SiamByte

เว็บไซต์ข่าวมือถือ รีวิว เปรียบเทียบ ราคา และสเปคโทรศัพท์ อัปเดตมือถือใหม่ล่าสุด พร้อมข่าวเทคโนโลยี AI และ Gadget ครบในที่เดียว

นักวิจัยสร้าง AI Agent Skill ปลอม เจาะช่องโหว่ระบบสแกน เข้าถึงเอเจนต์กว่า 26,000 ราย

นักวิจัยสร้าง AI Agent Skill ปลอม เจาะช่องโหว่ระบบสแกน และเข้าถึงเอเจนต์กว่า 26,000 ราย

บริษัทด้านความปลอดภัย AIR เปิดเผยผลการทดลองสร้าง AI Agent Skill ปลอม แล้วนำไปเผยแพร่ผ่านตลาดรวม Skill ที่ได้รับความนิยม พร้อมซื้อโฆษณาบน Instagram เพื่อทดสอบว่าผู้ใช้งานและระบบตรวจสอบความปลอดภัยจะสามารถตรวจจับความเสี่ยงได้หรือไม่

AIR ระบุว่า Skill ดังกล่าวสามารถเข้าถึง AI Agent ได้ประมาณ 26,000 ราย รวมถึงเอเจนต์บางส่วนที่เชื่อมโยงกับบัญชีขององค์กร แม้เครื่องมือตรวจสอบความปลอดภัยทุกตัวที่บริษัทนำมาทดสอบจะรายงานว่าแพ็กเกจนี้ปลอดภัยก็ตาม

Payload ที่ใช้ในการทดลองถูกออกแบบไม่ให้สร้างความเสียหาย โดยเก็บเพียงอีเมลของผู้ใช้งานเพื่อใช้ตรวจนับจำนวนเอเจนต์ที่ได้รับผลกระทบ อย่างไรก็ตาม วิธีการเดียวกันนี้สามารถถูกนำไปดัดแปลงเพื่อเข้าถึงไฟล์ ส่งข้อมูลออกจากระบบ หรือเรียกใช้บริการภายในองค์กรได้ หาก AI Agent มีสิทธิ์เข้าถึงทรัพยากรเหล่านั้น

AI Agent Skill คืออะไร และทำไมจึงมีความเสี่ยง

AI Agent Skill คือชุดคำสั่ง ไฟล์ หรือกระบวนการที่เพิ่มความสามารถให้กับ AI Agent เมื่อผู้ใช้งานติดตั้ง Skill ระบบจะโหลดคำสั่งเหล่านั้นเข้าสู่บริบทการทำงาน และปฏิบัติตามด้วยระดับความน่าเชื่อถือใกล้เคียงกับคำสั่งที่ได้รับจากผู้ใช้โดยตรง

จุดนี้ทำให้ Skill แตกต่างจากส่วนเสริมทั่วไป เพราะคำสั่งภายใน Skill อาจสั่งให้เอเจนต์ดาวน์โหลดไฟล์ เปิดเว็บไซต์ เรียกใช้สคริปต์ หรือเข้าถึงข้อมูลที่เอเจนต์มีสิทธิ์ใช้งานอยู่แล้ว

หาก Skill มาจากแหล่งที่ไม่น่าเชื่อถือ ความเสียหายจึงไม่ได้จำกัดอยู่แค่ตัว Skill แต่จะขึ้นอยู่กับสิทธิ์ทั้งหมดที่ AI Agent ได้รับในระบบนั้น

AIR สร้าง Skill ปลอมให้ดูน่าเชื่อถืออย่างไร

Skill ที่ AIR ใช้ในการทดลองมีชื่อว่า “brand-landingpage” โดยอ้างว่าสามารถช่วยสร้างหน้า Landing Page ผ่านเครื่องมือออกแบบ Google Stitch กลุ่มเป้าหมายหลักคือผู้ใช้งานทั่วไปที่ไม่มีความรู้ด้านการเขียนโปรแกรม เช่น นักการตลาด ฝ่ายขาย และนักออกแบบ

เพื่อทำให้ Skill ดูน่าเชื่อถือ AIR วางแผนใช้สัญญาณความน่าเชื่อถือที่ผู้ใช้งานมักพิจารณาก่อนติดตั้ง ได้แก่

  • จำนวนดาวบน GitHub
  • การอยู่ใน Repository ที่ได้รับความนิยม
  • ผลการสแกนความปลอดภัยที่ระบุว่าปลอดภัย
  • ชื่อเครื่องมือที่คล้ายกับบริการจากบริษัทเทคโนโลยีรายใหญ่
  • โฆษณาที่นำเสนอว่าเป็นเครื่องมือช่วยเพิ่มประสิทธิภาพการทำงาน

AIR ส่ง Pull Request เข้าไปยัง Repository ตลาด Skill แห่งหนึ่งที่มีดาวบน GitHub ประมาณ 36,000 ดาว และรวบรวม Skill อยู่ประมาณ 156 รายการ

หลังจาก Pull Request ถูกนำไปรวมเข้ากับ Repository Skill ปลอมจึงดูเหมือนเป็นส่วนหนึ่งของโครงการโอเพนซอร์สที่ได้รับความนิยม และได้รับภาพลักษณ์ความน่าเชื่อถือจากจำนวนดาวของ Repository ไปด้วย

จากนั้นบริษัทซื้อโฆษณาบน Instagram โดยกำหนดกลุ่มเป้าหมายเป็นนักการตลาด ฝ่ายขาย และนักออกแบบ เพื่อชักชวนให้ผู้ใช้ติดตั้งและใช้งาน Skill ดังกล่าว

ทำไมระบบสแกน AI Skill จึงตรวจไม่พบ

ประเด็นสำคัญของการทดลองอยู่ที่ข้อจำกัดของเครื่องมือตรวจสอบความปลอดภัย ซึ่งมักวิเคราะห์เฉพาะไฟล์ที่ส่งเข้าระบบในช่วงเวลาที่ทำการสแกน เช่น ไฟล์ SKILL.md สคริปต์ และไฟล์อื่นที่รวมอยู่ในแพ็กเกจ

AIR ระบุว่าได้ทดสอบ Skill กับเครื่องมือตรวจสอบหลายระบบ รวมถึงเครื่องมือที่เกี่ยวข้องกับ Cisco, NVIDIA และระบบที่เชื่อมต่ออยู่กับแพลตฟอร์ม skills.sh แต่เครื่องมือทั้งหมดรายงานว่า Skill ปลอดภัย

สาเหตุที่ระบบตรวจไม่พบความเสี่ยงมีดังนี้

  • แพ็กเกจ Skill ไม่มี Payload อันตรายอยู่ภายในโดยตรง
  • Skill สั่งให้ AI Agent ไปอ่านเอกสารติดตั้งจากเว็บไซต์ภายนอก
  • เว็บไซต์ภายนอกยังแสดงข้อมูลที่ดูปลอดภัยในช่วงที่มีการตรวจสอบ
  • ระบบสแกนไม่ได้วิเคราะห์เนื้อหาที่เว็บไซต์จะเปลี่ยนแปลงในอนาคต
  • ผู้ควบคุมโดเมนสามารถแก้ไขคำสั่งบนหน้าเว็บไซต์ได้หลังจาก Skill ผ่านการตรวจสอบแล้ว

ใช้โดเมนปลอมเลียนแบบ Google Stitch

ภายใน Skill ไม่มีขั้นตอนการติดตั้งซอฟต์แวร์ที่ชัดเจน แต่สั่งให้ AI Agent ไปอ่านเอกสารการติดตั้ง “Stitch SDK” จากเว็บไซต์ stitch-design.ai ซึ่งเป็นโดเมนที่ AIR ควบคุมเอง

โดเมนดังกล่าวไม่ได้เป็นเว็บไซต์อย่างเป็นทางการของ Google Stitch เนื่องจากบริการจริงของ Google ใช้งานผ่านโดเมน stitch.withgoogle.com

ช่วงแรก เว็บไซต์ของ AIR ส่งผู้ใช้งานไปยังเอกสารจริงของ Google Stitch ทำให้หน้าเว็บดูน่าเชื่อถือและไม่มีคำสั่งอันตราย ระบบสแกนที่ตรวจสอบเฉพาะตัวแพ็กเกจจึงไม่พบสิ่งผิดปกติ

หลังจาก Skill ถูกติดตั้งในวงกว้าง AIR เปลี่ยนเนื้อหาบนเว็บไซต์ภายนอกให้สั่ง AI Agent ดาวน์โหลดและเรียกใช้สคริปต์เพิ่มเติม

เทคนิคนี้ทำให้ตัว Skill ที่ถูกตรวจสอบยังคงเหมือนเดิม แต่พฤติกรรมที่เกิดขึ้นจริงสามารถเปลี่ยนได้ตลอดเวลา เนื่องจากคำสั่งสำคัญถูกจัดเก็บอยู่บนเว็บไซต์ที่ผู้สร้างควบคุม

การทดลองเก็บเพียงอีเมล แต่ความเสี่ยงอาจรุนแรงกว่านั้น

ในการสาธิต สคริปต์ของ AIR ทำหน้าที่ส่งอีเมลของผู้ใช้งานกลับไปยังระบบของบริษัท เพื่อใช้ตรวจนับจำนวน AI Agent ที่เข้าถึงคำสั่งดังกล่าว

บริษัทระบุว่าการทดลองเข้าถึงเอเจนต์ได้ประมาณ 26,000 ราย แต่ตัวเลขนี้มาจากข้อมูลของ AIR เพียงฝ่ายเดียว และยังไม่มีหน่วยงานอิสระยืนยัน

แม้ Payload จะไม่สร้างความเสียหาย แต่หากผู้โจมตีใช้เทคนิคเดียวกันกับเป้าหมายจริง อาจนำไปสู่ความเสี่ยงหลายรูปแบบ ได้แก่

  • อ่านไฟล์ที่ AI Agent มีสิทธิ์เข้าถึง
  • ดึงข้อมูลจากระบบภายในองค์กร
  • ส่งข้อมูลสำคัญออกไปยังเซิร์ฟเวอร์ภายนอก
  • เรียกใช้คำสั่งหรือสคริปต์บนเครื่องของผู้ใช้งาน
  • เข้าถึง API และบริการที่เชื่อมต่อกับเอเจนต์
  • ใช้สิทธิ์ของบัญชีองค์กรเพื่อดำเนินการโดยไม่ได้รับอนุญาต

ขอบเขตความเสียหายจะขึ้นอยู่กับสิทธิ์ของ AI Agent หากเอเจนต์สามารถเข้าถึงอีเมล เอกสาร ฐานข้อมูล ระบบคลาวด์ หรือเครื่องมือภายในองค์กร ผู้โจมตีก็อาจใช้สิทธิ์เหล่านั้นผ่านคำสั่งจาก Skill ได้

ช่องโหว่เกิดจากการตรวจสอบเพียงครั้งเดียว

ปัญหาหลักของระบบตรวจสอบ AI Skill คือการสแกนมักเกิดขึ้นเพียงช่วงที่ส่งแพ็กเกจเข้าสู่ตลาดหรือก่อนติดตั้ง แต่คำสั่งจากเว็บไซต์ภายนอกสามารถเปลี่ยนแปลงได้ตลอดเวลา

สถานการณ์ที่เกิดขึ้นจึงมีลักษณะดังนี้

  1. ผู้พัฒนาส่ง Skill ที่ไม่มีโค้ดอันตรายเข้าสู่ระบบตรวจสอบ
  2. Skill เชื่อมโยงไปยังเว็บไซต์ภายนอกที่ดูปลอดภัย
  3. ระบบสแกนรายงานว่าแพ็กเกจไม่มีความเสี่ยง
  4. ผู้ใช้งานจำนวนมากติดตั้ง Skill
  5. ผู้ควบคุมเว็บไซต์เปลี่ยนเนื้อหาเป็นคำสั่งที่มีความเสี่ยง
  6. AI Agent ดึงคำสั่งเวอร์ชันใหม่และปฏิบัติตามโดยอัตโนมัติ

วิธีนี้คล้ายกับการโจมตีแบบ Time-of-Check to Time-of-Use หรือ TOCTOU ซึ่งข้อมูลในช่วงตรวจสอบแตกต่างจากข้อมูลที่ถูกใช้งานจริงในภายหลัง

งานวิจัยก่อนหน้านี้พบปัญหาในลักษณะเดียวกัน

AIR ไม่ใช่หน่วยงานแรกที่แสดงให้เห็นว่าเครื่องมือตรวจสอบ AI Skill สามารถถูกหลีกเลี่ยงได้

ก่อนหน้านี้ Trail of Bits ได้ทดสอบระบบตรวจจับ Skill ที่เป็นอันตรายบนแพลตฟอร์ม ClawHub รวมถึงเครื่องมือของ Cisco และเครื่องมือสแกนที่เชื่อมต่ออยู่กับ skills.sh

ผลการศึกษาชี้ให้เห็นว่าเครื่องมือสแกนตรวจสอบแพ็กเกจในสถานะหนึ่ง ณ ช่วงเวลาหนึ่ง ขณะที่ผู้โจมตีสามารถปรับแก้คำสั่งหรือ Payload ซ้ำหลายครั้งจนผ่านการตรวจสอบได้

นอกจากนี้ แคมเปญโจมตีที่เกิดขึ้นจริงบางส่วนยังใช้แนวทางเก็บแพ็กเกจที่ส่งตรวจให้สะอาด แล้วนำคำสั่งสำคัญไปไว้บนเว็บไซต์ที่ AI Agent จะเปิดอ่านในช่วงติดตั้งหรือเริ่มใช้งาน

เอกสารของ Anthropic ยังเตือนถึงความเสี่ยงจาก Skill ที่ดึงข้อมูลจาก URL ภายนอก เนื่องจากเนื้อหาบนเว็บไซต์สามารถเปลี่ยนแปลงได้หลังจากผ่านกระบวนการตรวจสอบแล้ว

GitHub Stars และผลสแกนปลอดภัยอาจไม่เพียงพอ

การทดลองนี้แสดงให้เห็นว่าสัญญาณที่ผู้ใช้งานมักใช้ตัดสินความน่าเชื่อถือของ Skill อาจถูกนำมาใช้สร้างความเข้าใจผิดได้

จำนวนดาวบน GitHub สามารถถูกยืมความน่าเชื่อถือ

Skill ที่ถูกรวมเข้าไปใน Repository ยอดนิยมอาจดูเหมือนได้รับการตรวจสอบจากชุมชนแล้ว ทั้งที่จำนวนดาวเป็นของโครงการหลัก ไม่ได้สะท้อนว่า Skill แต่ละรายการมีความปลอดภัย

ผู้ใช้งานจึงไม่ควรประเมิน Skill จากจำนวนดาวของ Repository เพียงอย่างเดียว แต่ควรตรวจสอบประวัติของผู้พัฒนา การเปลี่ยนแปลงใน Pull Request และคำสั่งที่ Skill จะเรียกใช้งาน

ผลสแกนสะท้อนเพียงข้อมูลในช่วงเวลานั้น

คำว่า “ปลอดภัย” จากระบบสแกน หมายถึงเครื่องมือไม่พบสิ่งผิดปกติในไฟล์หรือข้อมูลที่ตรวจสอบในขณะนั้น ไม่ได้หมายความว่า Skill จะปลอดภัยตลอดไป

หาก Skill เชื่อมต่อกับไฟล์ URL หรือเซิร์ฟเวอร์ภายนอก พฤติกรรมของ Skill อาจเปลี่ยนโดยที่ตัวแพ็กเกจไม่ถูกแก้ไขเลย

โอเพนซอร์สไม่ได้รับประกันความปลอดภัยเสมอไป

การเปิดเผยซอร์สโค้ดช่วยให้ชุมชนสามารถตรวจสอบได้ แต่ไม่ได้หมายความว่าจะมีผู้ตรวจสอบทุกไฟล์อย่างละเอียดก่อนนำไปใช้งาน

โดยเฉพาะ Skill ที่มีจำนวนมากและถูกเพิ่มเข้ามาอย่างต่อเนื่อง การตรวจสอบด้วยมนุษย์อาจไม่ครอบคลุมทุกการเปลี่ยนแปลง

แนวทางป้องกัน AI Agent Skill ที่ไม่ปลอดภัย

องค์กรควรจัดการ AI Agent Skill ในลักษณะเดียวกับซอฟต์แวร์หรือแพ็กเกจจากบุคคลภายนอก ไม่ควรมองว่าเป็นเพียงไฟล์ข้อความหรือชุด Prompt ทั่วไป

แนวทางที่ควรดำเนินการมีดังนี้

  • ตรวจสอบ Skill ที่ติดตั้งอยู่ในระบบทั้งหมด
  • จำกัดแหล่งติดตั้งให้มาจาก Repository หรือ Marketplace ที่องค์กรควบคุม
  • ตรวจสอบ URL ภายนอกที่ Skill เรียกใช้งาน
  • บันทึกและติดตามการเปลี่ยนแปลงของเนื้อหาจากเว็บไซต์ภายนอก
  • กำหนดเวอร์ชันของ Skill และ Dependency ให้ชัดเจน
  • ตรวจสอบ Skill ใหม่เมื่อไฟล์หรือแหล่งข้อมูลที่เชื่อมโยงมีการเปลี่ยนแปลง
  • จำกัดสิทธิ์ AI Agent ตามหลัก Least Privilege
  • แยกข้อมูลสำคัญออกจากสภาพแวดล้อมที่เอเจนต์สามารถเข้าถึง
  • บล็อกการดาวน์โหลดหรือเรียกใช้สคริปต์จากโดเมนที่ไม่ได้รับอนุญาต
  • บันทึก Log การเข้าถึงเว็บไซต์ การดาวน์โหลดไฟล์ และการเรียกใช้คำสั่งของเอเจนต์

องค์กรควรตรวจสอบอะไรบ้างก่อนอนุญาตให้ใช้ Skill

ก่อนอนุญาตให้ติดตั้ง AI Agent Skill ฝ่ายไอทีและทีมความปลอดภัยควรตรวจสอบอย่างน้อยในประเด็นต่อไปนี้

แหล่งที่มาของ Skill

ตรวจสอบชื่อผู้พัฒนา ประวัติการเผยแพร่ อายุบัญชี Repository ต้นทาง และบุคคลที่อนุมัติการนำ Skill เข้าสู่ระบบ

สิทธิ์ที่ Skill ต้องใช้

พิจารณาว่า Skill จำเป็นต้องอ่านไฟล์ เข้าถึงอีเมล เชื่อมต่อฐานข้อมูล หรือเรียกใช้คำสั่งในระบบปฏิบัติการจริงหรือไม่

การเชื่อมต่อไปยังเว็บไซต์ภายนอก

ตรวจสอบทุกโดเมนที่ Skill เรียกใช้งาน รวมถึง Redirect, ไฟล์ดาวน์โหลด และ API Endpoint โดยไม่ควรเชื่อถือโดเมนจากชื่อที่ดูคล้ายบริการจริงเพียงอย่างเดียว

ความสามารถในการเปลี่ยนคำสั่งภายหลัง

หาก Skill โหลดเอกสารหรือคำสั่งจากระยะไกล ควรมีระบบตรวจสอบ Hash, Digital Signature หรือการกำหนดเวอร์ชัน เพื่อป้องกันการเปลี่ยนเนื้อหาโดยไม่ได้รับอนุญาต

พฤติกรรมขณะทำงาน

ควรตรวจสอบพฤติกรรมจริงในสภาพแวดล้อม Sandbox ไม่ใช่วิเคราะห์เฉพาะไฟล์แบบ Static Scan เพราะคำสั่งบางส่วนจะปรากฏเฉพาะเมื่อ Skill เริ่มทำงานแล้ว

ตัวเลข 26,000 รายยังต้องอ่านอย่างระมัดระวัง

AIR เป็นผู้เปิดเผยตัวเลขจำนวนเอเจนต์ที่ได้รับผลกระทบ รวมถึงรายละเอียดว่าเอเจนต์บางส่วนอยู่ภายใต้บัญชีองค์กร และยังเป็นบริษัทที่กำลังเปิดตัวตลาด AI Skill แบบมีการบริหารจัดการ

ดังนั้น ตัวเลข 26,000 รายและขอบเขตการเข้าถึงระบบควรถูกพิจารณาอย่างระมัดระวัง เนื่องจากยังไม่มีการตรวจสอบโดยหน่วยงานอิสระ

อย่างไรก็ตาม วิธีการโจมตีที่ใช้ในการทดลองสอดคล้องกับข้อค้นพบจากนักวิจัยรายอื่น โดยเฉพาะข้อจำกัดของการตรวจสอบแพ็กเกจแบบครั้งเดียว และความเสี่ยงจากคำสั่งที่โหลดผ่านเว็บไซต์ภายนอก

สรุป

การทดลองสร้าง AI Agent Skill ปลอมของ AIR แสดงให้เห็นว่าจำนวนดาวบน GitHub ชื่อเสียงของโครงการโอเพนซอร์ส และผลการสแกนที่ระบุว่าปลอดภัย ไม่สามารถใช้เป็นหลักฐานยืนยันความปลอดภัยได้ทั้งหมด

ช่องว่างสำคัญอยู่ที่ระบบสแกนมักตรวจสอบเฉพาะไฟล์ภายในแพ็กเกจ แต่ไม่สามารถรับประกันได้ว่าเนื้อหาจาก URL ภายนอกจะยังคงเหมือนเดิมหลังผ่านการตรวจสอบ

องค์กรที่นำ AI Agent มาใช้งานจึงควรปฏิบัติต่อ Skill เหมือนซอฟต์แวร์จากบุคคลภายนอก ตรวจสอบทั้งตัวแพ็กเกจ เว็บไซต์ที่เชื่อมโยง พฤติกรรมขณะทำงาน และสิทธิ์ที่เอเจนต์ได้รับ

ไม่ว่าจำนวนเอเจนต์ที่เข้าถึงได้จริงจะเป็น 26,000 รายหรือน้อยกว่านั้น วิธีการทดลองได้สะท้อนให้เห็นถึงปัญหาเชิงโครงสร้างของระบบนิเวศ AI Agent Skill ที่ยังต้องได้รับการแก้ไข ทั้งในด้านการตรวจสอบแบบต่อเนื่อง การควบคุมแหล่งติดตั้ง และการจำกัดสิทธิ์ของเอเจนต์

ที่มา thehackernews

Leave a Reply

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องข้อมูลจำเป็นถูกทำเครื่องหมาย *