ปัจจุบัน ChatGPT ได้รับความสนใจจากผู้ใช้งานเป็นวงกว้างและคาดว่าจะเพิ่มสูงขึ้นเรื่อย ๆ ซึ่งจุดนี้เองนี้ที่ทำให้เหล่าบรรดาแฮ็กเกอร์มองเห็นโอกาสและช่องโหว่ในการบุกเข้าโจมตีเหยื่อ
ในวันนี้ผมจะขออธิบายเพื่อให้ท่านผู้อ่านได้เข้าใจถึงภัยคุกคามรูปแบบใหม่นี้เพื่อเป็นการตั้งรับกับสิ่งที่เราต้องเผชิญในเร็ว ๆ นี้กันนะครับ
ก่อนอื่นเลยผมขอพูดถึงเรื่องเทคนิคการโจมตีทางไซเบอร์แบบใหม่ที่ได้รับการขนานนามในวงการว่า “AI package hallucination” โดยได้รับการเปิดเผยจากทีมนักวิจัยว่า มีการใช้โมเดลภาษา OpenAI ChatGPT ทำให้แฮ็กเกอร์สามารถปล่อยสิ่งที่เป็นอันตรายเข้าไปในระบบที่นักพัฒนาทำงานอยู่
ChatGPT จะสร้างสิ่งต่าง ๆ ไม่ว่าจะเป็น URL ตัวอย่างอย่างอิงอ้าง (Reference) ไลบรารีโค้ด (Library code) และฟังก์ชันที่ไม่มีอยู่จริงขึ้นมาใหม่ โดยการปลอมแปลงโมเดลภาษาขนาดใหญ่หรือ LLM ซึ่งได้มีการรายงานแจ้งเตือนและอาจเป็นผลลัพธ์ที่ได้มาจากการเทรนนิ่งก่อนหน้านี้แล้ว
ทั้งนี้แฮ็กเกอร์จะใช้ความสามารถสร้างรหัสของ ChatGPT และใช้ประโยชน์จากไลบรารีโค้ดที่สร้างขึ้นเป็นแพ็กเกจเพื่อหลอกลวงและเผยแพร่ออกสู่โลกไซเบอร์ผ่าน typosquatting หรือ masquerading
เทคนิคนี้จะดำเนินการผ่านการตั้งคำถามกับ ChatGPT เพื่อขอแพ็คเกจการแก้ไขปัญหาเกี่ยวกับโค้ดและขอคำแนะนำแพ็กเกจที่หลากหลาย รวมไปถึงการขอบางแพ็คเกจที่ไม่ได้เผยแพร่ในที่เก็บข้อมูลที่ถูกกฏหมาย
จากนั้นจะเริ่มกระบวนการต่อไปคือการแทนที่แพ็กเกจเหล่านี้ทั้งหมดด้วยแพ็คเกจปลอมต่าง ๆ ซึ่งแฮ็กเกอร์จะหลอกล่อผู้ที่มีแนวโน้มจะใช้ตามคำแนะนำของ ChatGPT
ทั้งนี้ จากการทำ PoC ที่ใช้ ChatGPT 3.5 ได้แสดงให้เห็นความเสี่ยงที่เกี่ยวข้องรวมถึงการใช้ API ในบทสนทนาระหว่างแฮ็กเกอร์และ ChatGPT โดยหลักการทำงานคือ ChatGPT จะแนะนำแพ็คเกจ NPM ที่ยังไม่ได้เผยแพร่ที่ชื่อว่า arangodb ให้ หลังจากนั้นแฮ็กเกอร์ที่ถูกจำลองขึ้นจะปล่อยแพ็คเกจปลอมที่เป็นอันตรายไปยังที่เก็บ NPM เพื่อเป็นการวางกักดักให้คนใช้งานที่ไม่ทันระวัง
จากนั้น PoC จะโชว์บทสนทนาที่ผู้ใช้งานถาม ChatGPT ในคำถามเดียวกันและโดเมลการตอบกลับโดยการนำเสนอแพ็กเกจที่ไม่ได้มีอยู่จริงตั้งแต่แรก แต่สำหรับเคสนี้แฮ็กเกอร์จะเปลี่ยนแพ็คเกจเหล่านี้ให้กลายเป็นแพ็คเกจหลอกลวงที่เป็นอันตราย และเมื่อผู้ใช้งานติดตั้งแพ็คเกจนี้แล้ว โค้ดปลอมก็จะเริ่มเข้าจัดการกับระบบผู้ใช้งาน
และแน่นอนว่า การตรวจจับเทคนิคการโจมตีแบบ AI package hallucinations เป็นเรื่องที่ท้าทายความสามารถอย่างมากเลยก็ว่าได้ เนื่องจากแฮ็กเกอร์ได้เลือกใช้เทคนิคหลอกให้เหยื่อสับสนกับสิ่งที่เป็นอยู่และในขณะเดียวกันก็สร้างแพ็กเกจโทรจันฟังก์ชันตามคำแนะนำนั้นขึ้นมา
ดังนั้นเพื่อลดความเสี่ยงที่อาจเกิดขึ้น นักพัฒนาควรหมั่นตรวจสอบไลบรารีอย่างละเอียดเป็นประจำโดยเริ่มเช็คปัจจัยต่าง ๆ เช่น วันที่สร้าง จำนวนยอดดาวน์โหลด คอมเม้น และโน๊ตที่แนบติดมา
สำหรับสิ่งที่สำคัญของการรักษาความปลอดภัยของซอร์ฟแวร์คือการเฝ้าระมัดระวังแพ็คเกจที่น่าสงสัย เพราะเมื่อไม่นานมานี้ OpenAI เปิดเผยช่องโหว่ ChatGPT ที่อาจถูกโจรกรรมข้อมูลการชำระเงินของลูกค้าในบางรายได้
เราจะเห็นได้ว่า ขณะนี้มีการนำเอไอมาใช้ในวงการทางด้านซอร์ฟแวร์กันมากขึ้นซึ่งส่งผลให้มีการลดปริมาณความต้องการในทักษะทางด้านในการเขียนโค้ด บวกกับ ChatGPT ถูกออกแบบมาเพื่อเอื้อต่อการทำงานให้ง่ายขึ้นในทุกๆ ด้าน และแน่นอนว่าเหล่าบรรดาแฮ็กเกอร์ก็สามารถใช้ ChatGPT ในการสร้างโค้ดอันตรายใหม่ ๆ ได้เช่นกัน
ผมคาดว่าภายใน 2-3 ปี ข้างหน้า การโจมตีทางด้านไซเบอร์ซีเคียวริตี้จะมีเพิ่มมากยิ่งขึ้น เพราะแฮ็กเกอร์หน้าใหม่ ๆ ไม่จำเป็นต้องมีความรู้ลึก ก็สามารถใช้ ChatGPT เพื่อหาโค้ดต่าง ๆ ได้อย่างง่ายดาย ถึงเวลาแล้วที่เราจะต้องเตรียมรับมือกับปัญหานี้ในอนาคตครับ
บทความโดย นักรบ เนียมนามธรรม
————————————————————————————————————————-
ที่มา : กรุงเทพธุรกิจออนไลน์ / วันที่เผยแพร่ 19 มิ.ย.66
Link : https://www.bangkokbiznews.com/tech/gadget/1074087
