TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ทีมวิจัยด้านภัยคุกคามของ Google เปิดเผยว่า พบหลักฐานครั้งแรกที่แฮกเกอร์ใช้ AI ในการพัฒนา Zero-day Exploit สำหรับโจมตีเครื่องมือจัดการเว็บแบบ Open-source ยอดนิยม
Google Threat Intelligence Group (GTIG) รายงานว่าพบ Exploit ที่สามารถ Bypass การยืนยันตัวตนแบบ Two-factor Authentication (2FA) บนเครื่องมือจัดการระบบเว็บแบบ Open-source ที่ยังไม่ได้เปิดเผยชื่อ โดยทีมวิจัยมีความมั่นใจสูงว่าผู้โจมตีใช้โมเดล AI ในการค้นหาและสร้าง Exploit ดังกล่าว เนื่องจากโค้ด Python ที่พบมีลักษณะเฉพาะของ LLM เช่น มี docstring อธิบายอย่างละเอียด มีคะแนน CVSS ที่ไม่ถูกต้อง (hallucinated) และเขียนในรูปแบบ Pythonic ที่เป็นระเบียบตามแบบฉบับของข้อมูลที่ใช้ฝึก LLM นอกจากนี้ ช่องโหว่ที่พบยังเป็นประเภท Semantic Logic Bug ระดับสูง ซึ่งเป็นจุดที่ AI มีความเชี่ยวชาญในการค้นหามากกว่าปัญหาด้าน Memory Corruption หรือ Input Sanitization ที่มักพบผ่าน Fuzzing หรือ Static Analysis ทั้งนี้ Google ยืนยันว่า Gemini ไม่ได้มีส่วนเกี่ยวข้องกับกระบวนการนี้แต่อย่างใด
แม้การโจมตีจะถูกสกัดกั้นก่อนเข้าสู่ขั้นตอนการโจมตีวงกว้าง แต่เหตุการณ์นี้แสดงให้เห็นว่าผู้โจมตีเริ่มพึ่งพา AI มากขึ้นในการค้นหาช่องโหว่และพัฒนา Exploit นอกจากกรณีนี้แล้ว Google ยังพบว่ากลุ่มแฮกเกอร์จากจีนและเกาหลีเหนือ เช่น APT27, APT45, UNC2814, UNC5673 และ UNC6201 ใช้ AI ในการค้นหาช่องโหว่เช่นกัน ขณะที่กลุ่มจากรัสเซียใช้โค้ดที่ AI สร้างขึ้นเพื่อทำ Obfuscation ให้กับ Malware อย่าง CANFAIL และ LONGSTREAM รวมถึงมีปฏิบัติการชื่อ Overload ที่ใช้ AI Voice Cloning ปลอมเป็นนักข่าวจริงเพื่อสร้างวิดีโอปลอมโจมตียูเครน
รายงานยังกล่าวถึง Malware บน Android ชื่อ PromptSpy ที่ใช้ Gemini API ในการโต้ตอบกับอุปกรณ์แบบอัตโนมัติ โดย Malware ตัวนี้มีโมดูลชื่อ GeminiAutomationAgent ที่ใช้ Prompt สั่งให้ AI สวมบทบาทที่ดูไม่อันตรายเพื่อ Bypass ระบบความปลอดภัยของ LLM จากนั้นนำไปใช้คำนวณตำแหน่งขององค์ประกอบบนหน้าจอเพื่อควบคุมอุปกรณ์ รวมถึงสามารถ Replay การยืนยันตัวตน ไม่ว่าจะเป็น Lock Pattern หรือ PIN ได้อีกด้วย Google เตือนว่าผู้โจมตีกำลังสร้างระบบอุตสาหกรรมเพื่อเข้าถึงโมเดล AI ระดับ Premium ผ่านการสร้างบัญชีอัตโนมัติ Proxy Relay และโครงสร้าง Account Pooling
