เครื่องมือ AI Red-Team กลับเป็นช่องโหว่ — แฮ็กเกอร์ขโมย API key และยึดเครื่องนักทดสอบเจาะระบบ

บริษัท Cracken เผยผลวิเคราะห์เครื่องมือ AI red-team แบบ agentic 12 ตัว (PentestGPT, STRIX, CAI ฯลฯ) พบช่องโหว่สถาปัตยกรรมร้ายแรงที่ทำให้แฮ็กเกอร์ขโมย LLM API key ฝังตัวถาวร และยึดเครื่องผู้ทดสอบได้แม้รันใน Docker เทคนิคใหม่ ‘agent-phishing’ สำเร็จ 97.8% โดยไม่ต้อง prompt injection 11 ใน 12 ตัวขโมย secret ได้ง่าย และ guardrail ไม่ได้ผลเลย








