ผู้นำทางความคิด

เมื่อ AI กลายเป็นพื้นผิวการโจมตี: ความเสี่ยงของซัพพลายเชนในตลาดทักษะที่เกิดขึ้นใหม่

mm
เผยแพร่

ทุกการปฏิวัติซอฟต์แวร์สำคัญๆ นำพาซัพพลายเชนและพื้นผิวการโจมตีใหม่ๆ มาให้ ในยุคโอเพ่นซอร์ส ซัพพลายเชนเสี่ยงผ่านเรจิสทรีแพ็คเกจ เช่น npm และ PyPI ในขณะที่เอเจนต์ AI ปัจจุบันถือเป็นจุดเปลี่ยนสำคัญ เหล่าเอเจนต์เหล่านี้ที่ทำงานอยู่ในเวิร์กโฟลว์ของผู้พัฒนา การดำเนินงานขององค์กร และแอปพลิเคชันของผู้บริโภคบนแพลตฟอร์ม เช่น OpenClaw, Claude Code และ Cursor ได้รับพลังจากส่วนขยายผ่าน “ทักษะ” ที่ติดตั้งได้ – ความสามารถที่ต้องการแนวทางที่เข้มงวดเท่าๆ กันในการรักษาความปลอดภัย

ทักษะของเอเจนต์เป็นแพ็คเกจความสามารถ: ชุดคำสั่งและスคริปต์ขนาดเล็กที่ให้เอเจนต์ AI เข้าถึงเครื่องมือ API ภายนอก และระบบไฟล์ภายใน ระบบที่กระจายบนแพลตฟอร์มสาธารณะ เช่น ClawHub มี бар์ริเออร์ที่ต่ำมากในการเข้าถึง โดยมีการตรวจสอบหรือการดูแลที่น้อยมาก การวัดความปลอดภัยที่สำคัญ เช่น การลงนามโค้ดแบบบังคับ การทบทวนความปลอดภัย และการแซนด์บ็อกซ์แบบดีฟอลต์ ไม่มีอยู่ ซึ่งนำไปสู่ซัพพลายเชนที่ถูกบุกรุกในระดับใหญ่: การวิจัย ToxicSkills ที่สแกนเกือบ 4,000 ทักษะพบว่าประมาณ 1 ใน 8 ทักษะมีข้อบกพร่องด้านความปลอดภัยที่สำคัญอย่างน้อยหนึ่งรายการ รวมถึงการกระจายมัลแวร์และการ.inject ข้อความเมื่อขยายไปยังระดับความเสี่ยงใดๆ มากกว่าหนึ่งในสามของระบบนิเวศได้รับผลกระทบ ดังนั้นผู้นำด้านความปลอดภัยจึงต้องเตรียมพร้อมที่จะบรรเทาผลกระทบจากช่องโหว่เหล่านี้

กายวิภาคของการโจมตี AI ซัพพลายเชน

การโจมตีทางซัพพลายเชนแบบดั้งเดิมจะใช้ประโยชน์จากโค้ดผ่านฟังก์ชั่นขี้รำคาญที่ถูกฉีดเข้าไปในความสัมพันธ์และเวิร์กโฟลว์ของ CI สำหรับการกระทำ เช่น การส่งออกข้อมูล การติดตั้งแบ็คดอร์ หรือการเพิ่มสิทธิ์ อย่างไรก็ตาม เครื่องมือรักษาความปลอดภัยได้กลายเป็นมีประสิทธิภาพในการตรวจจับรูปแบบโค้ดเหล่านี้โดยใช้การวิเคราะห์สถิติและติดตามพฤติกรรม ทักษะของเอเจนต์ AI นำเสนอวิธีการโจมตีที่แตกต่างโดยสิ้นเชิง เนื่องจากพาเลทหลักของมันคือภาษาธรรมชาติที่อยู่ในไฟล์ SKILL.md – ชุดคำสั่งที่ผู้กระทำความผิดได้เรียนรู้ที่จะใช้อาวุธ ToxicSkills วิจัยแสดงให้เห็นว่า 91% ของทักษะที่เป็นอันตรายรวมมัลแวร์แบบดั้งเดิมเข้ากับการ.inject ข้อความ โดยฝังคำสั่งซ่อนอยู่ที่สามารถบงการเหตุผลรันไทม์ของเอเจนต์

การไหลของการโจมตีนั้นง่ายมาก: ผู้พัฒนาติดตั้งทักษะที่มีประโยชน์ ซึ่งมีการ.inject ข้อความที่ซ่อนอยู่เพื่อข้ามการป้องกันความปลอดภัยของเอเจนต์ เอเจนต์โดยการปฏิบัติตามคำสั่งที่ไม่สามารถแยกแยะจากคำสั่งแท้ๆ ได้ จะขโมยข้อมูลประจำตัว ส่งออกไฟล์ หรือติดตั้งแบ็คดอร์ ในขณะที่ดูเหมือนว่าทำงานปกติ

สิ่งนี้น่าตกใจเนื่องจากจำนวนผู้พัฒนาที่รันเอเจนต์โดยไม่มีการตรวจสอบความปลอดภัยเป็นประจำ โดยให้เอเจนต์มีอัตลักษณ์เต็มที่โดยไม่มีการป้องกัน ซึ่งทำให้การพิจารณาและความต้องการของมนุษย์ลดลงอย่างมาก ทำให้เกิดความเสี่ยงมากขึ้นสำหรับทุกระบบที่เอเจนต์เคยสัมผัส

อันตรายที่ซ่อนอยู่ของ “ทักษะรั่ว”

อันตรายไม่ได้ขยายออกไปนอกเหนือจากทักษะที่มีเจตนาร้ายเท่านั้น แต่ยังรวมถึงช่องโหว่ที่ไม่ได้ตั้งใจด้วย ซึ่งมักจะยากต่อการตรวจจับ มีการกระจายอย่างกว้างและฝังอยู่ในฟังก์ชันเชิงหน้าที่ที่ได้รับความนิยมและเชื่อถือได้ การตรวจสอบความปลอดภัยของตลาดทักษะหลักๆ แสดงให้เห็นว่าทักษะที่ได้รับการยอมรับอย่างกว้างขวางบังคับให้เอเจนต์ AI จัดการข้อมูลที่ละเอียดอ่อนอย่างไม่ปลอดภัย พฤติกรรมที่เสี่ยงนี้รวมถึงการเปิดเผยคีย์ API โทเค็นการรับรอง และข้อมูลส่วนบุคคลผ่านล็อกไฟล์ข้อความธรรมดา ไฟล์ที่ไม่ได้รับการคุ้มครอง หรือโดยตรงในช่องหน้าต่างบริบทของโมเดล ซึ่งสามารถถูกส่งต่อไปยังบริการของบุคคลที่สามโดยไม่ตั้งใจ

สิ่งนี้มักเกิดจากการที่ทักษะถูกสร้างขึ้นอย่างรวดเร็วในยุค “การเขียนโค้ดแบบสัมผัส” โดยไม่มีแบบจำลองความปลอดภัยที่แท้จริง ผู้พัฒนาอาจมองข้ามว่าโทเค็นการผสานที่อยู่ในบริบทของเอเจนต์โดยพื้นฐานแล้วเปิดเผยและสามารถมองเห็นได้โดยระบบที่อยู่ด้านล่าง ทำให้เกิดความเสี่ยงอย่างกว้างขวางบนแพลตฟอร์ม – ผู้ช่วยส่วนบุคคล เช่น OpenClaw และเอเจนต์การเขียนโค้ด เช่น Claude Code, Cursor และ Windsurf – ซึ่งผู้พัฒนามากกว่าล้านคนพึ่งพาทุกวัน การใช้ประโยชน์หรือการรั่วไหลของข้อมูลประจำตัวจากทักษะที่ได้รับความนิยมเพียงชิ้นเดียวสามารถส่งผลกระทบต่อผู้พัฒนาทุกคน ฐานโค้ด และระบบที่เอเจนต์ของพวกเขาเข้าถึงได้ ทำให้ซัพพลายเชนทั้งหมดเสี่ยงต่อการถูกโจมตี การนวัตกรรมที่รวดเร็วทำให้สามารถปนเปื้อนได้อย่างรวดเร็ว และในกรณีเหล่านี้ ขนาดไม่ใช่สัญญาณของความปลอดภัย

จุดบอด: ทำไมการควบคุมความปลอดภัยแบบดั้งเดิมจึงล้มเหลว

ทีมรักษาความปลอดภัยที่ดำเนินการด้วยการควบคุมแบบดั้งเดิม เช่น สแกนเนอร์มัลแวร์ การวิเคราะห์สถิติ และการตรวจสอบพฤติกรรม กำลังจัดการกับแบบจำลองภัยคุกคามที่แตกต่างไปจากเดิม การตรวจจับมัลแวร์แบบดั้งเดิมมุ่งเน้นไปที่การแสวงหาประโยชน์จากโค้ด แต่ไม่ได้รับการออกแบบมาเพื่อวิเคราะห์คำสั่งภาษาธรรมชาติสำหรับเจตนาที่เป็นปฏิปักษ์ การ.inject ข้อความในไฟล์ SKILL.md ดูเหมือนจะเป็นเพียงเอกสารสำหรับตัวสแกนเนอร์แบบดั้งเดิม และไม่มีลายเซ็นจนกว่าเอเจนต์จะดำเนินการ

การ.inject ข้อความบงการเหตุผลของเอเจนต์ ทำให้เอเจนต์ reinterpret คำสั่งและข้ามแนวทางปฏิบัติด้านความปลอดภัยเพื่อดำเนินการตามการกระทำที่ห้าม การโจมตีเหล่านี้คงอยู่ได้นาน และน่าตกใจ: ทักษะที่เป็นอันตรายสามารถทำให้ความทรงจำระยะยาวของเอเจนต์เป็นพิษ ทำให้เนื้อหาที่คงอยู่ข้ามเซสชันเสียหาย สิ่งนี้ทำให้เกิดสถานการณ์ “เอเจนต์ที่นอนหลับ” ซึ่งเอเจนต์อาจดำเนินการตามคำสั่งอันตรายต่อไปเป็นเวลาหลายสัปดาห์หลังจากที่ทักษะถูกถอดออกไป ซึ่งไม่สามารถควบคุมได้ด้วยการตอบสนองต่อเหตุการณ์แบบดั้งเดิม การปิดช่องว่างนี้ต้องการแนวทางที่แตกต่างและเป็นมิตรกับ AI ซึ่งถูกสร้างขึ้นสำหรับระบบอันตราย

การตรวจจับและแก้ไขข้อบกพร่องในระบบนิเวศทักษะเอเจนต์

ภัยคุกคามใหม่นี้สามารถจัดการได้ แต่ช่วงเวลาที่จะดำเนินการนั้นแคบมาก ก่อนที่การนำเอเจนต์ AI ไปใช้จะยึดหลัก ผู้นำด้านความปลอดภัยต้องจัดตั้งการควบคุมหลัก 4 ประการ: การตรวจสอบ การตรวจจับในระยะแรก การหมุนเวียนข้อมูลประจำตัว และการป้องกัน AI ที่เหมาะสม

  1. การตรวจสอบและคลัง: จัดตั้งคลังที่สมบูรณ์ของทุกส่วนประกอบ AI: โมเดล เอเจนต์ที่ติดตั้ง และทักษะที่ติดตั้งทั้งหมด ซึ่งจะต้องได้รับการปฏิบัติเหมือนกับ “บิลของวัสดุ” ของซอฟต์แวร์ (SBOM) เพื่อสร้างฐานสำหรับการตรวจจับการเปลี่ยนแปลงที่ไม่ได้รับอนุญาต
  2. ตรวจจับและถอดออก: สแกนทักษะที่ใช้งานอยู่อย่างต่อเนื่องสำหรับเพย์โลดอันตราย รูปแบบการ.inject ข้อความ และพฤติกรรมที่น่าสงสัย รวมถึงการพยายามดำเนินการคำสั่งเชลล์หรือหลบเลี่ยงการดูแลของผู้ใช้ การสแกนแบบอัตโนมัติและต่อเนื่องเป็นสิ่งจำเป็นเนื่องจากการเติบโตอย่างรวดเร็วของตลาด
  3. การหมุนเวียนและปกป้องข้อมูลประจำตัว: พิจารณาข้อมูลประจำตัว (คีย์ API, โทเค็น) ที่จัดการโดยทักษะที่ไม่ได้รับการยืนยันว่าเป็นข้อมูลที่อาจถูกบุกรุกและหมุนเวียนทันที เอเจนต์ต้องปฏิบัติตามหลักการของสิทธิ์ที่น้อยที่สุด โดยเข้าถึงข้อมูลประจำตัวและระบบที่จำเป็นเท่านั้น โดยไม่มีการเข้าถึงสภาพแวดล้อมการผลิตแบบยืน
  4. การนำการป้องกัน AI: ติดตั้งการควบคุมการป้องกันรันไทม์ที่ติดตามพฤติกรรมของเอเจนต์แบบเรียลไทม์ โดยการบล็อกการกระทำที่อันตรายและระบุพฤติกรรมที่ไม่ปกติ เช่น การเข้าถึงไฟล์ที่ไม่คาดคิด ไฟล์หน่วยความจำของเอเจนต์โดยเฉพาะควรได้รับการติดตามสำหรับการเปลี่ยนแปลงที่ไม่ได้รับอนุญาต เนื่องจากการปนเปื้อนหน่วยความจำเป็นเวกเตอร์การโจมตีที่คงอยู่และยากต่อการตรวจจับ

ระบบนิเวศทักษะเอเจนต์ AI เป็นซัพพลายเชนซอฟต์แวร์ที่ต้องการการดูแลด้านความปลอดภัยอย่างเข้มงวด ในขณะที่บทเรียนจากยุคโอเพ่นซอร์สยังคงมีประโยชน์ แต่ความเสี่ยงนั้นมากขึ้น เนื่องจากเอเจนต์ AI ดำเนินการด้วยสิทธิ์ที่กว้างขวางและอิสระมากกว่าผู้จัดการแพ็คเกจใดๆ ที่เคยทำมาก่อน ทักษะที่ถูกบุกรุกเพียงชิ้นเดียวสามารถแพร่กระจายได้อย่างรวดเร็ว และเข้าถึงข้อมูลประจำตัวหลักและระบบการผลิตทั่วทั้งองค์กรหลายพันแห่ง ดังนั้นผู้นำด้านความปลอดภัยจึงมีช่วงเวลาที่แคบในการดำเนินการอย่าง积极

ซัพพลายเชน AI อยู่ที่นี่แล้ว คำถามคือว่าพื้นฐานความปลอดภัยขององค์กรพร้อมหรือไม่ องค์กรที่จัดตั้งคลังที่สมบูรณ์ บังคับใช้สิทธิ์ที่น้อยที่สุด และติดตั้งการป้องกันรันไทม์จะเคลื่อนที่ด้วยความเร็วและความปลอดภัยด้วย AI ในขณะที่ผู้ที่รอเหตุการณ์ที่มีชื่อเสียงเพื่อบังคับให้ดำเนินการจะพบว่าค่าใช้จ่ายในการแก้ไขปัญหาเกินกว่าค่าใช้จ่ายในการป้องกัน

mm

Manoj เป็นผู้นำ Snyk’s Emerging Technologies and Solutions Office (ETSO) ทีมของเขารับผิดชอบในการเพาะเลี้ยงและกลยุทธ์การเข้าซื้อกิจการในอนาคต เพื่อให้แน่ใจว่า Snyk มีวิสัยทัศน์และกลยุทธ์ระยะยาวที่สอดคล้องกับความต้องการที่เกิดขึ้นใหม่ของลูกค้า ก่อนที่จะเข้าร่วม Snyk Manoj曾任 Chief Cloud Officer และ General Manager ของ Metallic ที่ Commvault โดยเร่งการเติบโตของธุรกิจคลาวด์และ SaaS ของบริษัทที่สำคัญมาก่อนหน้านี้ เขาเคยเป็นผู้ร่วมก่อตั้งและ CEO ของ HyperGrid และ曾ดำรงตำแหน่งผู้นำผลิตภัณฑ์อื่นๆ ที่ Hewlett Packard Enterprise, Dell EMC และ RSA Security Manoj ยังถือสิทธิบัตรการจัดการข้อมูลและความปลอดภัยมากกว่าหนึ่งโหล