Model Security Is the Wrong Frame – The Real Risk Is Workflow Security

ข่าวนี้เน้นย้ำว่าความเสี่ยงด้านความปลอดภัยของ AI กำลังเปลี่ยนจากการปกป้องตัวโมเดล AI ไปสู่การปกป้อง “เวิร์กโฟลว์” (Workflow) ที่อยู่รอบๆ โมเดลเหล่านั้น เหตุการณ์ล่าสุด เช่น ส่วนเสริม Chrome ที่เป็นอันตรายขโมยข้อมูลแชทจากผู้ใช้กว่า 900,000 ราย และการใช้ Prompt Injection เพื่อหลอก AI Coding Assistant ของ IBM ให้รันมัลแวร์ แสดงให้เห็นว่าการโจมตีไม่ได้ทำลายอัลกอริทึม AI โดยตรง แต่เป็นการใช้ประโยชน์จากบริบทและจุดเชื่อมต่อที่ AI ทำงานอยู่ ซึ่งทำให้การควบคุมความปลอดภัยแบบดั้งเดิมล้มเหลว เนื่องจาก AI ตัดสินใจโดยอาศัยความน่าจะเป็นและเชื่อมโยงกับแอปพลิเคชันต่างๆ อย่างต่อเนื่อง ดังนั้น การรักษาความปลอดภัยของ AI จึงต้องพิจารณาเวิร์กโฟลว์ทั้งหมดที่ AI เกี่ยวข้องด้วย

Severity: สูง

System Impact:

• ส่วนเสริม Chrome
• ChatGPT
• DeepSeek
• AI Coding Assistant ของ IBM
• Code Repositories (แหล่งเก็บโค้ด)
• SharePoint
• CRM (Customer Relationship Management)
• Microsoft 365 Copilot
• แอปพลิเคชัน SaaS

Technical Attack Steps:

1. ผู้โจมตีสร้างส่วนเสริม Chrome ที่แอบอ้างเป็นผู้ช่วย AI
2. ผู้ใช้ติดตั้งส่วนเสริมเหล่านี้ ซึ่งให้สิทธิ์การเข้าถึงข้อมูลเบราว์เซอร์
3. ส่วนเสริมจะดักจับและขโมยข้อมูลการแชทที่ละเอียดอ่อนจากแพลตฟอร์ม AI เช่น ChatGPT และ DeepSeek
4. ผู้โจมตีซ่อน Prompt Injection ที่เป็นอันตรายไว้ในเนื้อหาที่ดูเหมือนถูกต้องตามกฎหมาย (เช่น ในคลังโค้ด)
5. AI Coding Assistant ประมวลผลเนื้อหานี้
6. Prompt ที่ถูกฉีดเข้าไปจะหลอก AI ให้ดำเนินการที่ไม่ตั้งใจ เช่น การรันมัลแวร์บนเครื่องของนักพัฒนา

Recommendations:

Short Term:

• ตรวจสอบและทำความเข้าใจว่า AI ถูกใช้งานที่ใดบ้างในองค์กร ทั้งเครื่องมือทางการและส่วนเสริมของเบราว์เซอร์ที่พนักงานอาจติดตั้งเอง
• จำกัดขีดความสามารถของ AI agent ให้เหมาะสมกับหน้าที่ (เช่น หากมีไว้เพื่อสรุปภายในองค์กรเท่านั้น ก็ไม่ควรให้ส่งอีเมลภายนอกได้)
• สแกนข้อมูลขาออกเพื่อหาข้อมูลที่ละเอียดอ่อนก่อนออกจากสภาพแวดล้อมของคุณ
• ให้ความรู้แก่ผู้ใช้เกี่ยวกับความเสี่ยงของส่วนเสริมเบราว์เซอร์ที่ไม่ได้รับการตรวจสอบ หรือการคัดลอกพรอมต์จากแหล่งที่ไม่รู้จัก
• ตรวจสอบปลั๊กอินบุคคลที่สามอย่างละเอียดก่อนนำไปใช้งาน และถือว่าเครื่องมือใดๆ ที่แตะต้องอินพุตหรือเอาต์พุตของ AI เป็นส่วนหนึ่งของขอบเขตความปลอดภัย

Long Term:

• ใช้แพลตฟอร์มความปลอดภัย SaaS แบบไดนามิก (เช่น Reco) เพื่อให้สามารถมองเห็นการใช้งาน AI ทั่วทั้งองค์กรได้แบบเรียลไทม์
• บังคับใช้มาตรการป้องกัน (guardrails) ในระดับเวิร์กโฟลว์ เพื่อควบคุมการทำงานของ AI
• ปฏิบัติต่อ AI agents เหมือนผู้ใช้หรือบริการอื่นๆ โดยให้สิทธิ์การเข้าถึงขั้นต่ำที่จำเป็น (Least Privilege) และจำกัดขอบเขตของ OAuth token
• ติดตามความผิดปกติ (anomalies) เช่น AI พยายามเข้าถึงข้อมูลที่ไม่เคยเข้าถึงมาก่อน
• รักษาการควบคุมความปลอดภัยโดยไม่ทำให้ธุรกิจช้าลง

Source: https://thehackernews.com/2026/01/model-security-is-wrong-frame-real-risk.html