เอเจนต์ของคุณไม่ใช่แค่แชทบอทอีกต่อไป—ทำไมคุณยังรักษามันเหมือนแชทบอท?

ในช่วงแรกของ AI ที่สร้างขึ้นได้ สิ่งที่แย่ที่สุดที่อาจเกิดขึ้นกับแชทบอทที่มีพฤติกรรมไม่เหมาะสม คือ ความอับอายต่อหน้าสาธารณชน แชทบอทอาจจะสร้างข้อมูลที่ไม่มีอยู่จริง ออกข้อความที่มีอคติ หรือแม้กระทั่งเรียกชื่อคุณ แต่นั่นก็ยังดีกว่าที่เราได้มอบกุญแจให้แล้ว

ยินดีต้อนรับสู่ยุคของเอเจนต์

จากแชทบอทสู่เอเจนต์: การเปลี่ยนแปลงของการทำงานอัตโนมัติ

แชทบอทมีการตอบสนองตามคำถาม แต่เอเจนต์ AI — โดยเฉพาะ那些ที่ถูกสร้างขึ้นด้วยการทำงานร่วมกับเครื่องมือ การใช้โค้ด และการรักษาความจำ — สามารถทำงานหลายขั้นตอน เรียกใช้ API สั่งการ และเขียนและใช้โค้ดโดยอัตโนมัติ

ในอีกคำหนึ่ง พวกมันไม่ได้เพียงแต่ตอบสนองต่อคำถาม — พวกมันกำลังตัดสินใจ และตามที่ผู้เชี่ยวชาญด้านความปลอดภัยจะบอกคุณ เมื่อระบบเริ่มดำเนินการในโลก คุณควรต้องมีความรู้สึกถึงความปลอดภัยและควบคุม

สิ่งที่เราเตือนในปี 2023

ที่ OWASP เราเริ่มเตือนเกี่ยวกับการเปลี่ยนแปลงนี้มากกว่าสองปีที่แล้ว ในการเปิดตัวครั้งแรกของ OWASP Top 10 สำหรับ LLM Applications เราได้สร้างคำศัพท์ขึ้น: Excessive Agency

แนวคิดนั้นเป็นเรื่องง่าย: เมื่อคุณให้โมเดลมีความอิสระมากเกินไป — มีเครื่องมือมากเกินไป มีอำนาจมากเกินไป และการดูแลที่ไม่เพียงพอ — มันจะเริ่มทำงานเหมือนตัวแทนเสรีมากกว่าผู้ช่วยที่มีขอบเขต มันอาจจะจัดตารางการประชุมของคุณ มันอาจจะลบไฟล์ มันอาจจะจัดเตรียมโครงสร้างพื้นฐานบนคลาวด์ที่มีราคาแพง

หากคุณไม่ระวัง มันจะเริ่มทำงานเหมือนตัวแทนผิดพลาด… หรือแย่กว่านั้น ตัวแทนลับของศัตรูที่รอโอกาสในการโจมตีทางไซเบอร์ ในตัวอย่างจากโลกแห่งความเป็นจริง เอเจนต์จากผลิตภัณฑ์软件ที่สำคัญ เช่น Microsoft Copilot, Salesforce’s Slack product ทั้งสองถูกแสดงให้เห็นว่าสามารถถูกหลอกให้ใช้สิทธิ์ที่เพิ่มขึ้นเพื่อขโมยข้อมูลที่ละเอียดอ่อน

และตอนนี้ สิ่งที่เป็นไปได้ในอนาคตดูเหมือนจะไม่ใช่เรื่องนิยายวิทยาศาสตร์อีกต่อไป แต่เป็นแผนการในไตรมาสที่ 3 ที่กำลังจะมาถึง

พบกับ MCP: ระดับการควบคุมเอเจนต์ (หรือไม่?)

เรามุ่งหน้าสู่ปี 2025 และเรากำลังเห็นคลื่นของมาตรฐานและโพรโทคอลใหม่ที่ออกแบบมาเพื่อจัดการกับการระเบิดของฟังก์ชันเอเจนต์ ที่โดดเด่นที่สุดคือ Model Context Protocol (MCP) ของ Anthropic — กลไกสำหรับการรักษาความจำร่วมกัน โครงสร้างงาน และการเข้าถึงเครื่องมือตลอดเซสชันของเอเจนต์ AI ที่มีอายุยาว

คิดว่า MCP เป็นเหมือนกาวที่ยึดบริบทของเอเจนต์เข้าด้วยกันระหว่างเครื่องมือและเวลา มันเป็นวิธีในการบอกผู้ช่วยเขียนโค้ดของคุณ: “นี่คือสิ่งที่คุณได้ทำไปแล้ว นี่คือสิ่งที่คุณได้รับอนุญาตให้ทำ นี่คือสิ่งที่คุณควรจำ”

มันเป็นขั้นตอนที่จำเป็น แต่ก็ทำให้เกิดคำถามใหม่ๆ

MCP เป็นตัวช่วยความสามารถ แต่สิ่งรักษาความปลอดภัยอยู่ที่ไหน?

จนถึงตอนนี้ การมุ่งเน้นของ MCP คือการขยายสิ่งที่เอเจนต์สามารถทำได้ — ไม่ใช่การควบคุมมัน

ในขณะที่โพรโทคอลช่วยในการประสานการทำงานของเครื่องมือและรักษาความจำตลอดการทำงานของเอเจนต์ มันไม่ได้กล่าวถึงข้อกังวลที่สำคัญ เช่น:

• การป้องกันการฉีดข้อความ: สิ่งที่เกิดขึ้นหากผู้โจมตีจัดการกับความจำร่วมกัน?
• การกำหนดขอบเขตคำสั่ง: เอเจนต์สามารถถูกหลอกให้ล่วงละเมิดสิทธิ์ของมันหรือไม่?
• การละเมิดโทเค็น: การรั่วไหลของบล็อคความจำอาจเปิดเผยข้อมูลประจำตัว API หรือข้อมูลผู้ใช้หรือไม่?

สิ่งเหล่านี้ไม่ใช่ปัญหาทางทฤษฎี การตรวจสอบล่าสุดเกี่ยวกับผลกระทบด้านความปลอดภัยเผยว่าโครงสร้าง MCP มีความเสี่ยงต่อการฉีดข้อความ การใช้คำสั่งผิด และแม้กระทั่งการปนเปื้อนความจำ โดยเฉพาะอย่างยิ่งเมื่อความจำร่วมกันไม่ได้รับการกำหนดขอบเขตหรือเข้ารหัสอย่างเหมาะสม

นี่คือปัญหา “อำนาจโดยไม่มีการดูแล” ที่经典 เราได้สร้างเกราะ แต่เรายังไม่ได้ค้นหาปุ่มปิด

ทำไม CISO ควรให้ความสนใจ—ตอนนี้

เรากำลังพูดถึงเทคโนโลยีที่ไม่ใช่ของอนาคต เรากำลังพูดถึงเครื่องมือที่นักพัฒนาของคุณกำลังใช้อยู่ และนั่นก็เพียงแค่ต้นกำเนิดของการปรับใช้ในระดับองค์กร

เอเจนต์สำหรับการเขียนโค้ด เช่น Claude Code และ Cursor กำลังได้รับความนิยมอย่างแท้จริงภายในกระบวนการทำงานขององค์กร การวิจัยภายในของ GitHub แสดงให้เห็นว่า Copilot สามารถเร่งความเร็วในการทำงานได้ถึง 55% เมื่อเร็วๆ นี้ Anthropic รายงานว่า 79% ของการใช้ Claude Code มุ่งเน้นไปที่ การทำงานอัตโนมัติ ไม่ใช่แค่การแนะนำโค้ด

นั่นคือผลผลิตที่แท้จริง แต่นั่นก็เป็นการทำงานอัตโนมัติที่แท้จริงเช่นกัน สิ่งเหล่านี้ไม่ใช่ผู้ช่วยการบินอีกต่อไป มันกำลังบินโดยลำพัง และห้องนักบิน? ว่างเปล่า

ซีอีโอของ Microsoft Satya Nadella กล่าวเมื่อเร็วๆ นี้ว่า AI เขียนโค้ดได้ถึง 30% ของโค้ดของ Microsoft แล้ว ซีอีโอของ Anthropic Dario Amodei ยังไปไกลกว่านั้น โดยคาดการณ์ว่า AI จะสร้างโค้ดใหม่ถึง 90% ในช่วงหกเดือนข้างหน้า

และไม่ใช่แค่การพัฒนา软件เท่านั้น โพรโทคอล Model Context (MCP) กำลังถูกผสมผสานเข้ากับเครื่องมือที่ขยายไปไกลกว่าการเขียนโค้ด รวมถึงการเตรียมการอีเมล การเตรียมการประชุม การวางแผนการขาย การสรุปเอกสาร และงานอื่นๆ ที่มีผลผลิตสูงสำหรับผู้ใช้ทั่วไป แม้ว่าหลายกรณีการใช้งานเหล่านี้ยังคงอยู่ในขั้นตอนแรก แต่ก็เติบโตอย่างรวดเร็ว สิ่งนี้เปลี่ยนความเสี่ยง นี่ไม่ใช่แค่การอภิปรายสำหรับ CTO หรือ VP of Engineering ของคุณ แต่ต้องการความสนใจจากผู้นำระดับธุรกิจ CIO CISO และ Chief AI Officers เช่นกัน เมื่อเอเจนต์เหล่านี้เริ่มสื่อสารกับข้อมูลที่ละเอียดอ่อนและดำเนินกระบวนการทำงานข้ามฟังก์ชัน องค์กรต่างๆ ต้องแน่ใจว่าการกำกับดูแล การจัดการความเสี่ยง และการวางแผนเชิงกลยุทธ์เป็นส่วนหนึ่งของการอภิปรายตั้งแต่เริ่มต้น

สิ่งที่ต้องเกิดขึ้นต่อไป

มันถึงเวลาที่จะหยุดคิดถึงเอเจนต์เหล่านี้ว่าเป็นแชทบอทและเริ่มคิดถึงพวกมันว่าเป็นระบบอัตโนมัติที่มีข้อกำหนดด้านความปลอดภัยที่แท้จริง ซึ่งหมายความว่า:

• ขอบเขตสิทธิ์ของเอเจนต์: เช่นเดียวกับที่คุณไม่ทำงานทุกอย่างด้วยสิทธิ์ root เอเจนต์ต้องการการเข้าถึงที่มีขอบเขตสำหรับเครื่องมือและคำสั่ง
• การกำกับดูแลความจำร่วมกัน: การรักษาความจำต้องถูกตรวจสอบ เวอร์ชัน และเข้ารหัส — โดยเฉพาะอย่างยิ่งเมื่อมันถูกแบ่งปันระหว่างเซสชันหรือทีม
• การจำลองการโจมตีและการทดสอบด้วยทีมแดง: การฉีดข้อความ การปนเปื้อนความจำ และการละเมิดคำสั่งต้องถูกมองว่าเป็นภัยคุกคามด้านความปลอดภัยระดับสูง
• การฝึกอบรมพนักงาน: การใช้เอเจนต์ AI อย่างปลอดภัยและมีประสิทธิภาพเป็นทักษะใหม่ และคนต้องการการฝึกอบรม สิ่งนี้จะช่วยให้พวกเขาเป็นมีประสิทธิภาพมากขึ้นและช่วยรักษาสิทธิ์ในทรัพย์สินทางปัญญาของคุณให้มากขึ้น

เมื่อองค์กรของคุณเริ่มใช้เอเจนต์ AI มักจะดีกว่าที่จะเริ่มต้นด้วยการเดินก่อนวิ่ง ได้รับประสบการณ์กับเอเจนต์ที่มีขอบเขตจำกัด ข้อมูลจำกัด และสิทธิ์จำกัด เรียนรู้เมื่อคุณสร้างรั้วความปลอดภัยขององค์กรและประสบการณ์ จากนั้นจึงเพิ่มความซับซ้อนในการใช้งานที่มีความทะเยอทะยาน

คุณไม่สามารถนั่งดูได้

ไม่ว่าคุณจะเป็น Chief AI Officer หรือ Chief Information Officer คุณอาจมีข้อกังวลเริ่มต้นที่แตกต่างกัน แต่เส้นทางไปข้างหน้าของคุณเหมือนกัน ผลผลิตที่ได้จากเอเจนต์สำหรับการเขียนโค้ดและระบบ AI อัตโนมัตินั้นเยี่ยมมากเกินกว่าที่จะเพิกเฉย

เครื่องมือเหล่านี้ไม่ใช่การทดลองอีกต่อไป — มันกำลังจะกลายเป็นมาตรฐาน Companies เช่น Microsoft กำลังสร้างโค้ดจำนวนมากผ่าน AI และพัฒนาตำแหน่งการแข่งขันของตนตามผลลัพธ์ เครื่องมือเช่น Claude Code กำลังลดเวลาในการพัฒนาและทำงานอัตโนมัติในกระบวนการทำงานที่ซับซ้อนในหลายๆ บริษัททั่วโลก บริษัทที่เรียนรู้ที่จะใช้เอเจนต์เหล่านี้อย่างปลอดภัยจะสามารถจัดส่งเร็วขึ้น ปรับเปลี่ยนได้เร็วขึ้น และเอาชนะคู่แข่ง

แต่ความเร็วโดยไม่มีความปลอดภัยคือการหลอกลวง การรวมเอเจนต์อัตโนมัติเข้ากับธุรกิจของคุณโดยไม่มีการควบคุมที่เหมาะสมเป็นวิธีการที่จะนำไปสู่การหยุดชะงัก การรั่วไหลของข้อมูล และผลกระทบด้านกฎระเบียบ

นี่คือช่วงเวลาที่ต้องดำเนินการ — แต่ต้องดำเนินการอย่างฉลาด:

• เปิดตัวโปรแกรมทดลองเอเจนต์ แต่ต้องมีการทบทวนโค้ด การอนุญาตเครื่องมือ และการแยกส่วน
• จำกัดความอิสระให้เพียงพอที่จำเป็น — ไม่ใช่เอเจนต์ทุกตัวต้องการการเข้าถึง root หรือความจำระยะยาว
• ตรวจสอบความจำร่วมกันและคำเรียกเครื่องมือ โดยเฉพาะอย่างยิ่งตลอดเซสชันหรือบริบทการทำงานร่วมกัน
• จำลองการโจมตี โดยใช้การฉีดข้อความและการละเมิดคำสั่งเพื่อเปิดเผยความเสี่ยงในโลกแห่งความเป็นจริงก่อนที่ผู้โจมตีจะทำ
• ฝึกอบรมนักพัฒนาของคุณและทีมผลิตภัณฑ์ เกี่ยวกับรูปแบบการใช้งานที่ปลอดภัย รวมถึงการควบคุมขอบเขต พฤติกรรมการถอย และเส้นทางการยกเลิก

ความปลอดภัยและความเร็วไม่ใช่สิ่งที่ไม่สอดคล้องกัน — หากคุณสร้างด้วยความตั้งใจ

ธุรกิจที่รักษาเอเจนต์ AI ไว้ว่าเป็นโครงสร้างพื้นฐานหลัก ไม่ใช่ของเล่นหรือภัยคุกคาม — จะเป็นธุรกิจที่จะเติบโต ส่วนที่เหลือจะถูกทิ้งไว้เพื่อแก้ไขปัญหา — หรือแย่กว่านั้น — ดูจากด้านข้าง

ยุคของเอเจนต์มาถึงแล้ว ไม่ตอบสนองเพียงอย่างเดียว จัดเตรียม ประสานงาน และรักษาความปลอดภัย