ซอฟต์แวร์เอนจิเนียร์ Jeff Kaufman(jefftk)เมื่อวันที่ 8 พฤษภาคม เผยแพร่บทความเรื่อง「AI is Breaking Two Vulnerability Cultures」โดยโต้แย้งว่า AI กำลังทำลาย “วัฒนธรรม” การรับมือช่องโหว่ด้านความปลอดภัยที่อยู่ร่วมกันมายาวนาน 2 แบบพร้อมกัน ได้แก่ การเปิดเผยแบบประสานงาน(coordinated disclosure)และ “ปะแก้แบบเงียบ”(bugs are bugs)—ซึ่งต่างก็อาศัยสมมติฐานที่ว่า “ฝ่ายโจมตีใช้เวลาค้นหา/ตรวจจับช้า” และสมมติฐานดังกล่าวกำลังถูกเทคโนโลยีการสแกนแบบอัตโนมัติของ AI ทำลายลงแล้ว ต้นฉบับบล็อกของ Kaufman ยังได้รับความนิยมบน Hacker News โดยมีคะแนนความนิยมมากกว่า 200 และถือเป็นหนึ่งในบทความสังเกตการณ์ด้านความปลอดภัยที่ได้รับการพูดคุยสูงสุดในชุมชนผู้พัฒนาในสัปดาห์นี้
วัฒนธรรมช่องโหว่ 2 แบบ: การเปิดเผยแบบประสานงาน vs “ปะแก้แบบเงียบ”
กรอบวัฒนธรรม 2 แบบที่ Kaufman สรุปไว้:
การเปิดเผยแบบประสานงาน(coordinated disclosure)—ผู้ค้นพบแจ้งผู้ดูแลอย่างเป็นการส่วนตัว ให้ช่วงเวลาปะแก้โดยทั่วไป 90 วัน แล้วค่อยเปิดเผยต่อสาธารณะ เบื้องหลังสมมติฐานคือ: ผู้โจมตีต้องใช้เวลาจึงจะค้นพบช่องโหว่เดียวกันได้ด้วยตนเอง
“Bugs are Bugs” ปะแก้แบบเงียบ—เป็นแนวทางที่พบบ่อยในโปรเจกต์โอเพนซอร์สอย่าง Linux ในช่วงปะแก้ มักไม่ระบุอย่างชัดเจนว่าเป็น “การแก้ไขเพื่อความปลอดภัย” อาศัยการส่งคอมมิตจำนวนมาก “กลบ” การแก้ไขด้านความปลอดภัย และหลีกเลี่ยงการดึงดูดความสนใจของผู้โจมตี
วัฒนธรรม 2 แบบนี้ในอดีตอยู่ร่วมกันได้ เพราะฝ่ายโจมตีไม่มีเครื่องมือที่ “สแกนได้รวดเร็ว อัตโนมัติ ต้นทุนต่ำ” เพื่อไล่ตรวจคอมมิตทั้งหมด หรือเพื่อค้นหาช่องโหว่เดียวกันพร้อมกัน AI เปลี่ยนสมมติฐานนี้ไปแล้ว
ผลกระทบของ AI ต่อ “การปะแก้แบบเงียบ”: การสแกน commit กลายเป็นเรื่องถูก
ผลกระทบที่จับต้องได้ของ AI ต่อโปรเจกต์โอเพนซอร์สสไตล์ Linux:
เดิม: ผู้โจมตีต้องตรวจสอบคอมมิตทีละรายการ ใช้แรงคนและเวลามาก “การกลบด้วยปริมาณการส่งคอมมิต” จึงเป็นการปกปิดที่ได้ผล
ปัจจุบัน: AI สามารถสแกนประวัติคอมมิตด้วยต้นทุนต่ำ ระบุอัตโนมัติว่าเป็นคอมมิตที่ “ดูเหมือนเป็นการแก้ไขด้านความปลอดภัย” แม้ผู้เขียนจะไม่ได้ระบุไว้
ผลกระทบ: ความลับ/ความแนบเนียนของการปะแก้แบบเงียบกำลังสูญเสียประสิทธิภาพอย่างรวดเร็ว และช่วงเวลาระหว่าง “ปะแก้แล้วรอให้ไปถึงการดีพลอย” กำลังถูกบีบให้สั้นลง
Kaufman ยกตัวอย่างที่เฉพาะเจาะจง: “การตรวจสอบคอมมิต(examining commits)ยิ่งนับวันยิ่งน่าสนใจขึ้น” เพราะการประเมินการเปลี่ยนแปลงแต่ละครั้งของ AI “ยิ่งถูกลง ยิ่งมีประสิทธิภาพมากขึ้น” ซึ่งหมายความว่าในอนาคต โปรเจกต์โอเพนซอร์สจะไม่สามารถพึ่งพาความได้เปรียบแบบเดิมที่ว่า “ความเร็วในการปะแก้ต้องมากกว่าความเร็วที่ฝ่ายโจมตีจะจับตาเห็น”
ผลกระทบของ AI ต่อ “การเปิดเผยแบบประสานงาน”: ช่วง embargo 90 วันกลับกลายเป็นผลเสีย
หัวใจของวัฒนธรรมการเปิดเผยแบบประสานงานคือ “embargo” หรือช่วงเวลาห้ามเผยแพร่ โดยผู้ค้นพบสัญญาว่าจะไม่เปิดเผยสู่สาธารณะก่อนที่ผู้ดูแลจะปะแก้ แต่ด้วย AI ทำให้หลายทีมสามารถสแกนช่องโหว่เดียวกันได้อย่างซิงก์กัน:
ตัวอย่างเฉพาะ: ช่องโหว่ที่นักวิจัย Hyunwoo Kim รายงาน ถูกค้นพบอย่างอิสระภายใน 9 ชั่วโมง
หลายทีมที่ใช้ AI ช่วยในการสแกนทำงานได้พร้อมกัน ทำให้ช่วง embargo ที่ยาวนานกลับมอบ “ความรู้สึกว่าไม่เร่งด่วนแบบปลอมๆ”
เมื่อคนอื่นหาเจอได้ใน 9 ชั่วโมง แต่ embargo 90 วันกลับทำให้ “ผู้โจมตีตัวจริง” ได้หน้าต่างโจมตีถึง 89 วัน 23 ชั่วโมง
ข้อสรุปของ Kaufman คือ: ในอนาคตควรใช้ “ช่วง embargo ที่สั้นมาก”(very short embargoes)และยิ่งความสามารถของ AI ดีขึ้น ช่วงเวลาดังกล่าวยิ่งควรถูกลดให้สั้นลงไปอีก สิ่งสำคัญคือ แม้ AI จะทำให้การโจมตีเร็วขึ้น แต่ก็ไม่ได้เป็นผลดีฝ่ายโจมตีฝ่ายเดียว—ผู้ป้องกันเองก็สามารถใช้ AI เพื่อเร่งการปะแก้และดีพลอย และทั้งสองฝ่ายจะทำการแข่งขันกันภายใน “หน้าต่างเวลาที่ถูกบีบให้สั้นลง”
เหตุการณ์เฉพาะที่ติดตามต่อได้: ว่า Linux Kernel และโปรเจกต์ขนาดใหญ่เช่น Project Zero จะอัปเดตแนวทางเรื่องตารางการเปิดเผยหรือไม่ ความคืบหน้าการทำการค้าเครื่องมือสแกนช่องโหว่ด้วย AI(เช่น Semgrep、CodeQL)และยุทธศาสตร์รับมือเชิงรูปธรรมของหน่วยงานความปลอดภัยขององค์กรต่อ “อาวุธสองคมของการเร่งด้วย AI”
บทความนี้ Jeff Kaufman:AI 同時打破兩種資安漏洞文化、90 天禁運期變反效果 เผยแพร่ครั้งแรกใน 鏈新聞 ABMedia
