สัญญาณเตือนเริ่มชัด ยิ่งใช้ AI หาข้อมูลมากเท่าไหร่ ยิ่งเสี่ยงเป็นเป้าโจมตีจากแฮกเกอร์มากขึ้น

Generative AI ถือเป็นเรื่องใหม่ที่กระทบไปทั่วทุกวงการโดยเฉพาะ IT และเหมือนวงการการป้องกันรักษาความปลอดภัยทางไซเบอร์จะถูกกระทบโดยตรง การเรียนรู้เพื่อให้ไม่โดนโจมตีคือประเด็นสำคัญ แล้วต้องเรียนรู้เรื่องใดบ้าง? เพื่อให้มั่นใจว่าสามารถใช้ AI เป็นผู้ช่วยในการเสิร์ช ได้อย่างปลอดภัย และต้องมีทักษะอะไรบ้าง?

การมาของ ChatGPT มาพร้อมความง่าย ฉลาดอย่างมหัศจรรย์ แต่ก็สร้างความกังวลได้ไม่น้อย เพราะผู้ไม่หวังดีก็กำลังหาโอกาสจากเครื่องมืออันแสนจะสะดวกและอยู่ในกระแสความนิยมในวงกว้างกันไปแล้วตอนนี้ เพราะ Microsoft เองยังออกมาประกาศว่าได้รวมเอา ChatGPT เข้ากับบริการค้นหาข้อมูลอย่าง Bing และด้วย GPT-4 เทคโนโลยีล่าสุดที่ร่วมด้วยช่วยกันผลักจนมียอดผู้เข้าใช้งานสูงถึง 100 ล้านรายต่อวัน ซึ่งนอกจากจะเป็นการติดปีก AI ให้เก่งฉกาจขึ้น มีทักษะดีขึ้น ใช้ตรรกได้ดียิ่งขึ้น แม่นยำขึ้นแล้ว ยังมีความสามารถมากขึ้น

แต่..ประเด็นนี้ กลับยิ่งสร้างความน่ากังวล ว่าวันใดวันหนึ่ง ผู้อยู่ในเงามืด อาจฉวยโอกาสหยิบจับความเก่งเหล่านี้มาโจมตีทางไซเบอร์ ที่อาจส่งผลรุนแรงกว่าเดิม!

หลังจาก ChatGPT เปิดตัวอย่างเป็นทางการเมื่อเดือนพฤศจิกายน 2022 ที่ผ่านมา มีรายงานว่าพบแฮกเกอร์ และผู้ไม่ประสงค์ดีจำนวนมากเริ่มกระโดดเข้าใส่เทคโนโลยีปัญญาประดิษฐ์ เพื่ออาศัยประโยชน์จากความอัจฉริยะของมัน เพิ่มความซับซ้อนยิ่งขึ้นให้กับชุดคำสั่งของอีเมลหลอกลวง

และนั่นคือการออกโรงเตือนครั้งแรกในขณะที่ระบบยังเป็นเวอร์ชั่นเดิม และยังไม่ฉลาดขั้นสุด แต่หลังจากที่ Open AI ได้สอนให้มันนั้นฉลาดมากยิ่งขึ้น ทำให้พบว่าตัวปัญญาประดิษฐ์สามารถทำข้อสอบเนติบัณฑิตโดยเพิ่มความถูกต้องจาก 10% พุ่งสูงเป็น 90% เป็นที่เรียบร้อย หรือจะเป็นความรู้ทางด้านการแพทย์ก็สามารถทำได้ตั้งแต่ 53%-75% ส่วนคะแนนรวมก็ทำได้สูงสุดถึง 80% และดูมีแนวโน้มว่าจะดีขึ้นเรื่อยๆ

นั่นหมายความว่า การทดสอบความรู้และเหตุผลส่วนใหญ่ AI ทำได้เก่งกว่ามนุษย์ไปแล้ว และทำได้รวดเร็วภายในพริบตา ที่สำคัญคือทุกคนบนโลกสามารถใช้งานได้ฟรี โดยสามารถใช้ทุกภาษาหลักๆ ที่ใช้กันอยู่ได้

Generative AI หรือปัญญาประดิษฐ์ที่ใช้ข้อมูลได้อย่างฉลาดล้ำ เข้ามาเปลี่ยนมนุษย์ธรรมดาให้กลายเป็น ยอดมนุษย์ และเมื่อนำไปใช้ร่วมกับระบบค้นหาข้อมูลแบบเรียลไทม์ด้วย จะยิ่งกลายเป็นอาวุธที่ทรงพลังสำหรับผู้ไม่หวังดี เพราะมันช่วยให้อาชญากรเชื่อมโยงปะติดปะต่อสิ่งต่างๆ จนได้รูปแบบที่นำมาใช้โจมตีได้

ซึ่งเสิร์ชเอนจิ้นธรรมดา ทำเรื่องนี้ไม่ได้ แต่องค์กรต่างๆ ก็สามารถใช้เครื่องมือที่ว่าทำสิ่งเหล่านี้ได้เช่นกัน อย่างระบบติดตามภัยคุกคาม แต่ด้วยการที่มีราคาค่าตัวมีราคาแพงและแน่นอนว่าไม่สามารถเข้าถึงตัวอาชญากรไซเบอร์ได้ในเวลาอันสั้น

Generative AI แบบเปิดเผยซอร์สโค๊ด

ปัจจุบัน อาชญากรไซเบอร์ สามารถตรวจสอบได้ว่าองค์กรธุรกิจที่เป็นเป้าหมายเลือกใช้เทคโนโลยีแบบใดบ้าง แค่เพียงค้นหารายชื่อของตำแหน่งงานและชื่อของอดีตพนักงานและสร้างความเชื่อมโยงเข้ากับข้อมูลที่ได้มา จากนั้นก็สามารถเริ่มสร้างข้อมูลชุดใหม่เพื่อให้ล่อลวงได้น่าเชื่อถือยิ่งขึ้น

วิธีการโจมตีแบบนี้ ถูกนำมามาใช้โดยนักโจมตีระบบทั่วไป โดยอาศัยเครื่องมือรุ่นใหม่ที่มี AI อยู่ในตัว ทำให้กระบวนการประมวลผลข้อมูลนั้นทำได้เร็วและมีประสิทธิภาพมากยิ่งขึ้น สามารถสร้างชุดข้อมูลที่ใช้ล่อลวงให้เหยื่อหลงเชื่อง่ายขึ้น มีผู้เชี่ยวชาญบางคนถึงกับออกปากว่า ChatGPT นั้นทำให้การโจมตีง่ายขึ้นมาก

ในความเป็นจริง ทุกวันนี้มีข้อมูลสาธารณะถูกเปิดเผยบนอินเทอร์เน็ตไม่เว้นแต่ละวัน เช่น OSINT Framework ที่แสดงแหล่งข้อมูลสาธารณะฟรีหลายร้อยรายการเกี่ยวกับบุคคล บริษัท ที่อยู่ IP และอื่นๆ อีกมากมาย ซึ่งข้อมูลเหล่านี้ล่องลอยอยู่บนโลกอินเทอร์เน็ตนานแล้ว หากคุณรู้จักแหล่งและวิธีการที่ได้มารวมถึงการนำไปใช้

ทุกวันนี้ข้อมูลของเป้าหมายกลับไม่ใช่ความท้าทายสำหรับแฮกเกอร์เท่าไหร่ แต่ความยากคือนำข้อมูลมาเรียงร้อยเพื่อหาประโยชน์ เช่น การเปลี่ยนข้อมูลที่เปิดเผยต่อสาธารณชนให้กลายเป็นอีเมลฟิชชิ่งที่น่าเชื่อถือ ในสไตล์การเขียนที่เหมาะสมและดึงดูด ทั้งนี้ การตอบสนองของ ChatGPT นั้นเหมือนมนุษย์อย่างมาก ทำให้สามารถสร้างการสนทนาที่น่าเชื่อถือกับเป้าหมายได้อย่างง่ายดาย และทำให้การหลอกลวงด้วยประเด็นทางจิตวิทยาสังคมนั้นง่ายขึ้น

แฮกเกอร์ มักนำ AI มาใช้เพื่อรวบรวมข้อมูลจากสาธารณะได้เร็วขึ้น หรือเก็บตกส่วนที่คนมักจะมองข้าม ทั้งนี้ ก็ขึ้นอยู่กับว่าจะนำมาใช้ในรูปแบบไหน นอกจากนี้ เครื่องมือที่มีให้ใช้งานได้ทั่วไปอย่าง ChatGPT, Bing Search หรือ Google Bard จะมีระบบป้องกัน เพื่อจำกัดการทำงานของแอพพลิเคชันอันตรายที่อาจซ่อนตัวอยู่ แต่ก็มีความเป็นไปได้ว่า ในอีกไม่นาน อาจจะมีการเปิดบริการเชิงพาณิชย์ให้สมัครสมาชิก ที่จะทำให้สามารถใช้งานฟิชชิงอัตโนมัติที่ปรับแต่งได้อย่างสมบูรณ์ด้วยการเข้ารหัสพิเศษในส่วนของผู้โจมตี การที่แฮกเกอร์สามารถใช้ระบบอัตโนมัติ ก็จะทำให้สามารถเข้าถึงกลุ่มเป้าหมายได้เยอะขึ้น

ความเสี่ยงจากการค้นด้วยภาษาปกติที่ใช้สื่อสาร

ในอดีตที่ผ่านมาการสั่งระบบให้ทำงานต้องอาศัยคำสั่งเฉพาะ เป็นชุดคำสั่งแบบ NMAP เพื่อสแกนการตั้งค่าระบบ แต่ปัจจุบัน AI ช่วยให้สามารถใช้ภาษาปกติในการสื่อสาร อย่างภาษาอังกฤษ เพื่อทำการตรวจสอบหาช่องโหว่ พร้อมดำเนินการเพื่อให้ตรวจจับได้ยากขึ้น

ความเสี่ยงจากการใช้ ระบบ Generative AI ในระดับองค์กร

หากแฮกเกอร์สามารถเข้าถึงระบบขององค์กรและเข้าถึงเสิร์ชเอนจิ้นที่ใช้ AI ได้ ก็จะยิ่งอันตรายมากขึ้น เพราะทำให้แฮกเกอร์เสิร์ชหาข้อมูลทั้งหมดได้ และได้ข้อมูลที่มีค่าไป ซึ่งก่อนหน้านี้ทำไม่ได้ โดยเฉพาะข้อมูลที่ไม่ได้จัดเก็บเป็นระบบ นอกจากนี้ ยังมีความเป็นไปได้ว่า แฮกเกอร์สามารถใช้เครื่องมือ ChatGPT เข้าถึงข้อมูลสำคัญขององค์กร เพราะพนักงานมีการแชร์ข้อมูลเหล่านี้ผ่าน AI  ซึ่งปัจจุบันมีหลายองค์กรที่ห้ามพนักงานใช้ ChatGPT ไม่ว่าจะเป็น JPMorgan, Amazon, Verizon, Accenture กระทั่ง Walmart ก็ตาม

Generative AI พลังที่ต้องได้รับการควบคุม

เครื่องมือค้นหาที่ขับเคลื่อนด้วย AI ที่ทำงานได้เก่งและรวดเร็ว อาจเป็นอันตรายเมื่อตกอยู่ในมือคนผิด ฉะนั้นควรมีการจัดตั้งหน่วยงานจากภาครัฐเพื่อกำกับดูแลให้มีการใช้เทคโนโลยี AI อย่างรับผิดชอบ เพราะเมื่อเทคโนโลยีดังกล่าวสามารถใช้งานในรูปโอเพ่นซอร์ส ก็จะยิ่งทำให้มีการใช้งานอย่างกว้างขวางและรวดเร็วในหมู่แฮกเกอร์

ลอยตัวอยู่เหนือปัญหาทั้งมวล

เทคโนโลยี AI นั้น มีพร้อมให้ใช้งานแล้วในปัจจุบัน แต่กฎระเบียบสำหรับผู้ทำความผิดอาจยังไม่ค่อยชัดเจน ดังนั้นองค์กรแต่ละแห่งควรเรียนรู้วิธีป้องกันตนเอง ประเด็นคือตอนนี้ การพัฒนา AI รุดหน้าไปอย่างรวดเร็ว ทำให้การป้องกันอาจจะยากพอๆ กับการเรียนรู้ให้ทันต่อการเปลี่ยนแปลงของเทคโนโลยี ทำให้หาวิธีการจัดการอย่างลงตัวได้ค่อนข้างยากเช่นกัน เรื่องนี้ แม้แต่นักวิเคราะห์เองก็ยังเดาทางการนำไปใช้งานของแฮกเกอร์ได้ค่อนข้างยาก ทำให้นักวิเคราะห์จาก Forrester ต้องออกมาแนะนำให้ทีมงานรักษาความปลอดภัยทางไซเบอร์ขององค์กร กำหนดบทบาทให้มีคนในทีมรับผิดชอบเรื่องนี้โดยเฉพาะ ด้วยการติดตามความเคลื่อนไหวอย่างใกล้ชิด ว่ามีประเด็นใดที่เกิดขึ้นและอาจส่งผลอย่างไรต่อองค์กรบ้าง

จะป้องกันได้ ต้องเริ่มที่การศึกษา

ทีมรักษาความปลอดภัยควรมีความรู้อย่างลึกซึ้งเกี่ยวกับ AI และต้องมั่นใจว่าเข้าใจเทคโนโลยีเหล่านี้เป็นอย่างดี เพื่อสามารถให้คำแนะนำที่เป็นประโยชน์สำหรับทีมผู้บริหาร

องค์กรที่นำระบบ AI มาปรับใช้ ควรต้องพัฒนาความเชี่ยวชาญในการปกป้อง AI จากการถูกโจมตีหรือวางยา นอกเหนือจากการเรียนรู้วิธีป้องกันการโจมตีที่ใช้ AI โดยทั่วไป บริษัทควรมีการวางแผนรับมือกับสถานการณ์ต่างๆ พร้อมสร้างระบบเตือนภัยล่วงหน้า

การศึกษาลักษณะนี้มีให้เห็นบ้างแล้ว แม้อาจจะยังไม่ใช่รูปแบบที่องค์กรคาดหวังก็ตาม ทั้งนี้ จากการสำรวจที่ Wakefield Research ได้เผยแพร่ไปเมื่อกลางเดือนมีนาคมในนามของ Devo Technology พบว่า 80% ของผู้เชี่ยวชาญด้านความปลอดภัยกำลังใช้เครื่องมือ AI ที่บริษัทของตนไม่ได้จัดหาให้

การสำรวจเดียวกันนี้ยังแสดงให้เห็นบางสิ่งที่น่าหนักใจโดย 99% ของผู้ตอบแบบสอบถามกล่าวว่าผู้ประสงค์ร้ายใช้ AI ได้ดีกว่าองค์กรของตน เนื่องจากมีความรู้เกี่ยวกับความก้าวหน้าของ AI มากกว่า และไม่สนใจเรื่องของจรรยาบรรณในการใช้ AI อีกทั้งยังใช้คล่องกว่า บวกกับมีประสบการณ์ในการใช้ AI มากกว่า รวมถึงพร้อมรับความเสี่ยงสูง

ในขณะเดียวกัน องค์กรด้านความปลอดภัยทางไซเบอร์ควรพิจารณาว่าทักษะด้านความปลอดภัยที่เกี่ยวข้องกับ AI ด้านไหนที่จำเป็นสำหรับอนาคต การมาของ AI ที่ทำงานได้เหมือนคนก็จะเป็นไปตามเส้นทางลักษณะเดียวกับที่มีการนำคลาวด์มาใช้งาน กว่าจะเรียนรู้ทักษะการรักษาความปลอดภัยบนคลาวด์ ก็ใช้เวลาพอสมควร ฉะนั้นการเรียนรู้ทักษะซะตั้งแต่ตอนนี้ ก็จะช่วยให้หลีกเลี่ยงความผิดพลาดที่อาจเกิดขึ้นในอนาคตได้เช่นกัน

แหล่งข้อมูลอ้างอิง : CSO Online

สำหรับท่านผู้อ่านที่ติดตาม ข่าวสาร และบทความเกี่ยวกับ นวัตกรรมต่างๆ สามารถอ่านข่าวสารและบทความเพิ่มเติมได้ ที่นี่