ทีมข่าวภัยคุกคามของ Google (Threat Intelligence Group,GTIG) เปิดเผยเมื่อวันที่ 11 พฤษภาคมถึงกรณีแรกของการโจมตีแบบ zero-day ที่ “ได้รับความช่วยเหลือจากโมเดล AI” ในการสร้างขึ้น: กลุ่มแฮกเกอร์มีแผนจะโจมตี “การใช้ประโยชน์ขนาดใหญ่” ต่อเครื่องมือบริหารจัดการระบบโอเพนซอร์สยอดนิยมบนเว็บ โดยมีเป้าหมายเพื่อหลีกเลี่ยงกลไกการเข้าสู่ระบบยืนยันตัวตนสองปัจจัย (2FA) ของเครื่องมือนั้น ตามรายงานของ CNBC ก่อนที่การโจมตีจะเริ่มปฏิบัติการ Google ได้ประสานกับผู้จัดจำหน่ายของเครื่องมือดังกล่าวเพื่อทำการอุดช่องโหว่
เหตุการณ์ในตัว: zero-day ถูก “ผลิต” ด้วย AI ได้อย่างไร
หลังจาก GTIG วิเคราะห์สคริปต์การใช้ประโยชน์ช่องโหว่ของ Python ที่ทิ้งไว้โดยแฮกเกอร์ ทางทีม “มั่นใจสูง” ว่าสคริปต์ดังกล่าวได้รับการช่วยสร้างโดยโมเดล AI เหตุผลคือในสคริปต์มีลักษณะเฉพาะที่เป็นสไตล์ของ LLM หลายอย่าง:
มี docstring และคอมเมนต์เชิงการสอนจำนวนมาก (ซึ่งขัดกับสไตล์โค้ดที่มักสั้นกระชับของแฮกเกอร์ตัวจริง)
มี “คะแนน CVSS แบบหลอน” (การแต่งขึ้นซึ่งพบบ่อยกับพฤติกรรมที่โมเดล AI ทำเองโดยไม่มีข้อมูลจริง)
รูปแบบโค้ด Python แบบเป็นระบบตามตำรา และเมนูคำอธิบายอย่างละเอียด
คราบเทมเพลตที่ “เป็นแบบฉบับของข้อมูลเทรน LLM” เช่นคลาสสี _C ANSI อย่างเป็นระเบียบ
ตัวช่องโหว่อยู่ในหมวด “ข้อบกพร่องเชิงตรรกะระดับสูง” ซึ่งเกิดจากสมมติฐานความไว้วางใจที่ฝังโค้ดไว้ (hard-coded trust assumption) — Google อธิบายว่านี่คือประเภทของช่องโหว่ที่ LLM เก่งที่สุดในการ “ขุดขึ้นมา” ระหว่างการวิเคราะห์โค้ด เส้นทางการโจมตีจริง: หลังจากแฮกเกอร์ได้รหัสบัญชีและรหัสผ่านที่ถูกต้องของเหยื่อแล้ว ก็ใช้ช่องโหว่นี้เพื่อข้าม 2FA และเข้าสู่ระบบโดยตรง
การตอบสนองของ Google: อุดเงียบกับผู้ผลิต ก่อนที่การโจมตีจะเริ่มอย่างเป็นทางการ
Google ไม่ได้เปิดเผยชื่อเครื่องมือบริหารจัดการระบบโอเพนซอร์สที่เป็นเป้าหมายที่ถูกโจมตี และไม่เปิดเผยชื่อผู้ให้บริการโมเดล AI ที่เกี่ยวข้อง GTIG หลังจากพบเหตุได้ร่วมมือกับผู้ดูแลรักษาเครื่องมือดังกล่าวเพื่อดำเนินกระบวนการ “การเปิดเผยอย่างมีความรับผิดชอบ” (responsible disclosure) อุดช่องโหว่แบบเงียบ ๆ และ Google ประเมินว่ากระบวนการนี้อาจทำลายแรงส่งของแผนก่อนที่กลุ่มแฮกเกอร์จะเริ่มปฏิบัติการโจมตีแบบ “การใช้ประโยชน์ขนาดใหญ่” อย่างเป็นทางการ
Google ก็ไม่ได้ระบุเจาะจงตัวผู้โจมตี เพียงอธิบายว่าเป็น “ผู้ก่อภัยคุกคามจากอาชญากรรมไซเบอร์” (cybercrime threat actors) โดยไม่ชี้ถึงภูมิหลังว่าเป็นผู้กระทำที่เชื่อมโยงกับรัฐใด
ความหมายต่อวงการ: AI x ความปลอดภัยไซเบอร์เข้าสู่ขั้นใหม่
มุมมองของสื่อ: นี่คือกรณีแรกที่ Google เผยแพร่บันทึกอย่างเป็นทางการเกี่ยวกับ “การที่โมเดล AI ถูกนำไปใช้อาวุธในโลกจริงเพื่อการค้นพบและสร้างโค้ดการใช้ประโยชน์จากช่องโหว่” ในช่วงครึ่งปีที่ผ่านมา ตลาดถกเถียงกันว่า “ความสามารถของแฮกเกอร์ที่ใช้ AI ถูกยกให้เกินจริงหรือไม่” ทั้งสองฝ่ายมีเหตุผลสนับสนุนต่างกัน ฝ่ายที่เห็นด้วยชี้ว่า LLM โอเพนซอร์สประกอบกับชุดข้อมูลเฉพาะก็เพียงพอที่จะช่วยหาช่องโหว่ได้ ขณะที่ฝ่ายคัดค้านชี้ว่ามักแล้วโค้ดการใช้ประโยชน์ที่ LLM เขียนจะไม่สามารถใช้งานได้จริงในสภาพแวดล้อมภาคสนาม
การตัดสินครั้งนี้ของ GTIG ให้จุดข้อมูลที่จับต้องได้ว่า — LLM ไม่เพียงแต่หาช่องโหว่ได้ แต่ยังเขียนโค้ดที่ “พร้อมสำหรับการใช้ประโยชน์ขนาดใหญ่” ได้จริง นักวิจัยด้านความปลอดภัยไซเบอร์ Ryan Dewhurst แสดงความคิดเห็นว่า: “AI ได้เร่งการค้นพบช่องโหว่ ลดแรงงานที่จำเป็นต่อการระบุ ตรวจสอบ และทำให้ช่องโหว่กลายเป็นอาวุธ”
เหตุการณ์ที่อาจติดตามต่อได้ เช่น: Google จะเปิดเผยเคสของแฮกเกอร์ที่ใช้ AI เพิ่มเติมต่อเนื่องหรือไม่, ผู้ให้บริการความปลอดภัยไซเบอร์รายอื่น (Microsoft Defender, CrowdStrike, Mandiant ฯลฯ) จะเสนอข้อสังเกตลักษณะคล้ายกันหรือไม่ และผู้ให้บริการ LLM (OpenAI, Anthropic, Google เอง) จะสร้างกลไกตรวจจับที่เข้มงวดขึ้นสำหรับคำขอประเภทการวิเคราะห์ช่องโหว่หรือไม่
บทความนี้ Google เปิดเผยกรณีแรกของการที่ AI สร้าง zero-day: แฮกเกอร์ต้องการหลีกเลี่ยง 2FA เพื่อใช้ประโยชน์ขนาดใหญ่ ปรากฏเป็นครั้งแรกใน 鏈新聞 ABMedia
