เมื่อ AI เก่งเกิน จนต้องทบทวน ( ‘Too Smart to Release’ AI Dilemma)

โดยระบบแสดงขีดความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity) ในระดับก้าวกระโดด สามารถตรวจจับและใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์ได้อย่างเกือบอัตโนมัติ โดยแทบไม่ต้องอาศัยการแทรกแซงจากมนุษย์

ขีดความสามารถดังกล่าวก้าวล้ำเกินกรอบการประเมินแบบเดิม จนทำให้เครื่องมือวัดผลที่มีอยู่อาจไม่สะท้อนศักยภาพได้อย่างเพียงพอ ส่งผลให้แนวทางการประเมินปรับไปเน้นบริบทการปฏิบัติการไซเบอร์ในโลกจริงมากยิ่งขึ้น

ด้วยเหตุนี้ การเข้าถึงจึงถูกจำกัดอยู่ในกลุ่มพันธมิตรที่ได้รับความไว้วางใจภายใต้เงื่อนไขการกำกับดูแลที่เข้มงวด โดยมีเป้าหมายหลักเพื่อเสริมสร้างความแข็งแกร่งด้านการป้องกัน ก่อนการขยายการใช้งานในวงกว้าง

แนวทางการทยอยเปิดใช้งานอย่างระมัดระวังนี้ สะท้อนถึงความตระหนักที่เพิ่มขึ้นว่า AI ขั้นสูงมิได้เป็นเพียงเครื่องมือเพื่อยกระดับประสิทธิภาพการทำงานอีกต่อไป หากแต่ได้กลายเป็นผู้มีบทบาทเชิงรุกด้านภัยคุกคามไซเบอร์แล้ว

 โมเดลนี้สะท้อนลักษณะการใช้งานสองทางอย่างชัดเจน โดยในมิติของการป้องกัน ระบบสามารถตรวจพบช่องโหว่ที่ไม่เคยถูกเปิดเผยมาก่อน รวมถึงช่องโหว่แบบ zero-day และสนับสนุนการแก้ไขได้อย่างรวดเร็ว ก่อนที่ช่องโหว่เหล่านั้นจะถูกนำไปใช้ในการโจมตี

ในทางกลับกัน ศักยภาพเดียวกันนี้สามารถถูกนำไปใช้ในการสร้างเครื่องมือโจมตีที่มีความซับซ้อนในรูปแบบอัตโนมัติ ส่งผลให้ข้อจำกัดด้านทักษะของผู้โจมตีลดลงอย่างมาก

นอกจากนี้ ระบบยังสามารถดำเนินการแบบอัตโนมัติครบวงจร ตั้งแต่การค้นหาช่องโหว่ไปจนถึงการนำไปใช้ในการโจมตี ซึ่งในอดีตจำเป็นต้องอาศัยความรู้ทางเทคนิคขั้นสูง

จากรายงานล่าสุดของ Anthropic ได้มีการประเมิน Claude Mythos บน CyberGym7 ซึ่งเป็นชุดทดสอบมาตรฐานที่ออกแบบมาเพื่อประเมินความสามารถของเอเจนต์ AI ในการค้นหาช่องโหว่ที่เคยถูกค้นพบแล้วภายในโครงการซอฟต์แวร์โอเพนซอร์สจริง

ผลการประเมินพบว่า Claude Mythos มีประสิทธิภาพเหนือกว่าโมเดลก่อนหน้าอย่างชัดเจน

แม้ว่ายังคงมีข้อจำกัดในบางสภาพแวดล้อมที่มีความซับซ้อน และข้อกำหนดด้านการปฏิบัติการ แต่แนวโน้มโดยรวมสะท้อนถึงการเปลี่ยนผ่านจากการรักษาความปลอดภัยเชิงรับ ไปสู่ระบบที่ขับเคลื่อนด้วย AI ในเชิงรุก และมีความจำเป็นต้องพัฒนาศักยภาพในการเผชิญหน้าเชิงรุกให้มากยิ่งขึ้น

สถานการณ์ดังกล่าวสร้างความตึงเครียดเชิงโครงสร้างในระบบ กล่าวคือ เทคโนโลยีเดียวกันที่ช่วยยกระดับการป้องกัน ก็สามารถเพิ่มความเสี่ยงด้านการโจมตีได้ในเวลาเดียวกัน

 Concerns from the Financial Sector

หน่วยงานกำกับดูแล และผู้กำหนดนโยบาย เริ่มให้ความสำคัญกับพัฒนาการนี้ในฐานะความเสี่ยงเชิงระบบ (Systemic Risk) โดยเฉพาะต่อสถาบันการเงินที่มีบทบาทสำคัญต่อเสถียรภาพของระบบเศรษฐกิจโดยรวม

การหารือในระดับเร่งด่วนกับผู้บริหารธนาคารขนาดใหญ่ สะท้อนความกังวลต่อภัยคุกคามไซเบอร์รูปแบบใหม่ที่ขับเคลื่อนด้วย AI ซึ่งอาจมุ่งเป้าไปยังโครงสร้างพื้นฐานสำคัญในวงกว้าง

แม้ว่ายังไม่มีการเปิดเผยเหตุการณ์โจมตีจริงในระบบการเงิน แต่การทดสอบพบว่าสามารถเจาะระบบซอฟต์แวร์ เช่น เว็บเบราว์เซอร์ ซึ่งอาจนำไปสู่การเปิดเผยข้อมูลสำคัญ รวมถึงข้อมูลทางการเงิน

ภาคการเงินมีความเปราะบางเป็นพิเศษจากความเชื่อมโยงของระบบจำนวนมาก และการพึ่งพาโครงสร้างพื้นฐานเดิม (legacy Infrastructure) ขณะที่กรอบการกำกับดูแลในปัจจุบัน

เช่น การกันเงินสำรองเพื่อรองรับความเสี่ยงด้านปฏิบัติการ อาจยังไม่เพียงพอสำหรับการรับมือกับภัยคุกคามที่พัฒนาอย่างรวดเร็ว และยากต่อการประเมินจาก AI

ผู้บริหารควรมองขีดความสามารถด้าน Cybersecurity ที่ขับเคลื่อนด้วย AI ขั้นสูงในฐานะทั้ง “สินทรัพย์เชิงกลยุทธ์” และ “ความเสี่ยงที่สำคัญต่อองค์กร” 

ในด้านบวกการเข้าถึงเทคโนโลยีดังกล่าวตั้งแต่ระยะแรกจะช่วยสร้างความได้เปรียบในการยกระดับความมั่นคงของโครงสร้างพื้นฐาน การค้นหาช่องโหว่ที่ซ่อนอยู่ และการเพิ่มขีดความสามารถด้าน resilience

อย่างไรก็ตาม ความเสี่ยงมีความสำคัญไม่ยิ่งหย่อนไปกว่ากัน เนื่องจากฝ่ายตรงข้ามอาจเข้าถึงเครื่องมือในระดับใกล้เคียงกันได้ ทำให้ช่วงเวลาระหว่างการค้นพบช่องโหว่และการถูกนำไปใช้โจมตีสั้นลงอย่างมาก

 ผู้บริหารควรให้ความสำคัญกับการลงทุนในระบบป้องกันที่ใช้ AI (AI-assisted defense) การยกระดับขีดความสามารถในการตอบสนองเหตุการณ์ และการทบทวนแบบจำลองความเสี่ยงที่อาจประเมินความเสี่ยงไซเบอร์ต่ำกว่าความเป็นจริง

นอกจากนี้ ความร่วมมือกับหน่วยงานกำกับดูแลและพันธมิตรในอุตสาหกรรมเป็นสิ่งจำเป็น เนื่องจากไม่มีองค์กรใดสามารถบริหารจัดการภัยคุกคามในลักษณะนี้ได้เพียงลำพัง

สาระสำคัญสำหรับการตัดสินใจเชิงกลยุทธ์คือ การนำเทคโนโลยีมาใช้สามารถช่วยยกระดับความมั่นคงปลอดภัยได้ แต่หากขาดการเตรียมความพร้อมต่อการนำไปใช้ในทางที่ไม่เหมาะสม องค์กรอาจเผชิญความผันผวนเชิงระบบในระดับที่ไม่เคยเกิดขึ้นมาก่อน.