
เครื่องมือเขียนโค้ด AI อัตโนมัติ (Agentic coding tool) ที่ถูกสั่งให้ไปคัดลอกไฟล์ และตั้งค่าโปรเจกต์จากคลัง GitHub ที่ดูภายนอกปกติดี อาจจะแอบรันโค้ดอันตรายโดยที่ระบบสแกนมัลแวร์ของตัว AI เอง หรือแม้แต่มนุษย์ก็ตรวจจับไม่ได้เลย
ทีมวิจัยจาก 0DIN ซึ่งเป็นแพลตฟอร์มความปลอดภัย AI ของ Mozilla ระบุว่า ความเสียหายนี้เกิดขึ้นโดย "ไม่มีโค้ดเจาะระบบ ไม่มีสัญญาณเตือน และไม่มีคำสั่งแปลกปลอมใด ๆ ที่ต้องรอให้กดอนุมัติ"
พวกเขาได้สาธิตวิธีที่แฮ็กเกอร์สามารถแอบเปิดช่องทางควบคุมเครื่อง (interactive shell) ของนักพัฒนาได้อย่างไร โดยอาศัยให้ Claude Code รันโปรเจกต์ที่ดาวน์โหลดมา ทั้งที่ใน repository นั้นไม่มีโค้ดอันตรายอยู่เลย
แผนการโจมตีรูปแบบใหม่นี้แบ่งออกเป็น 3 ส่วน ซึ่งถ้าดูแยกกันจะไม่พบพิรุธ หรืออันตรายใด ๆ ทั้งสิ้น:
- Repository บน GitHub ที่ดูปลอดภัยดี พร้อมคู่มือติดตั้งมาตรฐาน เช่น การสั่งติดตั้ง dependencies และการ initialize ระบบ (เช่น pip3 install -r requirements.txt, python3 -m axiom init)
- ตัวระบบ Python ตั้งใจเขียนมาให้รันไม่ได้จนกว่าจะ initialize ระบบเสร็จสิ้น โดยจะแกล้งฟ้อง error เพื่อสั่งให้รันคำสั่ง python3 -m axiom init ซึ่งตัว Claude Code จะมองว่าเป็นปัญหาการติดตั้งทั่วไป และสั่งรันคำสั่งนั้นให้เองอัตโนมัติเพื่อแก้ปัญหา
- เมื่อคำสั่ง python3 -m axiom init ทำงาน มันจะเรียกสคริปต์ไปดึงค่าคำสั่งอันตรายที่แฮ็กเกอร์แอบซ่อนไว้ใน DNS TXT record มารันในเครื่องทันที
ทีม 0DIN อธิบายว่า วิธีนี้แฮ็กเกอร์ไม่ต้องใส่ไฟล์อันตรายไว้ใน GitHub เลย และตัว AI จะเป็นคนรันแผนการโจมตีให้จนจบโดยอัตโนมัติ แถมยังเนียนเหมือนความผิดพลาดธรรมดาที่เกิดขึ้นบ่อย ๆ
หากโจมตีสำเร็จ แฮ็กเกอร์จะยึดสิทธิ์ควบคุมเครื่องได้เท่ากับตัวโปรแกรมเมอร์รายนั้นทันที ทำให้เข้าถึง API keys, environment variables, ไฟล์ตั้งค่า และแอบแฝงตัวอยู่ในเครื่องได้ถาวร
ทีม 0DIN ระบุว่า “Claude Code ไม่ได้แอบเปิดช่องโหว่เอง แต่มันแค่พยายามแก้ Error โดยไม่รู้ว่าโดนหลอกถึง 3 ต่อ เริ่มจากข้อความเตือนที่ดูน่าเชื่อถือ นำไปสู่สคริปต์ที่แอบสั่งรันคำสั่งเบื้องหลัง และจบด้วยรหัสสั่งการของแฮ็กเกอร์ที่ตัว AI ไม่มีทางมองเห็น”
“ตอนนี้แฮ็กเกอร์สามารถควบคุมเครื่องได้ในฐานะของตัวนักพัฒนาเองแล้ว”
แม้ตอนนี้เรื่องดังกล่าวจะเป็นเพียงแนวคิดทางทฤษฎี แต่ 0DIN ก็เตือนว่ากลุ่มแฮ็กเกอร์อาจนำวิธีนี้ไปใช้หลอกแจกโค้ดผ่านการประกาศรับสมัครงานปลอม, บทความสอนเขียนโค้ด, บล็อก หรือส่งข้อความคุยโดยตรงได้ง่าย ๆ
เพื่อป้องกันปัญหานี้ 0DIN แนะนำว่าควรให้ AI agents ต้องแสดงขั้นตอนการทำงานทั้งหมดของคำสั่งตั้งค่าให้เห็นอย่างชัดเจน รวมถึงพวกสคริปต์ และโค้ดต่าง ๆ ที่ไปดึงมาจากอินเทอร์เน็ตระหว่างทำงานด้วย
ที่มา : Bleepingcomputer

You must be logged in to post a comment.