‘PromptLock’ แรนซัมแวร์ AI ตัวแรก

อย่างเช่นในวันนี้ ผมอยากนำเสนอแรนซัมแวร์ที่ขับเคลื่อนด้วยปัญญาประดิษฐ์ (AI) ซึ่งผู้เชี่ยวชาญด้านไซเบอร์ได้ค้นพบภัยคุกคามนี้ 

โดยระบุว่า แรนซัมแวร์ AI ถูกเลือกให้ลองปฏิบัติการเฉพาะที่เพื่อเป็นการทดสอบประสิทธิภาพในการทำงานและนำมาต่อยอดในช่วงระหว่างการพัฒนา โดยหลักๆ แล้วแรนซัมแวร์ประเภทนี้จะได้รับการออกแบบให้มีฟังก์ชันการทำงานทั้งหมดคล้ายกับแรนซัมแวร์แบบเดิม

มัลแวร์ที่มีชื่อว่า PromptLock เขียนด้วย GoLang และอาศัย GPT-OSS:20b ของ OpenAI ซึ่งเป็นแบบจำลอง open-weight model ที่สามารถใช้งานได้โดยไม่มีข้อจำกัด โดยมีหลักการทำงานคือการอาศัยพรอมต์ (Prompt) ที่เขียนด้วยฮาร์ดโค้ดเพื่อสร้างสคริปต์ Lua ทันที และใช้สคริปต์เหล่านี้ในการดำเนินการต่างๆ

เช่น Filesystem Enumeration การตรวจสอบไฟล์ การขโมยข้อมูล และการเข้ารหัส เป็นต้น นอกจากนี้ ผู้เชี่ยวชาญยังเตือนอีกว่า มีการตรวจพบ PromptLock ทั้งเวอร์ชัน Windows และ Linux และสคริปต์ Lua ที่สร้างขึ้นนั้นสามารถใช้งานข้ามแพลตฟอร์มได้

แรนซัมแวร์นี้เลือกใช้อัลกอริทึม SPECK 128 บิตสำหรับการเข้ารหัสไฟล์ โดยจากไฟล์ผู้ใช้งานที่ตรวจพบ มัลแวร์อาจขโมยข้อมูล เข้ารหัส หรือทำลายข้อมูล แม้ว่าฟังก์ชันการทำลายจะยังไม่พร้อมใช้งานก็ตาม

แม้ว่าแนวคิดเรื่องแรนซัมแวร์ที่ขับเคลื่อนด้วย AI นั้น จะดูน่ากลัวแต่การโจมตีด้วย PromptLock จำเป็นต้องมีเงื่อนไขเบื้องต้นหลายข้อที่ไม่น่าจะพบได้ในเครือข่ายทั่วไป

อาทิ การใช้โมเดล GPT-OSS:20b ภายในเครื่อง ผ่าน Ollama API ซึ่งหมายความว่า มีความจำเป็นต้องทำงานบนระบบของเหยื่อ ซึ่งจะต้องใช้ทรัพยากรที่ระบบคอมพิวเตอร์ทั่วไปไม่มี โดยผู้เชี่ยวชาญตั้งสมมติฐานว่าPromptLock ส่งคำขอบนเครือข่ายภายในไปยังเซิร์ฟเวอร์ Ollama ที่ทำงานภายในเครื่อง หรือส่งไปยังพร็อกซีภายในเพื่อเปลี่ยนเส้นทางคำขอเหล่านั้นไปยังเซิร์ฟเวอร์ Ollama ภายนอก

ทั้งนี้ ผู้เชี่ยวชาญด้านความปลอดภัยได้ชี้ให้เห็นว่า ความสำเร็จของการโจมตียังขึ้นอยู่กับว่า เหยื่อมีการแบ่งส่วนเครือข่ายที่ไม่ดีและล้มเหลวในการใช้ Prompt Guardrail หรืออนุญาตให้มีการรับส่งข้อมูลขาออกที่มุ่งเป้าไปที่พอร์ตและโปรโตคอล LLM

อย่างไรก็ตาม ผมมองว่ามัลแวร์ AI นี้ ดูเหมือนจะยังเป็นเพียงแนวคิดที่ยังไม่ได้มีการใช้งานจริงและยังไม่สามารถใช้งานได้อย่างเต็มรูปแบบ แต่การไม่ละเลยและมองข้ามภัยคุกคามก็เป็นสิ่งที่สำคัญมากเช่นกัน

องค์กรสามารถเริ่มการสร้างความตระหนักรู้ภายในเกี่ยวกับความปลอดภัยทางไซเบอร์ในเรื่องของความเสี่ยงที่เกิดขึ้นใหม่ๆ เหล่านี้ พร้อมแชร์ผลการวิจัยเพื่อวางแผนรับมือกับภัยคุกคามที่อาจจะเข้าโจมตีระบบขององค์กรในอนาคตครับ