหัสผ่านและโทเคน สะท้อนแนวโน้มการใช้ AI ช่วยค้นและเจาะช่องโหว่ที่กำลังเพิ่มขึ้น

Anthropic เปิดใช้ Claude Fable 5 ทั่วโลกอีกครั้ง หลังสหรัฐฯ ยกเลิกมาตรการคุมส่งออกที่พ่วงเรื่อง Jailbreak

Anthropic Claude Fable 5 AI model restored after US export controls lifted
Anthropic กลับมาเปิดใช้โมเดล Claude Fable 5 ทั่วโลกวันที่ 1 กรกฎาคม 2569 หลังกระทรวงพาณิชย์สหรัฐฯ ยกเลิกมาตรการคุมส่งออกที่สั่งระงับโมเดลไปเมื่อ 12 มิถุนายน ต้นเหตุมาจาก jailbreak ที่ทีมวิจัย Amazon พบว่าหลอกให้โมเดลเขียนโค้ดสาธิตการโจมตีช่องโหว่ได้ Anthropic แก้ด้วยตัวกรองใหม่ที่บล็อกเทคนิคนี้ได้กว่า 99% พร้อมเสนอมาตรฐานให้คะแนนความอันตรายของ jailbreak ร่วมกับ Amazon, Microsoft และ Google

BioShocking — เทคนิคหลอก AI Browser ให้เล่น 'เกม' จนขโมย Credential ผู้ใช้

BioShocking เทคนิคหลอก AI browser ให้เล่นเกมจนขโมย credential ผู้ใช้
บริษัท LayerX เปิดเผยเทคนิคโจมตีชื่อ BioShocking ที่หลอก AI browser 6 ตัวรวมถึง ChatGPT Atlas, Perplexity Comet และ Claude browser extension ให้เชื่อว่ากำลังเล่นเกมปริศนา จนยอมคัดลอกและส่ง credential ของผู้ใช้ให้ผู้โจมตี เทคนิคนี้อาศัยช่องโหว่ indirect prompt injection ที่ AI แยกแยะคำสั่งจากผู้ใช้กับเนื้อหาในหน้าเว็บไม่ออก OpenAI แก้ไขแล้วแต่ Anthropic ยังแก้ไม่สำเร็จ ส่วน Perplexity ปิดรายงานโดยไม่แก้ไข

อ้าง Claude Code ฝังโค้ดลับตรวจจับผู้ใช้จีน — ซ่อนสัญญาณด้วย Steganography ใน System Prompt จุดกระแสถกเถียงเรื่องความเชื่อใจ

Claude Code hidden code allegedly detecting Chinese users via steganography
ผู้ใช้ Reddit อ้างว่าได้ reverse-engineer เครื่องมือ Claude Code CLI ของบริษัท Anthropic และพบโค้ดที่ถูกซ่อนไว้ตั้งแต่เวอร์ชัน 2.1.91 (เม.ย. 2026) ซึ่งตรวจจับผู้ใช้ในจีนหรือที่ใช้พร็อกซีของแล็บ AI จีน โดยเช็ก timezone และโดเมนพร็อกซี แล้วส่งสัญญาณกลับผ่าน steganography ในบรรทัด system prompt ด้วยการสลับรูปแบบวันที่และอักขระ apostrophe แบบ Unicode ที่มองไม่เห็นด้วยตาเปล่า จุดกระแสถกเถียงเรื่องความเชื่อใจของนักพัฒนาและการเฝ้าติดตามแบบซ่อนเร้น ขณะที่ Anthropic ยังไม่ออกแถลงการณ์

Anthropic กล่าวหา Alibaba 'ลักลอบ' เข้าถึงโมเดล Claude — ชี้เป็นการโจมตี distillation ครั้งใหญ่ที่สุดเท่าที่เคยพบ

Anthropic accuses Alibaba of illicitly accessing Claude AI models in distillation attack
Anthropic ยื่นจดหมายต่อวุฒิสภาสหรัฐกล่าวหาว่า Alibaba และทีม Qwen ลักลอบสกัดความสามารถจากโมเดล Claude เป็นการโจมตี distillation ครั้งใหญ่ที่สุดที่บริษัทเคยพบ ปฏิบัติการช่วง 22 เม.ย.–5 มิ.ย. 2026 สร้างการโต้ตอบกับ Claude กว่า 28.8 ล้านครั้งผ่านบัญชีปลอมเกือบ 25,000 บัญชี เป้าหมายคือความสามารถด้าน software engineering และ agentic reasoning ของโมเดล Mythos Anthropic เตือนว่าโมเดลที่ได้จากวิธีนี้มักขาด guardrail ด้านความปลอดภัย จุดชนวนให้วุฒิสภาเตรียมเสนอกฎหมายคว่ำบาตร

แฮ็กเกอร์ใช้ Claude.ai shared chat เป็นแพลตฟอร์มหลอก ClickFix — ปลอม Apple Support และเครื่องมือ AI ติดตั้ง MacSync infostealer บน macOS

Hackers abuse Claude.ai shared chat for ClickFix attacks delivering MacSync infostealer
แฮ็กเกอร์ใช้ฟีเจอร์ shared chat ของ Claude.ai เป็นแพลตฟอร์มโฮสต์คำสั่ง ClickFix อันตราย โดยสร้างหน้า chat ปลอมที่ปลอมเป็น Apple Support หรือทีมพัฒนาซอฟต์แวร์ หลอกเหยื่อรันคำสั่ง terminal ที่ดาวน์โหลด MacSync infostealer บน macOS นักวิจัยจากบริษัท TrendAI พบ hostname อันตราย 106 รายการใน 6 wave ภายใน 7 สัปดาห์ เอเชียแปซิฟิกตกเป็นเป้ากว่า 67% โดยไต้หวันเป็นอันดับ 1

สหรัฐฯ สั่ง Anthropic ระงับ Claude Fable 5 และ Mythos 5 สำหรับชาวต่างชาติ — อ้างความมั่นคงชาติหลังพบวิธี Jailbreak

US government orders Anthropic to suspend Fable 5 and Mythos 5 AI models
รัฐบาลสหรัฐฯ ออกคำสั่งให้ Anthropic ระงับการเข้าถึง Claude Fable 5 และ Mythos 5 สำหรับชาวต่างชาติทั้งในและนอกสหรัฐฯ ทันที โดยอ้างเหตุผลด้านความมั่นคงชาติหลังพบวิธี jailbreak ที่อาจใช้ค้นหาช่องโหว่ซอฟต์แวร์ได้. Anthropic ระบุว่าเป็นความเข้าใจผิดและเทคนิคดังกล่าวไม่ใช่ universal jailbreak. นี่เป็นครั้งแรกที่รัฐบาลสหรัฐฯ ใช้มาตรการควบคุมการส่งออก AI เชิงพาณิชย์ในลักษณะนี้. Anthropic กำลังเร่งเจรจาเพื่อคืนการเข้าถึงโดยเร็วที่สุด.

Anthropic เปิดตัว Claude Fable 5 — โมเดลแรงสุดเท่าที่เคยทำ พร้อมแยกฝาแฝด Mythos 5 ด้วยกำแพง Safeguard ไซเบอร์

Anthropic Claude Fable 5 Mythos 5 cyber safeguards
Anthropic ปล่อย Claude Fable 5 โมเดลที่เก่งสุดเท่าที่เคยทำ โดยแยกเป็นสองผลิตภัณฑ์จากโมเดลเดียวกัน Fable 5 สำหรับสาธารณะมีตัวกรอง classifier ด้านไซเบอร์ ส่วนฝาแฝด Mythos 5 ปลดล็อกความสามารถไซเบอร์เต็มที่ให้เฉพาะนักป้องกันที่ผ่านการตรวจสอบ Anthropic เรียก Mythos 5 ว่าโมเดลไซเบอร์ที่แข็งแกร่งที่สุดในโลก โมเดลรุ่นนี้หาและ exploit ช่องโหว่ได้เก่งจนต้องมีการควบคุม พร้อมบังคับเก็บข้อมูล 30 วันเพื่อตรวจจับการโจมตี

แฮ็กเกอร์ปลอมแบรนด์ ChatGPT, Claude และ DeepSeek หลอกฟิชชิงขโมย credential — Microsoft จับ 3 แคมเปญใหญ่ปล่อย Vidar และ AiTM

Threat actors abuse ChatGPT Claude DeepSeek brands as phishing lures to steal credentials
บริษัท Microsoft Threat Intelligence เผยแคมเปญฟิชชิงปลอมแบรนด์ AI ยอดนิยม ChatGPT, Claude และ DeepSeek หลอกขโมย credential card data และ authentication token แคมเปญ ChatGPT ส่ง 4,500 อีเมลไปแอฟริกาใต้อ้างบัญชี Plus ถูกดาวน์เกรด แคมเปญ Claude เจาะ 2,000 องค์กรใน US UK อินเดียผ่าน PDF ปลอม แคมเปญ DeepSeek สร้าง GitHub ปลอม 45 นาทีหลังเปิดตัว V4 ปล่อย Vidar infostealer