เครื่องมือ AI Coding Agent อย่าง Claude Code, Cursor และ OpenAI Codex กำลังเปลี่ยนรูปแบบการพัฒนาซอฟต์แวร์อย่างรวดเร็ว แต่ในขณะเดียวกันก็สร้างความท้าทายใหม่ให้กับระบบรักษาความปลอดภัยบนเครื่องผู้ใช้งาน
Sophos เปิดเผยผลการวิเคราะห์ข้อมูลจากระบบ Endpoint Protection ของบริษัท โดยพบว่า AI Coding Agent หลายรายกำลังเรียกใช้คำสั่งและเข้าถึงข้อมูลในลักษณะที่คล้ายกับพฤติกรรมของผู้โจมตี ส่งผลให้ระบบตรวจจับภัยคุกคามแจ้งเตือนหรือบล็อกการทำงาน แม้ตัว AI จะไม่ได้มีเจตนาร้ายก็ตาม
พฤติกรรมที่ถูกตรวจจับมีตั้งแต่การถอดรหัสข้อมูลรับรองในเบราว์เซอร์ การตรวจสอบข้อมูลใน Windows Credential Manager การดาวน์โหลดไฟล์ผ่านเครื่องมือของระบบ ไปจนถึงการสร้างสคริปต์ในโฟลเดอร์ Startup เพื่อให้ทำงานอัตโนมัติเมื่อเปิดเครื่อง
AI Coding Agent ทำอะไรจนถูกมองว่าเป็นการโจมตี
Sophos วิเคราะห์ข้อมูลจากระบบตรวจจับพฤติกรรมบน Windows เป็นระยะเวลา 7 วันในเดือนมิถุนายน 2026 โดยนับจากจำนวนเครื่องที่พบพฤติกรรม ไม่ได้นับจากจำนวนเหตุการณ์ทั้งหมด

ผลการวิเคราะห์พบว่ากิจกรรมที่ถูกบล็อกแบ่งออกเป็นกลุ่มสำคัญ ได้แก่
- การเข้าถึงข้อมูลรับรองคิดเป็น 56.2 เปอร์เซ็นต์
- การสั่งรันคำสั่งหรือโปรแกรมคิดเป็น 28.8 เปอร์เซ็นต์
- การดาวน์โหลดไฟล์ผ่านเครื่องมือของ Windows
- การสร้างกลไกให้โปรแกรมทำงานอัตโนมัติหลังเปิดเครื่อง
- การลองใช้วิธีอื่นทันทีเมื่อวิธีแรกถูกระบบรักษาความปลอดภัยบล็อก
Sophos ระบุว่าข้อมูลดังกล่าวเป็นเพียงภาพจากระบบของบริษัทในช่วงเวลาจำกัด จึงไม่ควรถูกมองว่าเป็นตัวแทนของอุตสาหกรรมทั้งหมด แต่สะท้อนให้เห็นแนวโน้มที่ฝ่ายรักษาความปลอดภัยต้องเตรียมรับมือ
การเข้าถึงข้อมูลในเบราว์เซอร์ทำให้ระบบแจ้งเตือน
หนึ่งในกฎตรวจจับที่ทำงานบ่อยที่สุดเกี่ยวข้องกับการใช้ Windows Data Protection API หรือ DPAPI เพื่อถอดรหัสข้อมูลที่ถูกจัดเก็บไว้ในเบราว์เซอร์
กฎนี้คิดเป็น 42.6 เปอร์เซ็นต์ของกลุ่มพฤติกรรมเข้าถึงข้อมูลรับรอง โดยปกติแล้ว DPAPI ถูกใช้เพื่อปกป้องข้อมูลสำคัญ เช่น รหัสผ่าน คุกกี้ และข้อมูลการเข้าสู่ระบบ
Sophos พบว่า Claude Code ซึ่งใช้งานชุดความสามารถ GStack สามารถเรียกฟังก์ชันสำหรับควบคุมเบราว์เซอร์ โดยมีการใช้ PowerShell ติดต่อกับ DPAPI เพื่อปลดล็อกข้อมูลที่เบราว์เซอร์จัดเก็บไว้
เมื่อมองจากมุมของผู้ใช้งาน การทำงานดังกล่าวอาจเป็นส่วนหนึ่งของระบบอัตโนมัติที่ผู้ใช้สั่งให้ AI ดำเนินการ แต่สำหรับระบบรักษาความปลอดภัย พฤติกรรมนี้แทบไม่ต่างจากการขโมยข้อมูลรับรองของผู้ใช้งาน
Claude Code ตรวจสอบ Credential Manager ของ Windows
Sophos ยังพบเหตุการณ์ที่ Claude Code ปิดเบราว์เซอร์ซึ่งกำลังทำงานอยู่ ก่อนเรียกใช้สคริปต์ Python เพื่ออ่านข้อมูลจากพื้นที่จัดเก็บข้อมูลรับรองของเบราว์เซอร์
ในอีกเหตุการณ์หนึ่ง Claude Code ใช้คำสั่งต่อไปนี้เพื่อตรวจสอบข้อมูลที่ Windows Credential Manager จัดเก็บไว้
cmdkey /list
คำสั่งดังกล่าวเป็นคำสั่งที่ถูกต้องตามปกติของ Windows แต่ผู้โจมตีก็นำไปใช้เพื่อค้นหาบัญชี ชื่อผู้ใช้ หรือข้อมูลรับรองที่อาจนำไปใช้เข้าถึงระบบอื่นได้เช่นกัน
Sophos ระบุว่า Claude Code ในเหตุการณ์นี้ทำงานร่วมกับตัวเลือก --dangerously-skip-permissions ซึ่งเป็นโหมดที่ลดขั้นตอนการขออนุญาตก่อนดำเนินการบางอย่าง
โหมดนี้อาจช่วยให้ AI ทำงานได้รวดเร็วขึ้น แต่ก็เพิ่มความเสี่ยง เนื่องจาก AI สามารถเรียกใช้คำสั่งสำคัญได้โดยไม่ต้องให้ผู้ใช้ตรวจสอบทุกขั้นตอน
OpenAI Codex เปลี่ยนวิธีดาวน์โหลดไฟล์เมื่อถูกบล็อก
OpenAI Codex ถูกตรวจพบว่าพยายามดาวน์โหลดตัวติดตั้ง Python จากเว็บไซต์ python.org โดยเริ่มจากการใช้คำสั่ง certutil
เมื่อระบบรักษาความปลอดภัยบล็อกคำสั่งดังกล่าว Codex จึงเปลี่ยนไปใช้ bitsadmin เพื่อดาวน์โหลดไฟล์แทน
ทั้ง certutil และ bitsadmin เป็นเครื่องมือที่มีอยู่ใน Windows และสามารถใช้ในงานดูแลระบบได้ตามปกติ แต่เป็นเครื่องมือที่ผู้โจมตีนิยมนำไปใช้ดาวน์โหลดไฟล์อันตรายโดยไม่ต้องติดตั้งโปรแกรมเพิ่มเติม
พฤติกรรมลักษณะนี้มักถูกเรียกว่า Living off the Land หรือการใช้เครื่องมือที่มีอยู่ในระบบปฏิบัติการเพื่อดำเนินกิจกรรมบางอย่าง
แม้ไฟล์เป้าหมายในกรณีนี้จะเป็นตัวติดตั้ง Python ที่มาจากแหล่งจริง แต่การที่ AI เปลี่ยนไปใช้เครื่องมืออีกตัวทันทีหลังจากถูกบล็อก มีลักษณะคล้ายกับผู้โจมตีที่ปรับวิธีการตามสถานการณ์
Cursor สร้างสคริปต์ในโฟลเดอร์ Startup
Cursor ถูกตรวจพบว่าใช้ PowerShell เพื่อเขียนไฟล์สคริปต์ลงในโฟลเดอร์ Startup ของ Windows
ไฟล์ที่อยู่ในโฟลเดอร์ดังกล่าวจะถูกเรียกใช้งานโดยอัตโนมัติเมื่อผู้ใช้เข้าสู่ระบบหรือเปิดเครื่อง ทำให้ระบบรักษาความปลอดภัยมักจัดพฤติกรรมนี้อยู่ในกลุ่ม Persistence หรือการสร้างช่องทางให้โปรแกรมทำงานต่อเนื่อง
Sophos ไม่สามารถยืนยันได้ว่าสคริปต์ดังกล่าวมีหน้าที่อะไร แต่การเขียนไฟล์ลงใน Startup โดยกระบวนการที่ไม่ใช่โปรแกรมติดตั้งที่เชื่อถือได้ ถือเป็นพฤติกรรมที่ฝ่ายรักษาความปลอดภัยต้องตรวจสอบ
AI Agent อาจเป็นทั้งเครื่องมือพัฒนาและเครื่องมือโจมตี
ปัญหานี้ไม่ได้อยู่ที่ AI Coding Agent ฝั่งนักพัฒนาเพียงอย่างเดียว เพราะผู้โจมตีก็สามารถใช้ AI Agent เพื่อช่วยสร้าง ทดสอบ และปรับปรุงมัลแวร์ได้เช่นกัน
Sophos เคยพบผู้โจมตีใช้ AI Agent เพื่อพัฒนาเครื่องมือและทดสอบการหลบเลี่ยงระบบ Endpoint Detection and Response หรือ EDR โดยมีการใช้ Claude Opus 4.5 ช่วยประสานขั้นตอนการทำงาน
นอกจากนี้ นักวิจัยยังเคยแสดงให้เห็นว่า Coding Agent สามารถถูกหลอกให้เรียกใช้คำสั่งของผู้โจมตีผ่านข้อมูลหรือไฟล์ที่ถูกวางกับดักไว้ได้
เหตุการณ์ลักษณะนี้มีความเสี่ยงสูง เนื่องจาก AI Agent ทำงานอยู่ภายใต้บัญชีผู้ใช้ที่ได้รับความเชื่อถือ ระบบรักษาความปลอดภัยจึงอาจแยกได้ยากว่าคำสั่งนั้นเกิดจากผู้ใช้จริง AI ที่ทำงานตามปกติ หรือ AI ที่ถูกควบคุมโดยผู้โจมตี
พฤติกรรมเดียวกันอาจมาจากหลายสถานการณ์
การเรียกใช้ DPAPI การดาวน์โหลดไฟล์ผ่านเครื่องมือของ Windows หรือการเขียนไฟล์ลงใน Startup ไม่ได้บ่งชี้เจตนาได้ชัดเจนเหมือนในอดีต
พฤติกรรมเดียวกันอาจเกิดจากหลายกรณี ได้แก่
- AI Coding Agent ทำงานตามคำสั่งของนักพัฒนา
- ผู้โจมตีใช้ AI Agent เป็นเครื่องมือดำเนินการ
- AI Agent ถูกโจมตีผ่านข้อมูลหรือคำสั่งที่ถูกฝังไว้
- โปรแกรมปกติใช้เครื่องมือของระบบเพื่อทำงานอัตโนมัติ
- ผู้โจมตีใช้บัญชีที่ถูกต้องและเครื่องมือที่มีอยู่ในเครื่อง
ข้อมูลจาก CrowdStrike Global Threat Report 2026 ระบุว่า 82 เปอร์เซ็นต์ของเหตุการณ์ที่ตรวจพบในปี 2025 เป็นการโจมตีที่ไม่ใช้มัลแวร์โดยตรง
ผู้โจมตีหันมาใช้ข้อมูลรับรองที่ถูกต้อง เครื่องมือของระบบ และโปรแกรมที่ได้รับความเชื่อถือมากขึ้น ทำให้ระบบรักษาความปลอดภัยต้องเน้นตรวจจับจากพฤติกรรมแทนการค้นหาไฟล์มัลแวร์เพียงอย่างเดียว
เมื่อ AI Agent เริ่มสร้างพฤติกรรมแบบเดียวกันในระหว่างการทำงานปกติ จำนวนการแจ้งเตือนที่ต้องตรวจสอบจึงเพิ่มขึ้น และอาจทำให้ฝ่ายรักษาความปลอดภัยแยกเหตุการณ์จริงออกจากเหตุการณ์ที่ไม่เป็นอันตรายได้ยากขึ้น
แนวทางลดการแจ้งเตือนจาก AI Coding Agent
Sophos แนะนำให้องค์กรแยกนโยบายตรวจจับตามระดับความเสี่ยงของแต่ละพฤติกรรม ไม่ควรปิดระบบตรวจจับทั้งหมดเพียงเพราะต้นทางเป็น AI Coding Agent ที่รู้จัก
สำหรับพฤติกรรมทั่วไป เช่น การรันคำสั่ง PowerShell การดาวน์โหลดไฟล์จากแหล่งที่เชื่อถือได้ หรือการลองใช้คำสั่งใหม่หลังจากคำสั่งเดิมล้มเหลว องค์กรสามารถปรับขอบเขตการตรวจจับโดยพิจารณาจากข้อมูลต่อไปนี้
- ชื่อโปรเซสหลัก เช่น claude.exe หรือ cursor.exe
- โปรเซสลูกที่ถูกสร้างจาก AI Agent
- โฟลเดอร์โครงการหรือ Workspace ที่ได้รับอนุญาต
- โฟลเดอร์ชั่วคราวที่ใช้ระหว่างการพัฒนา
- ชื่อเสียงและความน่าเชื่อถือของโดเมนปลายทาง
- Hash หรือลายเซ็นดิจิทัลของไฟล์ที่ดาวน์โหลด
- บัญชีผู้ใช้และระดับสิทธิ์ของกระบวนการ
- คำสั่งที่ AI เรียกใช้และบริบทก่อนหน้า
การกำหนดเงื่อนไขเหล่านี้ช่วยลดการแจ้งเตือนที่ไม่จำเป็น โดยไม่ต้องยกเว้นการตรวจสอบ AI Agent ทั้งหมด
การเข้าถึงข้อมูลรับรองไม่ควรถูกอนุญาตแบบครอบคลุม
Sophos เน้นว่าพฤติกรรมเกี่ยวกับข้อมูลรับรองควรถูกจัดการอย่างเข้มงวดกว่ากิจกรรมประเภทอื่น
การถอดรหัสข้อมูลจากเบราว์เซอร์ การตรวจสอบ Windows Credential Manager หรือการอ่านโทเคนของผู้ใช้ ไม่ควรถูกมองว่าปลอดภัยโดยอัตโนมัติเพียงเพราะคำสั่งดังกล่าวมาจาก AI Agent
แนวทางที่องค์กรควรนำไปใช้ ได้แก่
- ปิดโหมดข้ามการขออนุญาตในเครื่องขององค์กร
- ไม่ให้ AI Agent ทำงานด้วยสิทธิ์ผู้ดูแลระบบโดยไม่จำเป็น
- จำกัดสิทธิ์การเข้าถึง Credential Store
- ใช้บัญชีแยกสำหรับงานพัฒนาและงานระบบ
- กำหนด Allowlist เฉพาะโปรเจกต์และคำสั่งที่จำเป็น
- บันทึกคำสั่งและกิจกรรมของ AI Agent เพื่อใช้ตรวจสอบย้อนหลัง
- ใช้เครื่องเสมือนหรือ Sandbox สำหรับงานที่มีความเสี่ยง
- แยกข้อมูลรับรองสำคัญออกจากเครื่องที่ใช้ AI Coding Agent
- บังคับให้ผู้ใช้อนุมัติก่อนดำเนินการเกี่ยวกับรหัสผ่าน โทเคน หรือคุกกี้
องค์กรต้องกำหนดขอบเขตการทำงานของ AI Agent
ประเด็นสำคัญไม่ใช่เพียงการลดจำนวนการแจ้งเตือน แต่คือการกำหนดว่า AI Coding Agent ควรได้รับอนุญาตให้เข้าถึงส่วนใดของเครื่องผู้ใช้งาน
AI Agent อาจต้องใช้สิทธิ์ในการสร้างไฟล์ ติดตั้งแพ็กเกจ รันคำสั่ง หรือควบคุมเบราว์เซอร์เพื่อให้งานสำเร็จ แต่การให้สิทธิ์แบบไม่จำกัดสามารถเปิดช่องให้เกิดความเสียหายได้ หาก AI ทำงานผิดพลาด ถูกหลอก หรือถูกใช้โดยผู้โจมตี
องค์กรควรเริ่มจากการจำกัดพื้นที่ที่มีความเสี่ยงสูงก่อน โดยเฉพาะข้อมูลรับรอง รหัสผ่าน โทเคนการเข้าถึง คุกกี้ของเบราว์เซอร์ กุญแจ SSH และข้อมูลที่ใช้เข้าสู่ระบบคลาวด์
สรุป
AI Coding Agent อย่าง Claude Code, Cursor และ OpenAI Codex ไม่ได้เป็นมัลแวร์ แต่รูปแบบการทำงานของเครื่องมือเหล่านี้เริ่มคล้ายกับเทคนิคที่ผู้โจมตีใช้มากขึ้น
การถอดรหัสข้อมูลในเบราว์เซอร์ การตรวจสอบ Credential Manager การดาวน์โหลดไฟล์ผ่าน certutil หรือ bitsadmin และการสร้างไฟล์ใน Startup ล้วนเป็นพฤติกรรมที่ระบบรักษาความปลอดภัยมีเหตุผลเพียงพอที่จะตรวจจับ
องค์กรจึงไม่ควรแก้ปัญหาด้วยการปิดการแจ้งเตือนหรือยกเว้น AI Agent ทั้งหมด แต่ควรปรับกฎให้พิจารณาจากบริบท แหล่งที่มา เส้นทางไฟล์ สิทธิ์ของกระบวนการ และประเภทของข้อมูลที่ AI กำลังเข้าถึง
ขอบเขตแรกที่ควรถูกควบคุมอย่างชัดเจนคือข้อมูลรับรอง เพราะไม่ว่าจะเป็นมนุษย์ โปรแกรม หรือ AI Agent การเข้าถึงรหัสผ่านและโทเคนโดยไม่มีข้อจำกัดยังคงเป็นความเสี่ยงต่อความปลอดภัยขององค์กร
ที่มา thehackernews


















Leave a Reply