นักวิจัยเผย Lovable AI เปิดข่องโหว่ให้แฮกเกอร์ทั้งใหม่เก่า สร้างเพจ Scam ได้อย่างง่ายดายด้วยฝีมือ AI
ด้วยการพัฒนาอันก้าวล้ำของเทคโนโลยีปัญญาประดิษฐ์ หรือ AI ในปัจจุบันนั้น นอกจากจะถูกนำไปใช้ในเชิงบวกแล้ว เหล่าแฮกเกอร์ และมิจฉาชีพกลุ่มต่าง ๆ นั้นก็ได้มีการนำเอา AI มาใช้กันอย่างเป็นล่ำเป็นสัน ซึ่งถึงแม้ผู้ให้บริการจะมีระบบป้องกันพื้นฐานไม่ให้ถูกนำไปใช้ในทางที่ผิดก็ตาม ก็ยังสามารถถูกลัดเลาะเลี่ยงการป้องกันนั้นกันจนได้
จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบความสามารถของ AI ประเภทโมเดลภาษาขนาดใหญ่ หรือ LLM (Large Language Model) ที่มีชื่อว่า Lovable AI ซึ่งการค้นพบดังกล่าวนั้นเป็นผลงานของนักวิจัยจาก Guardio Labs บริษัทผู้เชี่ยวชาญด้านการจัดการภัยไซเบอร์ โดยทีมนักวิจัยได้ระบุว่า AI ตัวดังกล่าวเรียกได้ว่าเป็นเครื่องมือในอุดมคติสำหรับผู้ไม่ประสงค์ดีในการสร้างเว็บไซต์ปลอม เนื่องจากความสามารถของตัวมันเองที่สามารถสร้างแอปพลิเคชันเว็บไซต์ (Web Application) ได้อย่างครบวงจร (Full Stack) ด้วยวิธีการง่าย ๆ ด้วยการป้อนคำสั่ง (Prompt) ในรูปแบบตัวอักษร รวมทั้งมีความอ่อนไหวในการถูก Jailbreak เพื่อใช้งานในสิ่งที่ตัว AI ห้ามทำได้ง่ายกว่าคู่แข่งอย่าง ChatGPT ทำให้แฮกเกอร์สามารถนำเอาไปใช้สร้าง Web App บนหน้าเพจปลอมเพื่อหลอกขโมยรหัสผ่านจากเหยื่อได้อย่างง่ายดาย
โดยวิธีการใช้งาน AI เพื่อสร้าง Web App อย่างง่าย ๆ นั้นถูกตั้งชื่อว่า VibeScamming ด้วยการสั่ง AI ให้เขียนโค้ด (Vibe Coding) ผ่านทางการป้อนคำสั่ง (Prompt) อย่างง่าย ๆ ให้ AI สร้างรูปแบบการหลอกลวงแต่ละขั้นตอนขึ้นมาอย่างอัตโนมัติ จนกว่า AI นั้นจะเรียนรู้ และมีประสิทธิภาพมากเพียงพอ (Level Up) ที่สามารถสร้างเครื่องมือหลอกลวงที่แนบเนียนได้ หลังจากนั้นจึงค่อยนำเอาผลงานดิบ (Raw Products) อย่าง เช่น ความเหมือนระหว่างเพจจริง และเพจปลอม, การออกแบบโครงสร้างพื้นฐานของเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) และการออกแบบเครื่องมือให้หลบเลี่ยงการตรวจจับจากระบบป้องกันการหลอกลวง เป็นต้น มาสร้างเป็นเพจหลอกลวงต่าง ๆ ที่มีประสิทธิภาพ และความแนบเนียนสูง เช่น หน้าล็อกอินปลอมที่เลียนแบบหน้าล็อกอินของไมโครซอฟท์ แต่ถูกฝากไว้บนโดเมนย่อย (Sub-Domain) ของตัว AI เอง อย่างเช่น *.lovable.app" และหลังจากที่หลอกลวงขอรหัสได้สำเร็จ หน้าเพจดังกล่าวจะถูกเปลี่ยนที่หมาย (Redirect) ไปยังเว็บไซต์จริง (office[.]com) เพื่อสร้างความแนบเนียนในการหลอกลวงเหยื่อ เป็นต้น
ซึ่งเมื่อทางทีมวิจัยได้ทำการเปรียบเทียบกับคู่แข่งอื่น ๆ ไม่ว่าจะเป็น ChatGPT หรือ Claude นั้น โดยถึงแม้ AI ทั้งสองตัวจะเคยถูกแฮกเกอร์นำเอาไปใช้งานเพื่อสร้างคอนเทนต์ที่เป็นอันตรายต่าง ๆ ตั้งแต่เพจปลอม แอปปลอม และมัลแวร์ก็ตาม ผลออกมาพบว่า ChatGPT นั้นถึงแม้จะมีประสิทธิภาพในการทำงานที่สูงสุด เรียกได้ว่าเหนือกว่า Lovable ที่เป็นกรณีบนข่าวหน้าอยู่หลายช่วงตัว แต่มีคะแนนความปลอดภัยที่สูงมากที่สุดถึง 8.0 เรียกได้ว่าแฮกเกอร์จะต้องมีเทคนิคการแหกคุก หรือ Jailbreak ในระดับสูงเพื่อใช้งานฟีเจอร์ในเชิงลบต่าง ๆ ขณะที่ Lovable กลับมีคะแนนที่ต่ำมาก เพียง 1.8 เท่านั้น ทำให้แฮกเกอร์แม้จะเป็นมือใหม่ก็สามารถใช้งาน AI ในการสร้างคอนเทนต์อันตรายได้ง่าย ขณะที่ Clude อยู่กลาง ๆ ที่ 4.8 โดยทีมวิจัยให้ความเห็นว่า แม้จะรับมือได้ดีในระดับหนึ่ง แต่ก็ไม่ได้เพียงพอ และถือว่าการป้องกันการถูกนำไปใช้ในเชิงลบทำได้ไม่ค่อยดีนัก
ในขณะเดียวกันนี้เอง ทางทีมวิจัยยังได้มีการกล่าวถึง DeepSeek และ Google Gemini ซึ่งเป็นคู่แข่งในวงการเดียวกันว่า ก็ได้ถูกแฮกเกอร์นำมาใช้สร้างคอนเทนต์อันตรายและนำมาช่วยเหลือในการทำกิจกรรมการก่อการร้ายทางไซเบอร์เช่นเดียวกัน แต่ก็ไม่ได้ลงรายละเอียดในเชิงลึกแต่อย่างใด
➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv