ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามความเคลื่อนไหวด้านเทคโนโลยีความมั่นคงปลอดภัยไซเบอร์ และพบรายงานว่า Microsoft และ Palo Alto Networks ได้นำปัญญาประดิษฐ์ (AI) และโมเดลภาษาขนาดใหญ่ (Large Language Models: LLMs) มาใช้สนับสนุนการตรวจสอบซอร์สโค้ดและผลิตภัณฑ์ของตนเอง เพื่อค้นหา ตรวจสอบ และจัดลำดับความสำคัญของช่องโหว่ก่อนที่จะถูกผู้ไม่หวังดีนำไปใช้โจมตี
1. รายละเอียดเหตุการณ์ [1]
Microsoft ได้พัฒนาระบบ MDASH (Multi-model Agentic Scanning Harness) ซึ่งเป็นระบบ AI สำหรับช่วยค้นหา ตรวจสอบ และพิสูจน์ความเป็นไปได้ของช่องโหว่ในโค้ดที่ซับซ้อน โดย Microsoft ระบุว่า MDASH สามารถตรวจพบช่องโหว่ 16 รายการ ที่ถูกแก้ไขใน Patch Tuesday ล่าสุด ครอบคลุมช่องโหว่ใน Windows networking และ authentication stack รวมถึงช่องโหว่ระดับ Critical บางรายการที่อาจนำไปสู่การรันโค้ดจากระยะไกลได้
ขณะเดียวกัน Palo Alto Networks ระบุว่าได้ใช้โมเดล AI ขั้นสูง เช่น Claude Mythos และโมเดล frontier AI อื่น ๆ เพื่อสแกนผลิตภัณฑ์มากกว่า 130 รายการ ครอบคลุมทั้งผลิตภัณฑ์แบบ SaaS-delivered และ customer-operated environments โดยผลการสแกนนำไปสู่การออก advisory 26 รายการ ครอบคลุม 26 CVEs หรือ 75 issues ซึ่งบริษัทระบุว่ายังไม่พบการถูกใช้โจมตีจริงในขณะเผยแพร่รายงาน
2. ประสิทธิภาพของการใช้ AI ตรวจสอบช่องโหว่
2.1 Microsoft ระบุว่า MDASH ใช้โครงสร้างแบบ multi-model และ agentic pipeline โดยมีขั้นตอนตั้งแต่การเตรียมข้อมูล การสแกน การตรวจสอบความถูกต้อง การจัดกลุ่มช่องโหว่ที่ซ้ำกัน ไปจนถึงการพิสูจน์ว่า bug สามารถถูก trigger ได้จริง
2.2 Microsoft ระบุว่า MDASH ตรวจพบช่องโหว่ 16 รายการใน Patch Tuesday ล่าสุด และมีบางรายการเป็นช่องโหว่ระดับ Critical ที่เกี่ยวข้องกับ Windows networking และ authentication stack
2.3 Palo Alto Networks ระบุว่า AI ช่วยให้สามารถสแกนผลิตภัณฑ์ได้ในวงกว้าง โดยครอบคลุมมากกว่า 130 ผลิตภัณฑ์ และเป็นครั้งแรกที่ช่องโหว่ส่วนใหญ่ใน advisory รอบเดือนดังกล่าวมาจากการสแกนด้วย frontier AI models
2.4 อย่างไรก็ตาม การใช้ AI ตรวจสอบช่องโหว่ยังต้องอาศัยการออกแบบระบบสแกน การให้บริบทที่เหมาะสม การตรวจสอบผลลัพธ์โดยผู้เชี่ยวชาญ และกระบวนการคัดกรองเพื่อลดผลบวกเทียม หรือ False Positives
3. ผลกระทบ
3.1 แนวโน้มการค้นพบช่องโหว่อาจเพิ่มขึ้น เนื่องจาก AI สามารถช่วยเร่งการตรวจสอบโค้ดและระบบที่ซับซ้อนได้
3.2 ผู้โจมตีอาจนำเทคโนโลยีลักษณะเดียวกันไปใช้เพื่อค้นหาช่องโหว่ในซอฟต์แวร์ อุปกรณ์ หรือบริการที่ยังไม่ได้รับการแพตช์
3.3 ระบบที่มีช่องโหว่และเปิดให้เข้าถึงจากอินเทอร์เน็ต อาจมีความเสี่ยงสูง หากไม่มีการจัดการ attack surface และ patch management อย่างเหมาะสม
3.4 ทีมพัฒนาและทีมความมั่นคงปลอดภัยควรปรับกระบวนการ Secure SDLC ให้รองรับการตรวจสอบโค้ดด้วย AI ควบคู่กับการตรวจสอบโดยผู้เชี่ยวชาญ
3.5 หน่วยงานที่มีระบบ legacy หรือระบบที่มี dependency จาก third-party/open-source ควรให้ความสำคัญกับการจัดทำ inventory และการติดตามช่องโหว่อย่างต่อเนื่อง
4. ผลิตภัณฑ์และระบบที่เกี่ยวข้อง
4.1 ผลิตภัณฑ์ Microsoft ที่เกี่ยวข้องกับช่องโหว่ใน Patch Tuesday ล่าสุด โดยเฉพาะส่วนประกอบของ Windows networking และ authentication stack เช่น Windows TCP/IP, IKEv2 และส่วนประกอบอื่นที่เกี่ยวข้อง
4.2 ผลิตภัณฑ์ของ Palo Alto Networks มากกว่า 130 รายการ ทั้งในกลุ่ม SaaS-delivered products และ customer-operated products โดยบริษัทระบุว่าได้ออกแพตช์สำหรับช่องโหว่สำคัญในบริการ SaaS แล้ว และผลิตภัณฑ์ที่ลูกค้าติดตั้งใช้งานเองมีแพตช์ให้ใช้งานแล้ว
4.3 ระบบ ซอฟต์แวร์ แอปพลิเคชัน และโค้ดภายในองค์กรที่ยังไม่ได้ผ่านกระบวนการตรวจสอบช่องโหว่อย่างต่อเนื่อง โดยเฉพาะระบบที่เปิดให้เข้าถึงจากภายนอกหรือเกี่ยวข้องกับข้อมูลสำคัญ
5. แนวทางการปรับตัวและป้องกัน
5.1 ติดตามและติดตั้งแพตช์จากผู้ผลิตอย่างต่อเนื่อง โดยเฉพาะ Microsoft Patch Tuesday และ Palo Alto Networks Security Advisories ที่เกี่ยวข้องกับผลิตภัณฑ์ที่ใช้งานอยู่
5.2 จัดทำ inventory ของซอฟต์แวร์ ระบบ แอปพลิเคชัน และ dependency ที่ใช้งานในองค์กร เพื่อประเมินว่ามีผลิตภัณฑ์หรือเวอร์ชันที่ได้รับผลกระทบหรือไม่
5.3 เร่งประเมินและลด attack surface โดยเฉพาะระบบที่เปิดให้เข้าถึงจากอินเทอร์เน็ต ระบบ remote access ระบบ VPN และบริการที่มีความสำคัญสูง
5.4 นำกระบวนการ Secure SDLC มาใช้จริง เช่น secure code review, static/dynamic analysis, dependency scanning, threat modeling และการทดสอบก่อนนำขึ้น production
5.5 พิจารณาใช้ AI-assisted security testing หรือเครื่องมือสแกนช่องโหว่ที่มีการตรวจสอบผลลัพธ์โดยผู้เชี่ยวชาญ เพื่อลด False Positives และหลีกเลี่ยงการพึ่งพา AI โดยไม่มีการยืนยันผล
5.6 ตรวจสอบ third-party libraries และ open-source components อย่างสม่ำเสมอ พร้อมกำหนดแนวทาง patching หรือ mitigation เมื่อพบช่องโหว่
5.7 เสริมมาตรการป้องกันแบบหลายชั้น เช่น Zero Trust, network segmentation, endpoint protection, XDR/EDR, application control และ centralized logging
5.8 ยกระดับความสามารถของ SOC ให้สามารถตรวจจับและตอบสนองเหตุการณ์ได้รวดเร็วขึ้น เนื่องจากแนวโน้มการโจมตีด้วย AI อาจทำให้วงจรการโจมตีสั้นลง
แหล่งอ้างอิง