90/69 (IT) ประจำวันศุกร์ที่ 13 กุมภาพันธ์ 2569
Google Threat Intelligence Group (GTIG) เปิดเผยรายงานพบกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐ (State-backed Hackers) และกลุ่มภัยคุกคามขั้นสูง (APT Groups) หลายกลุ่ม เริ่มนำโมเดล Google Gemini ไปประยุกต์ใช้ในการโจมตีทางไซเบอร์หลายขั้นตอน ตั้งแต่การลาดตระเวนหาข้อมูล (Reconnaissance) การสร้างเนื้อหาฟิชชิงและวิศวกรรมสังคม การเขียนและแก้ไขโค้ด และทดสอบช่องโหว่ของเป้าหมาย โดยพบพฤติกรรมของกลุ่มผู้โจมตีใช้ AI ช่วยวิเคราะห์เทคนิค เช่น Remote Code Execution (RCE) และ SQL Injection รวมถึงใช้เป็นเครื่องมือช่วยตรวจสอบความผิดพลาดของโค้ด (Debugging) เพื่อเร่งกระบวนการพัฒนามัลแวร์ให้รวดเร็วยิ่งขึ้น
อาชญากรไซเบอร์เริ่มผนวกความสามารถของ AI เข้ากับเครื่องมือโจมตีอย่างเป็นรูปธรรม เช่น การพบมัลแวร์ “HonestCue” ซึ่งเป็นเฟรมเวิร์กที่ใช้ Gemini API ในการสร้างโค้ดภาษา C# เพื่อรัน Payload ในหน่วยความจำ และชุดเครื่องมือฟิชชิง “CoinBait” ที่ปลอมเป็นเว็บเทรดสินทรัพย์ดิจิทัล ซึ่งมีร่องรอยการพัฒนาโดยใช้แพลตฟอร์ม AI ช่วยเขียนโค้ด นอกจากนี้ยังพบแคมเปญ ClickFix ที่ใช้ AI สร้างโฆษณาอันตรายในผลการค้นหาเพื่อหลอกให้ผู้ใช้งานรันคำสั่งติดตั้งมัลแวร์ขโมยข้อมูลบนระบบปฏิบัติการ macOS
นอกจากการนำ AI ไปใช้เป็นเครื่องมือสนับสนุนการโจมตีแล้ว โมเดล Gemini เองยังตกเป็นเป้าหมายของการโจมตีในรูปแบบ “Model Extraction” และ “Knowledge Distillation” โดยผู้ไม่หวังดีใช้วิธีส่งคำสั่งจำนวนมาก เพื่อเรียนรู้และเลียนแบบกระบวนการตัดสินใจของ Gemini นำไปสร้างเป็นโมเดลของตนเองด้วยต้นทุนที่ต่ำกว่า Google ระบุว่าเป็นการละเมิดทรัพย์สินทางปัญญาและส่งผลกระทบต่อโมเดลธุรกิจ AI-as-a-service โดยปัจจุบัน Google ได้ระงับบัญชีที่เกี่ยวข้องและปรับปรุงระบบป้องกันเพื่อสกัดกั้นการกระทำดังกล่าวแล้ว
