ไทม์ไลน์การแฮ็กของปีนี้มันบ้าคลั่งมาก

 (ringmast4r.substack.com)
5 คะแนน โดย GN⁺ 15 일 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ตลอดราว 100 วันในช่วงต้นปี 2026 เกิดการโจมตีไซเบอร์ขนาดใหญ่ที่เกี่ยวข้องกับรัฐและองค์กรอาชญากรรมต่อเนื่องกันเป็นลูกโซ่ จนเป็นเหตุการณ์ระดับจุดเปลี่ยนในประวัติศาสตร์ความมั่นคงปลอดภัยคอมพิวเตอร์
  • การโจมตีแบ่งได้เป็น 4 คลัสเตอร์คือ อิหร่าน, SLH, เกาหลีเหนือ, รัสเซีย และทั้งหมดมีโครงสร้างร่วมกันคือ การใช้ประโยชน์จากซัพพลายเชนและความสัมพันธ์แห่งความเชื่อถือ
  • ความเสียหายสำคัญได้แก่ การลบระบบ 200,000 เครื่องของ Stryker, การอ้างว่ามีข้อมูลรั่วไหลจาก Lockheed Martin 375TB, อีเมลของผู้อำนวยการ FBI รั่ว, Axios npm ติดมัลแวร์, และ การเจาะระบบ Oracle·Cisco·Rockstar·Mercor เป็นต้น
  • เทคโนโลยี AI ถูกนำมาใช้ทำให้การโจมตีเป็นอัตโนมัติ โดยเกิดฟิชชิงที่สร้างด้วย AI เพิ่มขึ้น 1,265%, วอยซ์ฟิชชิงเพิ่มขึ้น 442%, และการโกงการเงินด้วยดีปเฟก AIในรูปแบบใหม่
  • แม้ภาครัฐและภาคอุตสาหกรรมกำลังรับมือกันอย่างไม่เปิดเผย แต่ความเงียบของวาทกรรมสาธารณะและความไม่สมมาตรของข้อมูลกลับเด่นชัด ทำให้ 100 วันนี้ถูกประเมินว่าเป็นช่วงเวลาที่สำคัญที่สุดครั้งหนึ่งในประวัติศาสตร์ไซเบอร์

ภาพรวมเหตุการณ์ไซเบอร์ขนาดใหญ่ในช่วง 100 วันต้นปี 2026

  • ในช่วง 4 เดือนแรกของปี 2026 เกิดการโจมตีไซเบอร์ครั้งใหญ่ต่อเนื่องกัน โดยเกี่ยวข้องกับรัฐและองค์กรอาชญากรรม เช่น จีน อิหร่าน เกาหลีเหนือ และรัสเซีย
    • มีทั้งการรั่วไหลข้อมูล 10 เพตะไบต์จากซูเปอร์คอมพิวเตอร์ของรัฐจีน, การทำให้ Stryker เป็นอัมพาตทั่ว 79 ประเทศ, การอ้างว่ามีข้อมูลจาก Lockheed Martin รั่วไหล 375TB, การรั่วไหลของอีเมลส่วนตัวผู้อำนวยการ FBI, การเจาะเครือข่ายดักฟังของ FBI, และความเสียหายต่อบริษัทหลายแห่ง เช่น Rockstar Games·Cisco·Oracle·Mercor
  • เหตุการณ์เหล่านี้ที่ดำเนินต่อเนื่องราว 100 วันมีแนวโน้มสูงที่จะถูกบันทึกว่าเป็นจุดเปลี่ยนในประวัติศาสตร์ความมั่นคงปลอดภัยคอมพิวเตอร์
  • อย่างไรก็ตาม แทบไม่มีการถกเถียงในวงกว้าง และเห็นช่องว่างชัดเจนระหว่างการรับมือแบบไม่เปิดเผยของรัฐและอุตสาหกรรมกับความเงียบในวาทกรรมสาธารณะ

4 คลัสเตอร์การโจมตีหลัก

  • การโจมตีในปี 2026 สามารถแบ่งได้เป็น 4 คลัสเตอร์คือ อิหร่าน, SLH, เกาหลีเหนือ, รัสเซีย โดยทั้งหมดมีโครงสร้างร่วมกันคือ การใช้ประโยชน์จากซัพพลายเชนและความสัมพันธ์แห่งความเชื่อถือ

  • คลัสเตอร์ 1: อิหร่าน / Handala / Void Manticore

    • เป็นปฏิบัติการเชิงทำลายล้างที่รัฐหนุนหลัง โดย Palo Alto Networks Unit 42 ระบุว่า Void Manticore เป็นผู้ปฏิบัติการที่เชื่อมโยงกับกระทรวงข่าวกรองและความมั่นคงของอิหร่าน (MOIS)
    • ปฏิบัติการโจมตีภาคอุตสาหกรรม กลาโหม และหน่วยงานรัฐของสหรัฐในชื่อ Handala Hack Team พร้อมอ้างว่าเป็นการแก้แค้นต่อเหตุระเบิดโรงเรียนที่มินาบเมื่อเดือนกุมภาพันธ์ 2026 (เสียชีวิต 175 คน)
    • ความเสียหาย: Stryker (ลบอุปกรณ์ 200,000 เครื่อง), Lockheed Martin (อ้างว่าข้อมูลรั่ว 375TB และเปิดเผยข้อมูลส่วนตัววิศวกร 28 คน), อีเมลส่วนตัวของผู้อำนวยการ FBI รั่ว

  • คลัสเตอร์ 2: Scattered LAPSUS$ Hunters (SLH)

    • เป็นกลุ่มโจรกรรมและข่มขู่ SaaS ขนาดใหญ่ที่มุ่งหวังผลประโยชน์ทางการเงิน ก่อตัวขึ้นในเดือนสิงหาคม 2025 จากการรวมตัวของ ShinyHunters·Scattered Spider·LAPSUS$
    • ในแคมเปญ Salesforce มีการขโมยระเบียน Salesforce 1.5 พันล้านรายการจาก 300~400 องค์กร โดยบริษัทผู้เสียหายมีทั้ง Google, Cisco, LVMH, Okta, AMD, Snowflake เป็นต้น
    • วิธีโจมตีพัฒนาจากการขโมย OAuth token ไปสู่การบิดเบือน MFA ผ่านการโทรศัพท์ และวอยซ์ฟิชชิงถูกชี้ว่าเป็นปัจจัยที่ก่อให้เกิดการเจาะระบบองค์กรมากที่สุดในปี 2026

  • คลัสเตอร์ 3: เกาหลีเหนือ / UNC1069

    • เป็นการโจมตีเพื่อผลประโยชน์ทางการเงินที่เน้นการเจาะซัพพลายเชนโอเพนซอร์ส โดยกรณียึดบัญชี npm ของ Axios เป็นตัวอย่างเด่น
    • ผู้โจมตีสร้างบริษัทปลอมและสภาพแวดล้อม Slack·Teams ปลอมเพื่อสร้างความไว้วางใจจากผู้ดูแลแพ็กเกจ ก่อนขโมยบัญชี npm และฝัง RAT ลงในไลบรารีที่มีการดาวน์โหลดระดับ 100 ล้านครั้งต่อสัปดาห์
    • การโจมตีซัพพลายเชนของ Trivy ที่ Cisco ก็มีรูปแบบคล้ายกัน คืออาศัยการละเมิดบนฐานของความไว้วางใจ

  • คลัสเตอร์ 4: รัสเซีย / APT28

    • เป็นการโจมตี zero-day ต่อยูเครนและสหภาพยุโรป โดยใช้ช่องโหว่ Microsoft Office (CVE-2026-21509)
    • มีการโจมตีบัญชีอีเมลในยุโรปกว่า 60 บัญชีและหน่วยงานรัฐบาลยูเครน โดยมีลักษณะเด่นคือการใช้ประโยชน์จากความสัมพันธ์แห่งความเชื่อถือและความเร็วในการแปลงเป็นอาวุธโจมตี
    • ทั้ง 4 คลัสเตอร์ต่างใช้ประโยชน์จากความจริงที่ว่าแนวป้องกันของบริษัทตะวันตกถูกแทนที่ด้วยความเชื่อถือในซัพพลายเชน
    • อิหร่านมุ่งทำลาย, SLH มุ่งขโมยเงิน, เกาหลีเหนือมุ่งติดเชื้อนักพัฒนา, รัสเซียมุ่งข่าวกรอง

รายละเอียดตามเหตุการณ์สำคัญ

  • Stryker: การโจมตีแบบ wiper แบบเรียลไทม์ต่อบริษัทอุปกรณ์การแพทย์ระดับโลก

    • วันที่ 11 มีนาคม 2026 Stryker Corporation เป็นอัมพาตทั่วโลก
    • ผู้โจมตีขโมยบัญชีผู้ดูแล Windows domain แล้วสร้าง global admin ใน Microsoft Entra·Intune จากนั้นสั่งรีเซ็ตจากระยะไกล ทำให้ลบระบบ 200,000 เครื่อง
    • ส่งผลให้เกิดความล่าช้าในการรักษาผู้ป่วย เช่น การเลื่อนการผ่าตัดในโรงพยาบาล โดย Handala อ้างว่าเป็นผู้ลงมือ
    • FBI ยึดโดเมนของ Handala 4 โดเมนและประกาศรางวัลนำจับ 10 ล้านดอลลาร์ ขณะที่ Handala ตอบโต้ด้วยรางวัลนำจับกลับ 50 ล้านดอลลาร์ต่อ Trump และ Netanyahu

  • Lockheed Martin: อ้างว่าข้อมูลรั่ว 375TB และเปิดเผยข้อมูลส่วนตัววิศวกร 28 คน

    • ผู้ใช้ชื่อ “APT Iran” อ้างว่าขโมยข้อมูล 375TB และนำไปขายบนดาร์กเว็บ (จาก 400 ล้าน→598 ล้านดอลลาร์) โดยอ้างว่ารวมแบบแปลนที่เกี่ยวข้องกับ F-35 แต่ยังไม่มีการยืนยันหลักฐาน
    • Handala เปิดเผยข้อมูลส่วนตัวและข่มขู่วิศวกร 28 คนจากโครงการF-35, F-22, THAAD ซึ่งถูกประเมินว่าเป็นกรณี doxxing ที่รัฐหนุนหลัง

  • กรณีอีเมลส่วนตัวของผู้อำนวยการ FBI รั่ว

    • วันที่ 27 มีนาคม 2026 Handala เผยแพร่อีเมล รูปภาพ และเรซูเม่กว่า 300 รายการจาก Gmail ส่วนตัวของผู้อำนวยการ FBI Kash Patel
    • เป็นการโจมตีแบบ credential stuffing จากการใช้รหัสผ่านซ้ำ ซึ่งมีความซับซ้อนทางเทคนิคไม่สูง
    • เหตุการณ์นี้เกิดขึ้น 8 วันหลัง FBI ยึดโดเมน จึงถูกมองว่าเป็นการเปิดเผยเพื่อตอบโต้และเป็นการแสดงเชิงสัญลักษณ์ว่า “เราสามารถอ่านเมลผู้อำนวยการ FBI ได้”

  • กรณีเจาะเครือข่ายดักฟังของ FBI

    • ตรวจพบความผิดปกติเมื่อวันที่ 17 กุมภาพันธ์ 2026 และวันที่ 23 มีนาคมถูกจัดประเภทเป็น**‘เหตุการณ์重大’ ตามกฎหมาย (major incident)**
    • ผู้โจมตีใช้โครงสร้างพื้นฐาน ISP เชิงพาณิชย์เพื่อหลบเลี่ยงมาตรการความปลอดภัยของ FBI และเข้าถึงเครือข่ายดักฟังและเฝ้าระวังภายใน
    • ถือเป็นการบุกรุกที่ใช้ประโยชน์จากความเชื่อถือในซัพพลายเชน และถูกประเมินว่าร้ายแรงกว่ากรณีอีเมลส่วนตัวของ Patel มาก

กรณีการเจาะระบบบริษัทและโครงสร้างพื้นฐานระดับโลก

  • กรณียึดบัญชี npm ของ Axios

    • วันที่ 31 มีนาคม 2026 มีการยึดบัญชี npm ของไลบรารี Axios แล้วปล่อยเวอร์ชันอันตราย 1.14.1·0.30.4
    • เป็นเวลาราว 2~3 ชั่วโมงที่แพ็กเกจซึ่งมียอดดาวน์โหลดระดับ100 ล้านครั้งติดเชื้อ ทำให้ CI pipeline ทั้งหมดติดตั้ง RAT
    • Google Threat Intelligence Group เปิดเผยว่าเป็นฝีมือของUNC1069 จากเกาหลีเหนือ
    • เป็นการแทรกซึมด้วยวิศวกรรมสังคม เช่น การตั้งบริษัทปลอมและจัดฉากสภาพแวดล้อมการทำงานร่วมกันบน Slack·Teams และถูกประเมินว่าเป็นการโจมตี npm ที่ซับซ้อนที่สุดนับจากแบ็กดอร์ XZ Utils

  • Cisco: การเจาะซัพพลายเชน Trivy และการรีดไถข้อมูล Salesforce

    • ในเดือนมีนาคม 2026 การโจมตีซัพพลายเชน Trivy ทำให้สภาพแวดล้อมการพัฒนาภายในของ Cisco ถูกเจาะ และมีการคัดลอก GitHub repository 300 แห่ง
    • ShinyHunters อ้างว่าขโมยข้อมูล Salesforce 3 ล้านรายการและเรียกเงิน
    • Cisco ยอมรับข้อเท็จจริงบางส่วน ทำให้เห็นว่าแม้องค์กรที่มีวุฒิภาวะด้านความปลอดภัยสูงก็ยังเปราะบางทั้งในซัพพลายเชนและ SaaS

  • Mercor: จุดอ่อนเพียงจุดเดียวใน data pipeline หลักของอุตสาหกรรม AI

    • สตาร์ตอัปที่ดูแล data pipeline สำหรับการฝึกของห้องวิจัย AI รายใหญ่ เช่น OpenAI, Anthropic, Meta

      • ในเดือนมีนาคม 2026 เกิดการติดเชื้อไลบรารี LiteLLM จนข้อมูลรับรองถูกขโมย และข้อมูลการฝึก AI กับโปรโตคอลการทำ label รั่วไหล
      • Lapsus$ อ้างว่าเป็นผู้เจาะต่อเนื่องและเปิดเผยข้อมูล 4TB ซึ่งรวมถึง dump จาก Slack ภายใน, API key และวิดีโอการสนทนาของผู้รับจ้าง AI
      • Meta ยุติสัญญากับ Mercor ทำให้ปัญหาการพึ่งพาสตาร์ตอัปจำนวนน้อยและโอเพนซอร์สของอุตสาหกรรม AI ถูกจับตา

  • Oracle Cloud: ข้อมูลรั่ว 6 ล้านรายการและปัญหา ‘legacy cloud’

    • วันที่ 21 มีนาคม 2026 แฮ็กเกอร์ “rose87168” อ้างว่าขายข้อมูล 6 ล้านรายการจาก Oracle Cloud

    • มีการเจาะ Oracle Access Manager ผ่านช่องโหว่ CVE-2021-35587 ส่งผลกระทบต่อ tenant 140,000 ราย

      • Oracle ปฏิเสธในตอนแรก ก่อนยอมรับภายหลังว่ามีการเข้าถึงสภาพแวดล้อมแบบ legacy และมีรายงานว่าข้อมูลของโรงพยาบาลอาจรั่วได้สูงสุด 80 แห่ง
      • ทำให้เห็นความเสี่ยงของโครงสร้างพื้นฐานเก่าที่ไม่ได้ปลดระวาง (Shadow Legacy)

  • Rockstar Games: การแทรกซึมผ่านการเชื่อมต่อ SaaS

    • ต้นเดือนเมษายน 2026 ShinyHunters อ้างว่าเจาะ Rockstar Games ได้ และ Rockstar ยืนยันว่าเกิดจากการเจาะ Anodot SaaS
    • ผู้โจมตีขโมย Anodot authentication token แล้วเข้าถึงอินสแตนซ์ Snowflake เปิดเผยความเปราะบางของห่วงโซ่ความเชื่อถือระหว่าง SaaS กับ data warehouse

  • ระบบการบินยุโรปเป็นอัมพาต

    • วันที่ 6 เมษายน 2026 ระบบเช็กอินและจัดการสัมภาระของสนามบินอย่าง Heathrow·Charles-de-Gaulle·Frankfurt·Copenhagen ล่มพร้อมกัน
    • ทำให้เที่ยวบินมากกว่า 1,600 เที่ยวยกเลิกหรือล่าช้าในวันเดียว โดยมีต้นตอจากแพลตฟอร์ม MUSE ของ Collins Aerospace
    • EASA รายงานว่าการโจมตีไซเบอร์ภาคการบินในปี 2024~2025 เพิ่มขึ้น 600% หรือระดับ 1,000 ครั้งต่อเดือน

  • การแฮ็ก NSCC ของจีน

    • แฮ็กเกอร์ FlamingChina อ้างว่าขโมยข้อมูล 10 เพตะไบต์จากศูนย์ซูเปอร์คอมพิวเตอร์แห่งชาติเทียนจินของจีน (NSCC)
    • มีทั้งไฟล์ simulation ด้านอากาศยานและกลาโหม รวมถึงข้อมูลจากมหาวิทยาลัยวิทยาศาสตร์และเทคโนโลยีกลาโหม โดยมีสื่อฝั่งตะวันตกอย่าง CNN รายงาน
    • เป็นการขโมยข้อมูลอย่างลับ ๆ นาน 6 เดือนหลังเจาะโดเมน VPN ขณะที่รัฐบาลจีนยังไม่มีท่าทีอย่างเป็นทางการ

  • Volt Typhoon และ Salt Typhoon

    • Volt Typhoon เจาะโครงสร้างพื้นฐานสำคัญของสหรัฐมาตั้งแต่ปี 2021 ส่วน Salt Typhoon เจาะผู้ให้บริการโทรคมนาคมและระบบดักฟังของสหรัฐในปี 2024~2025
    • เหตุการณ์ในปี 2026 ถูกวิเคราะห์ว่าเป็นปรากฏการณ์ที่ปรากฏบนผิวหน้า จากฐานการแทรกซึมระยะยาวเหล่านี้

  • Honda: การถูกเจาะหลายรูปแบบสะสม

    • มีทั้งช่องโหว่ API ในแพลตฟอร์ม e-commerce, จุดอ่อนในขั้นตอนรีเซ็ตรหัสผ่าน, และการถูกโจมตีด้วย PLAY ransomware เป็นต้น
    • แม้ความเสียหายรายกรณีจะไม่รุนแรงมาก แต่เป็นตัวอย่างที่สะท้อนความไม่สมดุลระหว่างวุฒิภาวะด้านความปลอดภัยกับพื้นผิวการโจมตีขององค์กรขนาดใหญ่

สัญญาณผิดปกติด้าน AI และการตอบสนองของภาครัฐ

  • การโจมตีที่ขับเคลื่อนด้วย AI เพิ่มขึ้นอย่างรวดเร็ว

    • จากข้อมูลช่วงปี 2025~2026 พบพร้อมกันทั้งการทำให้การโจมตีเป็นอัตโนมัติและการพุ่งขึ้นของภัยคุกคาม
    • อีเมลฟิชชิงที่สร้างด้วย AI เพิ่มขึ้น 1,265% และ 82.6% ของฟิชชิงทั้งหมดถูกสร้างโดย AI
    • ในช่วงวันหยุด สัดส่วนคอนเทนต์ที่สร้างด้วย AI พุ่งจาก 4% เป็น 56% ขณะที่วอยซ์ฟิชชิงเพิ่มขึ้น 442% และ QR ฟิชชิงเพิ่มขึ้น 400%
    • AI สามารถเขียนอีเมล spear phishing ได้ภายใน 5 นาที และมีอัตราการคลิก 54% สูงกว่าที่มนุษย์เขียน (12%) มากกว่า 4 เท่า

  • การใช้ AI ของเกาหลีเหนือ

    • Microsoft ระบุชัดว่าแอ็กเตอร์จากเกาหลีเหนือ 2 กลุ่มคือ Jasper Sleet, Coral Sleet ใช้AI ตั้งแต่การลาดตระเวนไปจนถึงกิจกรรมหลังการเจาะระบบ
    • กลุ่ม Kimsuky ใช้ ChatGPT เพื่อปลอมบัตรประจำตัวทหารและหน่วยงานรัฐบาลเกาหลีใต้
    • กระทรวงการคลังสหรัฐคว่ำบาตรเครือข่ายแรงงานไอทีเกาหลีเหนือที่ปลอมตัวสมัครงานด้วยเรซูเม่และคำตอบสัมภาษณ์ที่สร้างด้วย AI

  • การฉ้อโกงการเงินด้วย AI ดีปเฟก

    • มีกรณีชักจูงให้โอนเงิน 25 ล้านดอลลาร์ผ่านการประชุมวิดีโอ Teams ที่ประกอบด้วยวิดีโอ CFO และเพื่อนร่วมงานซึ่งสร้างโดย AI

  • ความสามารถโจมตีของโมเดล AI

    • โมเดล Mythos ของ Anthropic ทำการจำลองการเจาะระบบได้เร็วกว่า GPT-4o (6.2 ชั่วโมง เทียบกับ 10.4 ชั่วโมง) และตรวจพบช่องโหว่ของแอปพลิเคชันได้ 73%
    • Anthropic เก็บ Mythos ไว้ไม่เปิดเผย และให้ใช้งานแบบจำกัดแก่เพียง 40 บริษัท เช่น Microsoft·Google
    • OpenAI ก็เตรียมเผยแพร่โมเดลลักษณะคล้ายกันแบบจำกัด ผ่านโปรแกรม “Trusted Access for Cyber”

  • การตอบสนองฉุกเฉินของรัฐบาลสหรัฐ

    • วันที่ 7 เมษายน 2026 รัฐมนตรีคลังสหรัฐ Scott Bessent และประธานเฟด Jerome Powell เรียกตัวCEO ของธนาคารใหญ่ 5 แห่งมาที่วอชิงตัน
    • เหตุผลคือ Anthropic รายงานว่า Mythos ค้นพบช่องโหว่ zero-day หลายพันรายการใน OS และเบราว์เซอร์หลักทั้งหมด
    • รัฐบาลมองว่านี่เป็นภัยคุกคามระดับเสถียรภาพทางการเงิน และจัดการบรีฟแบบไม่เปิดเผยในระดับสูงสุด

สรุปภาพรวมเหตุการณ์ทั้งหมดในไตรมาส 1 ปี 2026

  • เฉพาะเหตุการณ์สำคัญที่ถูกเปิดเผยระหว่างเดือนมกราคมถึงเมษายนก็มีมากกว่า 40 กรณี และในความเป็นจริงอาจมีระดับหลายร้อยกรณี
    • เฉพาะแคมเปญ Salesforce ของ SLH ก็ประเมินว่ามีเหยื่อราว 300~400 องค์กร และข้อมูลรั่วไหล 1.5 พันล้านรายการ
    • ในเดือนมีนาคม 2026 เพียงเดือนเดียว มีเหตุ ransomware 672 กรณี โดย Qilin·Akira·DragonForce คิดเป็น 40%
  • เมื่อเทียบกับปี 2025 การโจมตี ransomware เพิ่มขึ้น 49% และภาคสาธารณสุขคิดเป็น 22%

ทำไมถึงเงียบกันขนาดนี้?

  • แม้จะมีเหตุการณ์ขนาดใหญ่ แต่ปฏิกิริยาจากสื่อกระแสหลักและวาทกรรมสาธารณะกลับอ่อนมาก
    • มีการเสนอเหตุผล เช่น ภาระทางการเมืองจากการชี้ว่าเป็นฝีมือรัฐ, ผลประโยชน์เชิงพาณิชย์ของอุตสาหกรรมความปลอดภัย, ความเหนื่อยล้าต่อข่าวไซเบอร์, และ การอยู่ร่วมกันอย่างอึดอัดกับอุตสาหกรรม AI

  • แม้ข้อมูลจะถูกแชร์กันในหมู่ผู้มีอำนาจสูงสุดของรัฐ แต่ในวาทกรรมสาธารณะกลับยังคงเงียบ

    • ช่วง 100 วันต้นปี 2026 ถูกประเมินว่าเป็นหนึ่งในช่วงเวลาที่สำคัญที่สุดในประวัติศาสตร์ไซเบอร์ และ ความเงียบของวาทกรรมสาธารณะเองก็อาจถูกบันทึกไว้ว่าเป็นปรากฏการณ์ทางประวัติศาสตร์ที่ควรถูกจับตา

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 15 일 전
ความคิดเห็นจาก Hacker News

  • ในฐานะส่วนหนึ่งของงานตรวจสอบสถานะทางเทคนิค กำลังเขียนคอนเทนต์ว่าด้วย ความปลอดภัยและยุค gen-AI จากมุมมองการลงทุนของ PE
    จากการสำรวจตลอด 6 เดือนที่ผ่านมา เราตระหนักว่าในทางปฏิบัติแล้วเรากำลังก้าวเข้าสู่ วันสิ้นโลกของแรนซัมแวร์
    gen-AI กลายเป็นเครื่องมือที่สมบูรณ์แบบสำหรับอาชญากรไซเบอร์ มันสามารถสร้างเว็บไซต์และโปรไฟล์ปลอมหลายพันรายการโดยอัตโนมัติ ทำลายระบบความน่าเชื่อถือของโฆษณาและลิงก์ และการโจมตีแบบฟิชชิงที่ผสานเสียง·ข้อความ·วิดีโอก็กำลังกลายเป็นเรื่องปกติ
    การโจมตีซัพพลายเชนทำให้ package manager กลายเป็นระเบิดเวลา และแก๊งแรนซัมแวร์ตอนนี้ก็ขายเครื่องมือโจมตีในรูปแบบ SaaS
    เทคโนโลยีระดับเดียวกับการโจมตีของรัฐชาติตอนนี้ซื้อขายกันได้ในราคาไม่กี่บาท แถม gen-AI ยังทำให้โค้ดที่มีช่องโหว่เพิ่มขึ้นแบบระเบิดอีกด้วย
    ถ้าเป็นคนเทครุ่นใหม่ การเลือกเส้นทางอาชีพไปทาง สายความปลอดภัย น่าจะเป็นการตัดสินใจที่ฉลาด เพราะโลกที่กำลังจะมานั้นบ้าคลั่งจริง ๆ

    • ดูเหมือนผู้คนจะยังไม่ค่อยตระหนักว่า genAI คือ ภัยคุกคามเชิงอัตถิภาวะ ต่ออินเทอร์เน็ตเอง
      ตอนนี้เราอยู่ในยุคที่ทั้งเชื่อข้อมูลบนเว็บก็ไม่ได้ และในหลายกรณีก็แทบไม่จำเป็นต้องมีเว็บด้วยซ้ำ
      หวังว่ากลไกป้องกันจะเริ่มทำงานได้ทันเวลา และให้ความปลอดภัยซึมเข้าไปเป็นส่วนหนึ่งของวัฒนธรรมการคอมพิวติ้งโดยรวม
    • ถึงอย่างนั้นฉันก็ยังแนะนำ วิศวกรรมซอฟต์แวร์ อยู่ดี
      สำหรับบริษัทส่วนใหญ่ ความปลอดภัยก็ยังเป็นแค่รายการต้นทุน และจะสนใจก็ต่อเมื่อเกิดเหตุแล้วเท่านั้น
      แต่ฝั่ง Security SaaS ยังทำเงินได้อยู่ ดังนั้นสายนั้นก็น่าสนใจ
    • ถ้า AI ทำการโจมตีพวกนี้ได้ ก็ไม่มีเหตุผลว่าทำไม วิศวกรความปลอดภัย จะไม่ถูกแทนที่ด้วย AI เหมือนกัน
    • สุดท้ายแล้วดูเหมือนคนทั่วไปจะถูก ผลักออกจากอินเทอร์เน็ต เพราะมันจะอันตรายเกินไป
    • ถ้ามีแค่ใบรับรองเป็น CISSP หรือ SOC operator อย่างเดียวก็ไม่มีอนาคต
      ต้องเป็นวิศวกรตัวจริงที่เข้าใจทั้งพื้นฐานการพัฒนา โครงสร้างภายในของ OS เทคโนโลยีเว็บ อัลกอริทึม และแนวคิดทั้งฝั่งโจมตี·ป้องกัน
      น่าเสียดายที่ความเป็นจริงคือผู้เรียนสาขา ‘ไซเบอร์ซีเคียวริตี้’ จำนวนมากในอเมริกาเหนือยังไปไม่ถึงระดับ L1 helpdesk ด้วยซ้ำ

  • สิ่งที่แปลกคือ เมื่อวันที่ 7 เมษายน 2026 รัฐมนตรีคลังสหรัฐและประธานธนาคารกลางสหรัฐได้เรียกประชุมด่วน CEO ของธนาคารรายใหญ่ เพื่อบรีฟด้วยตัวเองเกี่ยวกับ ความเสี่ยงไซเบอร์ที่เกี่ยวข้องกับ Mythos ของ Anthropic
    ในแคนาดาก็มีการประชุมลักษณะคล้ายกัน การที่ธนาคารกลางหลายแห่งเปิดประชุมแบบนี้พร้อมกันถือว่าผิดปกติมาก

    • น่าจะมีความเป็นไปได้อยู่สองอย่าง
      1. พบ ช่องโหว่ขนาดใหญ่ ในซอฟต์แวร์แพ็กเกจหลัก จนทำให้ภาคการเงินตกอยู่ในความเสี่ยง
      2. พบช่องโหว่พร้อมกันในหลายแพ็กเกจ จนกังวลว่าจะเกิด แรงกระแทกต่อตลาด
        และเพราะเป็นช่วงก่อนการเลือกตั้ง ความไม่มั่นคงทางเศรษฐกิจก็เป็นความเสี่ยงทางการเมืองขนาดใหญ่ด้วย
    • ในโลกการเงินแบบดั้งเดิม ต่อให้ขโมยเงินไปก็ยังมี ระบบที่ย้อนกลับธุรกรรมได้ เลยสงสัยว่าพวกเขาจะทำ off-ramp ได้อย่างไร
      เพราะมันไม่ใช่โครงสร้างที่ย้อนกลับไม่ได้แบบคริปโต
    • อย่างน้อยก็ยังนับว่าโชคดีที่รัฐบาลไม่สามารถใช้ผลิตภัณฑ์ของ Anthropic ได้

  • เหตุการณ์ส่วนใหญ่ถูกพูดถึงบน Hacker News ไปแล้ว
    บริษัทต่าง ๆ ต้องบริหารระดับความปลอดภัยแบบเป็นชั้น ๆ คุณปกป้องทุกอย่างพร้อมกันไม่ได้ และสำหรับทรัพย์สินสำคัญก็ต้องยอมรับต้นทุนและความไม่สะดวก
    ในอุตสาหกรรมการบินและอวกาศ ถ้าโปรเจกต์ถูกยกระดับเป็น SECRET ต้นทุนจะพุ่งเป็นสองเท่า ส่วน TOP SECRET ก็สูงกว่านั้นอีก
    ธนาคารและบริษัทบัตรเครดิตเข้าใจความจริงข้อนี้ แต่บริษัทส่วนใหญ่ไม่เข้าใจ

    • ประเด็นพวกนี้ถูกพูดซ้ำ ๆ บน HN มาตลอด แต่ปัญหาคือผู้คนกลับไม่ยอมรับ ความร้ายแรงของเรื่องความปลอดภัย และชอบประชดเสียมากกว่า
      มักมีปฏิกิริยาประมาณว่า “ฉันอ่านหมดแล้ว มีอะไรใหม่ล่ะ”
    • วิธีรักษาความปลอดภัยที่ได้ผลที่สุดคือ แยก PC ที่ต่ออินเทอร์เน็ตออกจาก PC ที่ใช้จัดการข้อมูลสำคัญโดยสิ้นเชิง
      แต่ก็ไม่สะดวกเพราะต้องใช้คอมพิวเตอร์มากกว่าหนึ่งเครื่อง
      ทางเลือกที่สมจริงกว่าคือให้มีแค่ VM ชั่วคราว ที่เชื่อมผ่านโปรโตคอลอย่าง RDP เท่านั้นที่เข้าถึงอินเทอร์เน็ตได้

  • ฉันทำงานเป็นหัวหน้าฝ่ายความปลอดภัย สร้างอาชีพที่ดีมาได้ และผ่านหลายบริษัทในฐานะ ผู้เชี่ยวชาญด้านการบริหารความเสี่ยง
    แต่ตอนนี้เกมเปลี่ยนไปหมดแล้ว ภายใน 1 ปีฉันวางแผนจะเกษียณและย้ายไปทำงานที่ไม่เกี่ยวกับ AI เลย เช่น พยาบาลหรือช่างประปา
    รู้สึกว่าต้องสร้าง อิสรภาพทางการเงินที่กัน AI ได้ ให้ได้ก่อนที่ AI จะเข้าครอบงำ
    ผู้เชี่ยวชาญด้านความปลอดภัยจำนวนมากก็คิดคล้ายกัน
    ถ้าบริษัทต่าง ๆ ไม่ควบคุมการนำ AI ที่ดูดซับ PII จากเอกสารภายในมาใช้ ยุค ความโกลาหลแบบ 0-day เหมือนช่วงทศวรรษ 1990 จะกลับมาอีกครั้ง
    ทีมความปลอดภัยจะพังทลายจากงานล้นและภาวะหมดไฟ และสุดท้ายก็เท่ากับใช้ AI มาทำลายงานของตัวเอง
    พอเศรษฐกิจถดถอยรอบถัดไปมาถึง ความจริงข้อนี้จะปรากฏชัด

    • เข้าใจความรู้สึกนี้ แต่โดยมากแล้วโลกมักเคลื่อนไปในทิศทาง “ไม่มีอะไรเกิดขึ้น”
      การเตรียมการทางการเงินเป็นเรื่องดี แต่ก็ควรระวังการมองโลกในแง่ร้ายเกินไป
    • แม้แต่พยาบาลหรือเลขานุการก็ยากจะหนีผลกระทบจาก AI
      งานใช้แรงกายก็หนักและค่าตอบแทนต่ำ ตรงกันข้าม ผู้เชี่ยวชาญด้านความปลอดภัยอาจยิ่งเป็นที่ต้องการมากขึ้นด้วยซ้ำ
    • ตอนนี้ทั่วโลกมี ตำแหน่งงานด้านความปลอดภัยขาดแคลน 4.8 ล้านตำแหน่ง
      ความต้องการอยู่ที่ 10.2 ล้านคน แต่จำนวนคนทำงานจริงมีเพียงครึ่งเดียว
      อัตราการเติบโตของอุตสาหกรรมก็ชะลอลงเหลือ 0.1% และเมื่อคนซีเนียร์ทยอยออกจากวงการ อัตราความสำเร็จของการโจมตีก็พุ่งขึ้นอย่างมาก
      แทบไม่มีโอกาสเลยที่สถานการณ์จะดีขึ้นในระยะสั้น
    • ถ้าเป็นวิศวกรซอฟต์แวร์ ฉันคิดว่าตอนนี้นี่เองคือ หน้าที่ทางศีลธรรมในการลุกขึ้นป้องกัน AI
      เราต้องปกป้องทั้งตัวเองและสังคมจาก AI ที่เป็นภัย
    • ฝั่งหนึ่งคือ FOMO ที่อยากเข้าวงการความปลอดภัย อีกฝั่งคือบรรยากาศแบบ FUD
      ความจริงน่าจะอยู่ตรงกลางระหว่างสองอย่างนั้น

  • เมื่อก่อนแค่ข้อมูลรั่วไหลไม่กี่ GB ก็ถือว่าเป็นเหตุใหญ่แล้ว แต่ตอนนี้โดนขโมยกันในระดับ เทราไบต์·เพตะไบต์

    • ข่าวร้าย: ข้อมูลส่วนบุคคลทั้งหมดที่ data broker ถืออยู่ใกล้จะถูกเปิดเผยหมดแล้ว
      ข่าวดี: ข้อมูลของนักการเมืองก็น่าจะถูกเปิดเผยไปด้วย ซึ่งอาจจุดชนวนให้เกิด การถกเถียงเรื่องกฎระเบียบ

  • ถ้า Mythos ค้นพบ ซีโร่เดย์นับพันรายการ ใน OS และเบราว์เซอร์หลัก ก็มีโอกาสสูงที่หน่วยข่าวกรองต่าง ๆ จะครอบครองมันอยู่แล้ว
    ถึงขั้นที่ไม่จำเป็นต้องมีแบ็กดอร์อีกต่อไป
    แต่ก็ยังน่าสงสัยว่าผู้ขายซอฟต์แวร์ได้รับรายการช่องโหว่เหล่านั้นหรือไม่

  • อ่านยากเพราะเป็น สำนวนแบบ LLM ชัดเจน
    การใช้สำนวนอย่าง “ความเงียบงันของวาทกรรมสาธารณะยังไม่ถูกทำลาย” ซ้ำ ๆ ทำให้รู้สึกว่าโอเวอร์เกินจริง

  • ทีมการตลาด ของ Anthropic นี่เก่งจนน่ากลัวจริง ๆ อดสงสัยไม่ได้ว่า Opus เป็นคนวางกลยุทธ์นี้หรือเปล่า

    • การตลาดด้วยความกลัว เป็นประเพณีดั้งเดิมของวงการความปลอดภัย
      ข้ออ้างเชิงเทคนิคอาจไม่ใช่เรื่องเกินจริง แต่จะบอกว่ามีแค่บริษัทเดียวที่ควรค่าแก่ความเชื่อถืออย่างผูกขาดนั้นก็ฟังไม่ขึ้น
    • ถ้าความสามารถของ Mythos เป็นของจริง อีกไม่นาน บริษัทยักษ์ใหญ่ด้านเทคโนโลยี ก็จะตรวจสอบและยืนยันได้เอง
      แต่ถ้าเป็นแค่คำโม้ เดี๋ยวมันก็โป๊ะแตกอย่างรวดเร็ว
    • การผสานกันของ AI กับความปลอดภัยดูเหมือนจะกลายเป็น แนวหนึ่งโดยตัวมันเอง ไปแล้ว

  • เอาเข้าจริงสถานการณ์ก็ไม่ได้บ้าคลั่งขนาดนั้น เป็นแค่ อคติจากความใหม่ล่าสุด
    คุณภาพสแปมดีขึ้นก็จริง และมีความก้าวหน้าอย่างการโคลนเสียงหรือการทำอัตโนมัติของการโจมตีในวงกว้าง แต่การโจมตีส่วนใหญ่ก็ยังอาศัย ช่องโหว่ n-day อยู่ดี

  • ในเดือนสิงหาคม 2025 ข่าวที่ว่าแก๊งแฮ็กชื่อดัง ShinyHunters, Scattered Spider, LAPSUS$ ควบรวมกันและตั้ง กลุ่มอาชญากรรมไซเบอร์พันธมิตร ชื่อ ‘Scattered LAPSUS$ Hunters(SLH)’ นั้นน่าสนใจมาก
    มันเหมือนกับการสร้าง SaaS แบบบูรณาการแนวดิ่ง ราวกับเป็น M&A ของสตาร์ตอัป
    อดสงสัยไม่ได้ว่าการปรับโครงสร้างกำลังคนภายในอาจถูกทำด้วย ‘วิธีทางกายภาพ’ หรือไม่

    • กลุ่มพวกนี้ในทางปฏิบัติก็ดำเนินงาน เหมือนบริษัทหรือหน่วยงานรัฐ
      ประสบการณ์ภายในก็แทบไม่ต่างจากการทำงานในบริษัทเทคทั่วไป