พรุ่งนี้อีกวัน แค่ใส่ URL ก็มี AI Agent 9 ตัววิเคราะห์ความปลอดภัยของบริการที่สร้างด้วยไวบ์โค้ดดิ้ง
(naeildo.com)สวัสดีครับ/ค่ะ พวกเราเป็นทีมที่กำลังสร้าง Naeildo อยู่
ทุกวันนี้มีคนจำนวนมากขึ้นที่สร้างบริการได้อย่างรวดเร็วด้วยเครื่องมือเขียนโค้ดด้วย AI อย่าง Cursor และ Claude Code พวกเราก็เป็นหนึ่งในนั้น และวันหนึ่งก็เกิดคำถามขึ้นมาว่า "โค้ดนี้ปลอดภัยจริงหรือเปล่า?"
เราเลยตัดสินใจตรวจสอบด้วยตัวเอง เราได้นำบริการจริงของสตาร์ตอัปเกาหลี 28 แห่งมาวิเคราะห์ตามเกณฑ์ OWASP Top 10 และพบผลลัพธ์ที่ต่างจากที่คาดไว้
- พบช่องโหว่ด้านความปลอดภัยใน 45% ของโค้ดที่ AI สร้างขึ้น
- คะแนนความปลอดภัยเฉลี่ยของ 28 บริการ: 19.4 คะแนนจาก 100 คะแนน
- ช่องโหว่ที่พบบ่อยที่สุด: hardcode API key, ไม่ตั้งค่าเวลาหมดอายุของ JWT, อนุญาต CORS ทั้งหมด
เราอยากแก้ปัญหานี้ จึงสร้าง Naeildo ขึ้นมา
ทำงานอย่างไร
เมื่อป้อน URL ระบบจะให้ AI Agent 9 ตัวแบ่งเป็น 3 ทีมเพื่อทำการวิเคราะห์
- ทีม Guard (3 คน): วิเคราะห์โค้ดแบบสถิต, ตรวจสอบ dependency, ตรวจสอบความปลอดภัยของอินฟราสตรักเจอร์
- ทีม Analyst (3 คน): ทดสอบความปลอดภัยแบบไดนามิก, ตรวจสอบการยืนยันตัวตน/การควบคุมสิทธิ์เข้าถึง, วิเคราะห์แพตเทิร์นโค้ดที่ AI สร้าง
- ทีม Verifier (3 คน): ตรวจสอบการปฏิบัติตามมาตรฐาน OWASP, ตรวจสอบ compliance, cross-check ผลลัพธ์ทั้งหมด
หลังจากแต่ละ Agent วิเคราะห์อย่างอิสระแล้ว ระบบจะ cross-check ผ่านเส้นทางคู่ (การเก็บสัญญาณภายนอกจาก URL + การเชื่อมต่อ MCP server) เป็นโครงสร้างที่ให้ Agent ตัวหนึ่งช่วยจับจุดที่อีกตัวหนึ่งพลาดไป
ไม่จำเป็นต้องส่งโค้ดโดยตรง ระบบจะเก็บสัญญาณที่สังเกตได้จาก URL เช่น header, TLS, CORS, DNS และ metadata ของเนื้อหาเพื่อนำมาวิเคราะห์
ผลลัพธ์จากการวิเคราะห์
- รายการช่องโหว่ + การจัดระดับความรุนแรง
- คู่มือการปรับปรุงแบบเป็นขั้นตอน: ทำตามลำดับตั้งแต่ข้อ 1 ไปเรื่อย ๆ จนเสร็จ (มีตัวอย่างโค้ดแก้ไขให้ด้วย)
- รายงาน PDF: สรุปผลการตรวจสอบความปลอดภัยในรูปแบบเอกสารที่สามารถแชร์ต่อได้
- รูปแบบ Markdown: ในรูปแบบที่นักพัฒนานำไปใช้งานต่อได้ทันที
เหตุผลที่สร้าง
จากการสำรวจของ KISIA พบว่า 67.4% ของบริษัทในเกาหลีไม่ได้มีองค์กรด้านความปลอดภัยของตนเอง และมีบุคลากรที่รับผิดชอบด้านความปลอดภัยโดยเฉลี่ยเพียง 0.8 คนต่อบริษัท แม้อยากตรวจสอบความปลอดภัย ก็เป็นโครงสร้างที่เริ่มต้นได้ยากหากไม่มีผู้เชี่ยวชาญหรือการจ้างงานจากภายนอก
แม้ความเร็วในการสร้างบริการด้วยเครื่องมือเขียนโค้ดด้วย AI จะเพิ่มขึ้น แต่เรารู้สึกว่ายังขาดวิธีที่เข้าถึงได้ง่ายในการตรวจสอบโค้ดเหล่านั้น เราจึงเริ่มจากแนวคิดที่ว่า ถ้ามีเพียง URL เดียวแล้วลองรันวิเคราะห์ได้ทันที ก็น่าจะดี
เทคโนโลยีสแต็ก
- เว็บแอปพลิเคชันบนพื้นฐาน Next.js
- สถาปัตยกรรม Multi-AI Agent (3 ทีม 9 Agent: Guard / Analyst / Verifier)
- ไปป์ไลน์ cross-check แบบหลายโมเดลบนพื้นฐาน URL
หากมีฟีดแบ็กหรือข้อสงสัย สามารถฝากไว้ในคอมเมนต์ได้เลย ยินดีรับคำถามเชิงเทคนิคเช่นกัน และจะตอบอย่างเต็มที่
5 ความคิดเห็น
ได้ยินมาว่า Mythos เองก็มี false positive เยอะเหมือนกัน เลยก็สงสัยว่ามีคนตรวจทานด้วยหรือเปล่า..
ถ้ายังพิสูจน์ความเหนือกว่าจากเครื่องมือเดิม ๆ ในเชิงวัตถุวิสัยไม่ได้ การตรวจสอบภายนอกนั้นคนในก็ทำได้อยู่แล้ว แต่กลับพูดเหมือนว่าการให้คนนอกมาตรวจเป็นข้อดี มันก็ดูแปลก ๆ นะครับ คำว่า "ไม่ใช่แค่อ่านโค้ด" นี่... หรือจริง ๆ คือดูโค้ดไม่ได้ เลยตรวจได้แค่จากภายนอกแบบผิวเผินหรือเปล่า...
แม้แต่ระดับของปัญหาด้านความปลอดภัยที่ยกตัวอย่างว่า "Naeildo พบ" ก็ดูน่าตกใจอยู่นะครับ ถ้าเป้าหมายคือคนที่ไม่รู้แม้กระทั่งเรื่องแบบนั้นก็พอจะเข้าใจได้ แต่ก็ยังมีคำถามอยู่ว่าคนกลุ่มนั้นจะสนใจเรื่องความปลอดภัยตั้งแต่แรกหรือเปล่า
พบช่องโหว่ด้านความปลอดภัยในโค้ดที่ AI สร้างขึ้น 45%
แล้วพวกเขารู้ได้อย่างไรว่าซอร์สโค้ดนั้นถูกสร้างโดย AI?
ถ้าคนที่สร้างด้วย AI สามารถใช้ AI เพื่อค้นหาและแก้ไขปัญหาความปลอดภัยได้อยู่แล้ว บริการนี้มีข้อดีอะไรเมื่อเทียบกับวิธีแบบนั้น?
การถามโค้ดกับ AI แบบทั่วไปคือการตรวจสอบในระดับซอร์สโค้ด แต่ช่องโหว่จริงจำนวนไม่น้อยไม่ได้เกิดจากโค้ด หากเกิดขึ้นในรันไทม์ การตั้งค่า อินฟราสตรักเจอร์ การจัดการการยืนยันตัวตน/เซสชัน และสภาพแวดล้อมการดีพลอย บริการของเราจึงถูกออกแบบมาตั้งแต่ต้นให้เป็นมัลติ AI เอเจนต์ที่เชี่ยวชาญด้านความปลอดภัยเพื่อรับมือกับพื้นที่เหล่านี้ ไม่ได้แค่อ่านโค้ดเท่านั้น แต่ตรวจสอบบริการที่ถูกดีพลอยจริงจากภายนอกโดยตรง จึงค้นพบปัญหาที่มองไม่เห็นได้จากการดูโค้ดเพียงอย่างเดียวด้วย