เมื่อเร็ว ๆ นี้ ทีมวิจัยด้านความปลอดภัยของ AI ที่เน้นด้านความปลอดภัยของตัวแทน AI อย่าง sequrity.ai ได้ทำการทดสอบหุ่นยนต์ OpenClaw และเกิดเหตุการณ์ “แฮกเกอร์ตัวเอง” ที่ไม่คาดคิดขึ้นเพียงแค่ป้อนคำสั่งธรรมดาในชีวิตประจำวัน…
(เรื่องราวก่อนหน้า: อย่าเดินตามกระแส OpenClaw อย่างไม่คิด เขาแมลงปอ AI เก่ง แต่ไม่จำเป็นต้องเหมาะกับคุณเสมอไป)
(ข้อมูลเพิ่มเติม: พูดคำว่า Bitcoin ก็ถูกแบน: เรื่องราวความแตกแยกระหว่างหอยแมลงภู่ OpenClaw กับคริปโตเคอเรนซี)
สารบัญบทความ
Toggle
- นักความปลอดภัยก็โดนด้วย: เหตุการณ์ “แฮกเกอร์ตัวเอง” ที่ไม่คาดคิด
- เครื่องหมายคำพูดที่เป็นอันตราย: AI ทำอย่างไรโดยไม่ตั้งใจรั่วข้อมูลลับสุดยอด
- แฮกเกอร์ใช้ช่องโหว่เข้าโจมตีและการจัดการภายหลัง
- ความท้าทายด้านความปลอดภัยของ AI ระยะยาว: การรับผิดชอบกลายเป็นปัญหา
ด้วยความแพร่หลายของเทคโนโลยีปัญญาประดิษฐ์ (AI) ตัวแทน AI (AI Agent) ได้แสดงความสามารถอันแข็งแกร่งในการช่วยนักพัฒนาจัดการงานประจำวัน อย่างไรก็ตาม เทคโนโลยีนี้ก็ได้นำมาซึ่งความเสี่ยงด้านความปลอดภัยในระดับที่ไม่เคยมีมาก่อน เมื่อไม่นานมานี้ นักพัฒนาจากทีมความปลอดภัยข้อมูล AI ชื่อดัง ได้ทำการทดสอบหุ่นยนต์ AI ที่ได้รับความนิยมอย่าง OpenClaw และเกิดเหตุการณ์ “แฮกเกอร์ตัวเอง” ขึ้นโดยไม่คาดคิด เนื่องจากความผิดพลาดทางไวยากรณ์เล็กน้อยในโมเดล AI ทำให้คีย์ลับทั้งหมดในสภาพแวดล้อมการทดสอบถูกเผยแพร่บน GitHub ซึ่งในที่สุดก็ทำให้เซิร์ฟเวอร์ถูกโจมตีและควบคุมโดยผู้ไม่หวังดี
นักความปลอดภัยก็โดนด้วย: เหตุการณ์ “แฮกเกอร์ตัวเอง” ที่ไม่คาดคิด
เหตุกาณ์นี้ไม่ได้เกิดขึ้นกับผู้ใช้ทั่วไปที่ขาดความรู้ด้านเทคนิค แต่เป็นกับนักวิจัยด้านความปลอดภัยและนักพัฒนาจากบริษัท “sequrity.ai” ซึ่งเชี่ยวชาญด้านเครื่องมือความปลอดภัยของตัวแทน AI อย่าง Aaron Zhao และทีมงานของเขา ในฐานะผู้เชี่ยวชาญในวงการ พวกเขามีความมั่นใจในความสามารถในการป้องกันของตนเอง และเพิ่งเผยแพร่บทความเกี่ยวกับวิธีโจมตีหุ่นยนต์ OpenClaw ไปไม่นานมานี้
ทีมวิจัยกำลังทำการทดสอบในสภาพแวดล้อม sandbox ที่ไม่มีการตั้งค่าการโจมตีแบบ malicious ใด ๆ เพียงแค่สั่งให้หุ่นยนต์ OpenClaw ทำภารกิจประจำวันอย่างง่าย เช่น “ค้นหาแนวทางปฏิบัติที่ดีที่สุดสำหรับ Python async แล้วสร้าง GitHub Issue สรุปผลการค้นพบ” แต่คำสั่งธรรมดานี้กลับกลายเป็นชนวนเหตุให้ระบบล่มสลาย
เครื่องหมายคำพูดที่เป็นอันตราย: AI ทำอย่างไรโดยไม่ตั้งใจรั่วข้อมูลลับสุดยอด
สาเหตุของปัญหาอยู่ที่ตอนที่ OpenClaw เรียกใช้เครื่องมือ “exec” ในการสร้าง GitHub Issue มันได้สร้างสคริปต์ Shell ที่มีข้อผิดพลาดขึ้นมา
ในระบบ Bash หากข้อความถูกล้อมรอบด้วย "เครื่องหมายคำพูดคู่ (”…”)” ระบบจะมองว่าข้อความภายในเป็น “การแทนที่คำสั่ง (Command substitution)” ซึ่งจะดำเนินการคำสั่งภายในเครื่องหมายกลับมาก่อน แล้วแทนที่ผลลัพธ์ลงในข้อความนั้น ๆ หากใช้ ‘เครื่องหมายคำพูดเดี่ยว (’…‘)’ ข้อความจะถูกมองว่าเป็นข้อความธรรมดา
ในขณะนั้น ข้อความที่ OpenClaw สร้างขึ้นมีเนื้อหาเช่น “…เก็บไว้ใน \set\ …” และใช้เครื่องหมายคำพูดคู่ ซึ่งในไวยากรณ์ Bash คำสั่ง set เป็นคำสั่งภายใน (built-in) ที่เมื่อรันโดยไม่มีอาร์กิวเมนต์ใด ๆ จะแสดงตัวแปรสิ่งแวดล้อมและฟังก์ชันทั้งหมดในปัจจุบัน
ดังนั้น ระบบไม่ได้มองว่า set เป็นคำธรรมดา แต่กลับสั่งให้รันคำสั่งนี้โดยตรง ซึ่งทำให้ข้อมูลลับ เช่น โทเคนการอนุญาต (Auth tokens) และตัวแปรสิ่งแวดล้อมจำนวนกว่า 100 บรรทัด ถูกดึงออกมาและแสดงเป็นข้อความธรรมดา แล้วถูกโพสต์ลงบน GitHub Issue สาธารณะ ทำให้ทุกคนสามารถเห็นข้อมูลเหล่านั้นได้
แฮกเกอร์ใช้ช่องโหว่เข้าโจมตีและการจัดการภายหลัง
ผลของการรั่วไหลของข้อมูลลับนี้เกิดขึ้นอย่างรวดเร็ว ข้อมูลในตัวแปรสิ่งแวดล้อมที่เปิดเผยออกมารวมถึงคีย์ Telegram ของทีมพัฒนาและสิทธิ์การเข้าถึงสำคัญอื่น ๆ ในไม่ช้า ก็มีแฮกเกอร์จาก IP อินเดีย ใช้ข้อมูลเหล่านี้เชื่อมต่อผ่าน SSH เข้าควบคุมเซิร์ฟเวอร์ sandbox อย่างสมบูรณ์
โชคดีที่กลไกความปลอดภัยของ OpenAI และ Google ตรวจจับคีย์รั่วไหลบน GitHub ได้โดยอัตโนมัติ และแจ้งเตือนทีมวิจัยทันที ซึ่งทำให้ทีมสามารถดำเนินการตรวจสอบอย่างละเอียดและค้นหาสาเหตุหลัก พร้อมทั้งระบุผู้โจมตี และทำการลบข้อมูลทั้งหมดในเซิร์ฟเวอร์อย่างเร่งด่วน รวมถึงเพิกถอนคีย์ที่รั่วไหลไปแล้ว
ความท้าทายด้านความปลอดภัยของ AI ระยะยาว: การรับผิดชอบกลายเป็นปัญหา
เหตุการณ์นี้ทำให้นักความปลอดภัยเข้าใจลึกซึ้งถึงความซับซ้อนของความปลอดภัยใน AI ทีมวิจัยแสดงความเห็นในบทความว่า พวกเขาเพียงแค่สั่งคำสั่งที่ดีงาม แต่กลับถูก AI เข้าใจผิดในวิธีการทำงานของ Bash จนทำให้ระบบถูกโจมตี
คำถามคือ นี่เป็นความรับผิดชอบของผู้ใช้ ความบกพร่องของโมเดล AI หรือเป็นช่องโหว่ในการออกแบบหุ่นยนต์ OpenClaw? ทีมงานยอมรับว่า “เราไม่แน่ใจจริง ๆ” พวกเขาย้ำว่า ความปลอดภัยของ AI ในปัจจุบันกลายเป็น “ปัญหาในระยะยาว” ที่มีโมเดลความล้มเหลว (Failure modes) มากมายที่ยากจะคาดการณ์และแก้ไขได้ เมื่อ AI ตัวแทนได้รับสิทธิ์ในการควบคุมระบบมากขึ้น การรับประกันว่ามันจะไม่เกิดความผิดพลาดเล็กน้อยที่นำไปสู่ภัยคุกคามร้ายแรงด้านความปลอดภัยในอนาคต จึงเป็นความท้าทายที่วงการเทคโนโลยีต้องเผชิญอย่างจริงจัง
