生成式 AI 經常ถูกนำไปวางไว้ในบทเสี่ยงสุดโต่งอย่างที่มักเป็นบทภาพยนตร์สมมติ: ผู้กระทำคือ AI agent ที่มีความเป็นอิสระสูง หลุดการควบคุม เชื่อมต่ออินเทอร์เน็ต ใช้เครื่องมือแฮ็กเกอร์ และในที่สุดเข้ายึดระบบการเงิน ทรัพยากรประมวลผล ไปจนถึงโครงสร้างพื้นฐานสำคัญ อย่างไรก็ตาม นักวิจัยจาก Cambridge Cybercrime Centre ของมหาวิทยาลัยเคมบริดจ์ มหาวิทยาลัยเอดินบะระ และมหาวิทยาลัย Strathclyde ระบุในงานวิจัยฉบับล่าสุดว่า หากต้องการทำความเข้าใจภัยคุกคามที่แท้จริงของ AI ต่ออาชญากรรมทางไซเบอร์ จินตนาการแนวไซไฟเช่นนี้อาจกลับกลายเป็นการจับประเด็นผิด
ฟอรัมใต้ดินสนใจ ChatGPT มากกว่า Dark AI เสียอีก
งานวิจัยชิ้นนี้มีชื่อว่า 《Stand-Alone Complex or Vibercrime? Exploring the adoption and innovation of GenAI tools, coding assistants, and agents within cybercrime ecosystems》 เขียนโดย Jack Hughes, Ben Collier และ Daniel R. Thomas โดยยื่นต่อ arXiv ในวันที่ 31 มีนาคม 2026
ผู้เขียนโต้แย้งว่าผลกระทบของ AI เชิงกำเนิดต่ออาชญากรรมทางไซเบอร์ไม่ควรถูกทำความเข้าใจแค่จากคำถามว่า “AI เขียนมัลแวร์ได้หรือไม่” แต่ควรมองตลาดอาชญากรในโลกใต้ดินเป็นระบบนิเวศที่ประกอบด้วยผู้ค้าเครื่องมือ ผู้ให้บริการ ผู้ปฏิบัติการทักษะต่ำ และผู้ประกอบการอาชญากรขนาดเล็ก
งานวิจัยเสนอแนวคิด 2 แบบ เพื่อวางกรอบขอบเขตบน-ล่างของผลกระทบจาก AI ต่ออาชญากรรมทางไซเบอร์ สถานการณ์ระดับสูงเรียกว่า Stand-Alone Complex ซึ่งก็คือ “crime-gang-in-a-box”: agent ของ AI ที่โตเต็มที่นำสิ่งที่เดิมต้องอาศัยการแบ่งงานกันหลายคนใน cybercrime-as-a-service มาบรรจุเป็นระบบกึ่งอัตโนมัติ ทำให้ผู้กระทำเพียงคนเดียวสามารถจัดการขั้นตอนที่ก่อนหน้านี้ต้องใช้ทีมอาชญากร
สถานการณ์ระดับต่ำเรียกว่า Vibercrime หมายถึง vibe coding, coding assistant และแชตบอตที่ลด “บาง” ส่วนของเกณฑ์ทางเทคนิค แต่ไม่ได้ปรับโครงสร้างทางธุรกิจและโครงสร้างเศรษฐกิจของอาชญากรรมทางไซเบอร์อย่างแท้จริง
ข้อสรุปของทีมวิจัยค่อนข้างสวนทางความรู้สึก: จนถึงตอนนี้ ชุมชนอาชญากรรมทางไซเบอร์ในโลกใต้ดินมีความสนใจเครื่องมืออย่าง ChatGPT, Claude, Gemini, Cursor, Copilot, WormGPT ฯลฯ อย่างมาก แต่ยังไม่พบหลักฐานว่า AI เชิงกำเนิดได้ทำให้ cybercrime ecosystem ถูกพลิกโฉมอย่างกว้างขวาง งานวิจัยชี้ว่า ในปัจจุบัน AI ยัง “เหมือนถูกดูดซึม” เข้าไปเป็นเครื่องมือเพิ่มประสิทธิภาพทั่วไปในกระบวนการอาชญากรรมที่มีอยู่ มากกว่าจะสร้างการปฏิวัติอุตสาหกรรมอาชญากรรมใหม่ทั้งหมด
ย้อนจากหนังแฮ็กเกอร์สู่เศรษฐกิจใต้ดิน: อาชญากรรมทางไซเบอร์คล้ายกลุ่มบริษัทเทคขนาดเล็กอยู่แล้ว
งานวิจัยเริ่มจากทบทวนวิวัฒนาการของระบบนิเวศอาชญากรรมทางไซเบอร์ cybercrime ในยุคแรกค่อนข้างใกล้วัฒนธรรมเชิงทดลองของแฮ็กเกอร์ที่มีทักษะสูง เน้นการครอบครองเทคนิค การท้าทายอำนาจ และความคิดสร้างสรรค์ แต่หลังจากช่วง 2000s อาชญากรรมทางไซเบอร์ค่อย ๆ ถูกทำให้เป็นอุตสาหกรรม กลายเป็นตลาดที่แยกบทบาทเป็นเครื่องมือ สคริปต์ เทมเพลต สิทธิ์การเข้าถึงเริ่มต้น การเช่า botnet และการสนับสนุนด้านลูกค้า ซึ่งก็คือ cybercrime-as-a-service
ผู้เขียนมองว่าตลาดอาชญากรรมในโลกใต้ดินแทบไม่ได้คิดค้นเทคโนโลยีล้ำสมัยด้วยตัวเอง งานวิจัยช่องโหว่จริง เทคนิค high-end red-team และวิธีโจมตีแบบใหม่ ๆ มักมาจากงานวิจัยทางวิชาการ บริษัทด้านความปลอดภัย หรือหน่วยงานความมั่นคงของรัฐ ขณะที่ผู้กระทำในโลกใต้ดินเก่งกว่าในการนำเทคโนโลยีที่สุกงอมมาห่อใหม่ คัดลอกเครื่องมือจากอุตสาหกรรมที่ถูกกฎหมาย และพัฒนารูปแบบธุรกิจ พร้อมทั้งทำให้กระบวนการที่น่าเบื่อแต่ทำเงินได้กลายเป็นงานอัตโนมัติ
นี่จึงเป็นเหตุผลที่ผู้เขียนเชื่อว่า ผลกระทบที่แท้จริงของ AI ต่ออาชญากรรมอาจไม่ได้อยู่ที่ “มือใหม่กลายเป็นคนเขียน 0-day ได้ทันที” แต่ไปอยู่ที่จุดที่เล็กกว่าและกระทั่งน่าเบื่อกว่า: อัตโนมัติระบบบริการลูกค้า การสร้างคอนเทนต์หลอกลวง การแปลบทสนทนา การจัดการบัญชี การจัดการงานหลังบ้าน การเพิ่มประสิทธิภาพ SEO สำหรับการหลอกลวง การดูแลบอทในชุมชน หรือทำให้ gray-market ที่เดิมเป็นงานอัตโนมัติสูงและกำไรต่ำสามารถทำงานได้มีประสิทธิภาพมากขึ้น
วิธีวิจัย: ติดตามมา 15 ปี เก็บข้อมูลจากฟอรัมใต้ดินและแชตมากกว่า 1 แสนล้านข้อความ
ความสำคัญของงานวิจัยนี้คือไม่ได้ทำแค่การทดสอบในห้องแล็บ หรืออ้างอิงจากเคสของบริษัทความปลอดภัยเพียงไม่กี่ราย แต่ใช้ชุดข้อมูล CrimeBB ของ Cambridge Cybercrime Centre ชุดข้อมูลนี้ครอบคลุมมากกว่า 15 ปี และมากกว่า 1 แสนล้านโพสต์ในฟอรัมใต้ดิน รวมถึงการพูดคุยในช่องแชต ครอบคลุมหัวข้ออย่างการขโมยบัญชี การหลอกลวงด้วย SEO การโกงในเกม รายได้แบบ passive การหลอกลวงเรื่องความรัก และการหลอกลวงทางสังคม (social engineering) เป็นต้น
ทีมวิจัยค้นหาด้วยคำสำคัญ เช่น artificial intelligence, LLM, GPT, Claude, Gemini, prompt, Copilot, vibe coding, OpenAI, model, generative, machine learning, AI ฯลฯ ในตอนแรกได้ 808,526 threads จากนั้นตัดบทสนทนาที่เกิดขึ้นก่อนที่ ChatGPT จะเผยแพร่ และโฟกัสข้อมูลระหว่างวันที่ 1 พฤศจิกายน 2022 ถึง 10 ธันวาคม 2025 สุดท้ายจึงได้ 97,895 threads เพื่อทำการวิเคราะห์
ผู้เขียนนำโมเดลหัวข้อ (topic modeling) การติดตามคีย์เวิร์ด การจำแนกช่วยด้วย LLM และการวิเคราะห์ด้วยคนมาประกอบกัน จุดที่น่าสังเกตคือทีมวิจัยก็ยอมรับเช่นกันว่าเมื่อใช้ LLM ในการจำแนกการพูดคุยในฟอรัมใต้ดินแบบในเครื่อง (local LLM) พบว่า LLM ไม่ค่อยเชื่อถือได้ในการจำแนกแบบละเอียด ประมาณ 80% ของโพสต์ที่โมเดลติดป้ายว่ามีความเกี่ยวข้องจริงก็พบว่าเกี่ยวข้องกับ AI หรือ vibe coding แต่การจำแนกเชิงรายละเอียดแทบจะผิดอยู่บ่อยครั้ง
เรื่องนี้กลับกลายเป็นหลักฐานประกอบที่น่าสนใจในงานวิจัย: LLM มักช่วยนักวิจัยได้แค่ “หาสิ่งที่เรารู้แล้วว่าควรถาม” ในฐานะเครื่องมือสำรวจ ยังมีข้อจำกัดชัดเจน
ฟอรัมใต้ดินพูดถึง ChatGPT บ่อยที่สุด ขณะที่ WormGPT ไม่ได้สำคัญเท่าที่คาด
จากแนวโน้มคำหลัก ChatGPT คือผลิตภัณฑ์ AI ที่ถูกพูดถึงมากที่สุดในฟอรัมใต้ดิน ข้อมูลการพูดถึงของ Claude เติบโตคงที่ Gemini เพิ่มขึ้นชัดเจนหลังการเปิดตัว Gemini 1.5 ส่วน Grok เกิดการพูดถึงเป็นช่วงสั้น ๆ หลายรอบ ในทางตรงกันข้าม ปริมาณการพูดถึงของ Codex อยู่ค่อนข้างน้อย และแม้ WormGPT และโมเดลแบบ jailbroken จะได้รับความสนใจสูงจากสื่อด้านความปลอดภัย แต่ในฟอรัมกลับไม่เกิดกระแสการพูดถึงที่ต่อเนื่องจนเหมือนระเบิดออกมา
งานวิจัยชี้ว่าชุมชนใต้ดินมีความตื่นเต้นเชิงวัฒนธรรมกับสิ่งที่เรียกว่า Dark AI จริง มีโฆษณาอย่าง WormGPT, ChatGPT เวอร์ชันที่ถูกทำให้ “ดำ” (blackened), โมเดลแบบไม่จำกัด, เครื่องมือ AI เชิงโจมตี และยังมีคนถามกันว่าจะเข้าถึงฟรีได้อย่างไร แต่ทีมวิจัยพบว่าการพูดคุยเหล่านี้ส่วนใหญ่หยุดอยู่แค่ “จะหาเครื่องมืออย่างไร” “จินตนาการว่า AI ในอนาคตจะเปลี่ยนโลกของแฮ็กเกอร์อย่างไร” หรือทดสอบว่าโมเดลยอมตอบคำถามผิดกฎหมายหรือไม่ มากกว่าการใช้งานจริงจำนวนมากเพื่อพัฒนาความสามารถในการก่ออาชญากรรม
ที่สำคัญยิ่งกว่า ทีมวิจัยไม่พบหลักฐานชัดเจนว่า “มือใหม่” จะเรียนรู้ทักษะแฮ็กเกอร์ที่ใช้งานได้จริงจาก Dark AI ได้ หรือสามารถสร้างมัลแวร์ที่ทำงานได้อย่างเสถียรได้ ในทางกลับกัน ผู้ใช้บางส่วนในฟอรัมบ่นว่าโค้ดที่เครื่องมือเหล่านี้ผลิตออกมาน่าไม่น่าเชื่อ ต้องอาศัยความรู้เชิงวิชาชีพจำนวนมากในการแก้ไข ทำให้ LLM แบบ jailbroken ยิ่งดูคล้าย “การแสดงทางวัฒนธรรมในโลกใต้ดิน” มากกว่าเป็นการก้าวกระโดดด้านเทคโนโลยีครั้งใหญ่ของระบบนิเวศอาชญากรรมทางไซเบอร์
AI ไม่ได้ทำให้มือใหม่กลายเป็นแฮ็กเกอร์ แต่เหมือนแทนที่ Stack Overflow และ cheatsheet มากกว่า
หนึ่งในข้อสรุปที่สำคัญที่สุดของงานวิจัยคือ AI ไม่ได้ลดเกณฑ์ทักษะหลักของ cybercrime อย่างมีนัยสำคัญ สำหรับผู้ใช้งานที่มีความสามารถอยู่แล้ว coding assistant สามารถช่วยเขียนโค้ดบางช่วง ตรวจหาข้อผิดพลาด เติมไวยากรณ์ และทำงานวิศวกรรมซอฟต์แวร์ทั่วไปได้ แต่ลักษณะนี้ใกล้เคียงการทดแทน Stack Overflow, cheatsheet, การค้นหาใน Google เพื่อหาข้อความช่วยเหลือแก้ข้อผิดพลาด และการคัดลอกโค้ดจากที่อื่น มากกว่าจะสร้างความสามารถในการก่ออาชญากรรมแบบใหม่
สำหรับผู้ใช้งานทักษะต่ำ vibe coding กลับไม่มีประสิทธิผลมากนัก เพราะพวกเขาอาจไม่รู้ว่าซอร์สโค้ดที่ AI สร้างออกมานำไปใช้ได้จริงหรือไม่ และไม่เข้าใจวิธีผสาน ปรับแก้ หรือดูแลรักษา หากจะให้ chatbot เขียนเครื่องมือที่ไม่เสถียรตั้งแต่ศูนย์ อาจไม่คุ้มเท่าไหร่ ทำให้มือใหม่จำนวนมากในฟอรัมใต้ดินยังคงชอบใช้สคริปต์สำเร็จรูป เทมเพลต ชุดบทเรียน หรือเครื่องมือที่คนอื่นทำไว้แล้วมากกว่า
กล่าวโดยสรุป AI ยังไม่ได้ทำให้ “script kiddie” อัปเกรดไปเป็นแฮ็กเกอร์ขั้นสูง แต่กลับดูเหมือนทำให้คนที่รู้วิธีเขียนโค้ดอยู่แล้วทำงานได้มีประสิทธิภาพขึ้นเพียงเล็กน้อย นี่อธิบายได้เช่นกันว่าทำไมผู้เขียนถึงคิดว่า แม้จะกังวลว่า “Vibercriminal” จะมาแรง แต่ก็อาจประเมินการเปลี่ยนแปลงในตอนนี้สูงเกินไป
สิ่งที่ถูกเปลี่ยนโดย AI จริง ๆ คือ SEO หลอกลวง บอทในชุมชน และการหลอกลวงเรื่องความรัก
ถึงแม้งานวิจัยจะโต้กลับเรื่องเล่าความตื่นตระหนกว่ามีการก่ออาชญากรรมด้วย AI ระเบิดขนาดใหญ่ แต่ก็ไม่ได้หมายความว่า AI ไม่มีการใช้งานเพื่ออาชญากรรม ทีมวิจัยพบว่าพื้นที่ใช้งานที่ AI ถูกนำไปใช้ชัดที่สุด กลับเป็นงาน gray-market ที่มีอยู่แล้วแบบขนาดใหญ่ กำไรต่ำ และอัตโนมัติสูง เช่น การหลอกลวงด้วย SEO บอทในชุมชน การทำบทความอัตโนมัติด้วย AI ฟาร์มคอนเทนต์ การหลอกลวงเรื่องความรักบางส่วน และการหลอกลวงผ่าน social engineering
จุดร่วมของสถานการณ์เหล่านี้คือ: มันเดิมทีพึ่งพาคอนเทนต์จำนวนมาก บัญชีจำนวนมาก งานซ้ำ ๆ จำนวนมาก และการแสวงหาช่องว่างจากกฎของแพลตฟอร์มอยู่แล้ว AI เชิงกำเนิดช่วยปรับคุณภาพของงานเขียน เพิ่มความสามารถในการแปล ปรับเปลี่ยนรูปแบบคอนเทนต์ขยะเพื่อลดโอกาสตรวจจับด้วยกฎง่าย ๆ และทำให้งานกระบวนการอัตโนมัติที่มีอยู่เดิมถูกทำให้ถูกลงและขยายขนาดได้ง่ายขึ้น
ดังนั้น ความเสี่ยงอาชญากรรมทางไซเบอร์จาก AI อาจไม่ใช่ “AI agent ตัวเดียวเริ่มทำสงครามแฮ็กเกอร์เอง” แต่มันเป็นปัญหาที่สมจริงกว่า น่าเบื่อกว่า และใกล้ชิดกับแก่นของเศรษฐกิจแพลตฟอร์มมากกว่า: มันจะทำให้ gray-market ที่มีอยู่เดิมสามารถขยายขนาดได้ง่ายขึ้นในด้านคอนเทนต์ บัญชี โฆษณา SEO การปฏิบัติการในชุมชน และการหลอกลวงระดับล่างที่ต้นทุนต่ำ
ยังไม่เกิด Stand-Alone Complex แต่การ AI-ify ของแพลตฟอร์มอาจสร้างช่องโจมตีใหม่
สำหรับสถานการณ์ระดับสูง Stand-Alone Complex ผู้เขียนเห็นว่ายังไม่พบหลักฐานว่ามันก่อตัวเป็นรูปเป็นร่างครบชุดแล้ว agent ของ AI ยังไม่ได้นำเอาการทำ ransomware, DDoS, การจัดการ botnet, การจัดการเงิน (fintech/ระบบชำระเงิน), การบริการลูกค้า และการปฏิบัติการโครงสร้างพื้นฐาน มาบูรณาการเป็น “ผลิตภัณฑ์แบบกล่องทีมอาชญากร” อย่างแท้จริง แต่รายงานก็ไม่ได้ตัดความเป็นไปได้ในอนาคตทั้งหมด
ผู้เขียนเตือนว่า หากแพลตฟอร์มออนไลน์เปลี่ยนจากรูปแบบ display ad, การค้นหา และทราฟฟิกจากโซเชียลช่วง 20 ปีที่ผ่านมา ไปสู่สถาปัตยกรรมใหม่ที่ยึดศูนย์กลางที่ chatbot และคำตอบที่สร้างด้วย AI ผู้เล่นสายเทา ที่คุ้นกับการสู้กันระหว่าง SEO, ฟาร์มคอนเทนต์, ฟาร์มบัญชี, โครงสร้างพื้นฐานของบอท และเกมการแข่งขันของกฎแพลตฟอร์ม อาจมองเห็นพื้นที่ทำกำไรแห่งใหม่ได้ กล่าวอีกนัยหนึ่ง AI อาจไม่ทำให้ผู้ก่ออาชญากรรมใต้ดินกลายเป็นเทคโนโลยีขั้นสูงขึ้น แต่ก็อาจเปลี่ยนโครงสร้างเศรษฐกิจของแพลตฟอร์มที่ถูกกฎหมาย จนไปเปลี่ยน “ตำแหน่งที่ผู้ก่ออาชญากรรมคุมส่วนต่าง” (arbitrage)
นี่เองคือมุมมองต่อยอดที่น่าจับตาที่สุดของงานวิจัย: ผลกระทบสูงสุดของ AI ต่ออาชญากรรมทางไซเบอร์ อาจไม่ใช่สิ่งที่ฟอรัมใต้ดินไปประดิษฐ์เทคโนโลยีใหม่เอง แต่เป็นการที่อุตสาหกรรม AI ที่ถูกกฎหมายเปลี่ยนโครงสร้างทั้งระบบของการไหลของทราฟฟิก คอนเทนต์ โฆษณา การค้นหา และระบบอัตโนมัติ ทำให้ gray-market ที่มีอยู่เดิมหา “ช่องโหว่” ใหม่ได้
ผู้เขียนแนะนำ: อย่าตื่นตระหนก แต่ก็อย่ามองข้ามแรงขยายของอาชญากรรมอัตโนมัติระดับล่าง
ท้ายที่สุด งานวิจัยสรุปคำแนะนำต่อผู้กำหนดนโยบาย ภาคอุตสาหกรรม และหน่วยงานบังคับใช้กฎหมายได้เป็นประโยคเดียว: อย่าตื่นตระหนก ทีมวิจัยมองว่าการนำเครื่องมือ AI ไปใช้ในระบบนิเวศอาชญากรรมของโลกใต้ดินในตอนนี้ยังเป็นแบบกระจัดกระจาย ค่อยเป็นค่อยไป และไม่ใช่การปฏิวัติ จึงไม่ควรเอาแนวทางการนำ AI ไปใช้ในอุตสาหกรรมซอฟต์แวร์ที่ถูกกฎหมาย ไปยัดกับธุรกิจ cybercrime เพราะหลายรูปแบบธุรกิจของอาชญากรรมไม่ได้พึ่งพาความสามารถด้านเทคโนโลยีขั้นสูง
แต่ “อย่าตื่นตระหนก” ไม่เท่ากับ “ไม่มีความเสี่ยง” ผู้เขียนชี้ว่า guardrails ของโมเดล การปรับจูน (tuning) และแรงเสียดทานในการใช้งาน (friction) ยังใช้ได้ โดยเฉพาะในฉากการใช้งานที่ต่ำระดับ จำนวนมาก และถูกใช้ผิดวัตถุประสงค์แบบอัตโนมัติ ซึ่งสามารถเพิ่มต้นทุนให้ผู้ก่ออาชญากรรม และจำกัดขนาดของ gray-market ผ่านความอิ่มตัวและการแข่งขันแย่งชันทรัพยากร มาตรการเหล่านี้หยุดยั้งผู้โจมตีระดับสูงที่มีแรงจูงใจได้ไม่ทั้งหมด แต่ช่วยลดการขยายตัวของการใช้ในต้นทุนต่ำได้
งานวิจัยฉบับนี้ให้กรอบคิดที่เย็นลงและเป็นจริงมากกว่า “วันสิ้นโลกของ AI แฮ็กเกอร์”: ตอนนี้ AI ยังไม่ได้ทำให้มือใหม่กลายเป็นแฮ็กเกอร์ข้ามคืน และยังไม่ได้สร้างองค์กรอาชญากรรมที่ทำงานอัตโนมัติเต็มรูปแบบ มันยิ่งเหมือนการพาผู้ก่ออาชญากรรมในโลกใต้ดินเข้าสู่ยุคที่งานถูกช่วยด้วย AI ปัญหาที่แท้จริงไม่ใช่ว่า AI จะทำให้ผู้ก่ออาชญากรรมกลายเป็นซูเปอร์แมนหรือไม่ แต่คือมันจะขยาย “ผลตอบแทนส่วนเพิ่ม” (marginal gains) ของ gray-market ที่มีอยู่เดิม ทั้งการทำ arbitrage ของแพลตฟอร์ม การอัตโนมัติของคอนเทนต์ และการหลอกลวงต้นทุนต่ำได้อย่างไร
บทความนี้ AI ไม่ได้ทำให้มือใหม่กลายเป็นแฮ็กเกอร์! งานวิจัยจากอังกฤษ: AI ถูกใช้ส่วนใหญ่กับคอนเทนต์ขยะและการหลอกลวงเรื่องความรู้สึกข่าวสารเริ่มปรากฏครั้งแรกที่ 鏈新聞 ABMedia
