อนาคตของการหลอกลวงมาถึงแล้ว เพียงแต่ยังไม่ได้กระจายอย่างเท่าเทียม

 (manishearth.github.io)
1 คะแนน โดย GN⁺ 6 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • LLM สามารถสร้างข้ออ้างเฉพาะบุคคล เช่น สัมภาษณ์งาน การติดต่อฉุกเฉินจากครอบครัว อีเมลธนาคาร หรือเรื่องรักใคร่ เพื่อทำ การหลอกลวงแบบปรับให้เหมาะกับเป้าหมาย และหลังยึดบัญชีได้ก็อาจเฝ้าติดตามระยะยาวพร้อมโจมตีต่อเนื่องได้
  • การหลอกลวงแบบเดิมแบ่งเป็นแบบส่งจำนวนมากต้นทุนต่ำกับแบบเจาะเป้าต้นทุนสูง แต่ LLM เข้ามาเติมช่องว่างระหว่างสองแบบนี้ ทำให้ โจมตีแบบเจาะจงได้ซ้ำๆ ในต้นทุนต่ำ
  • งานวิจัยปี 2024 ประเมินต้นทุนอีเมล spear phishing ที่ใช้ LLM ไว้ราว 4 เซนต์ ต่อฉบับ และแม้สถานการณ์หลอกลวงเรื่องสมัครงานจะซับซ้อนกว่า แต่ด้วยความสามารถของ LLM ในปี 2026 ก็อาจคุ้มที่จะลงมือ
  • ฮิวริสติกอย่าง “ข้อความดูเป็นธรรมชาติ”, “มีตัวตนบนเว็บแน่นหนา”, “ยืนยันด้วยโทรศัพท์หรือวิดีโอคอล” เคยเป็นตัวชี้วัดแทนเรื่องต้นทุนและความสามารถ แต่ตอนนี้ การโคลนเสียงและดีปเฟกแบบเรียลไทม์ กำลังทำให้ความน่าเชื่อถือลดลง
  • การป้องกันไม่อาจอาศัยแค่การระแวงทุกข้อความให้มากขึ้น แต่ต้องมีแนวปฏิบัติใหม่ เช่น รหัสลับที่ตกลงกันในครอบครัว, การยืนยันผ่านช่องทางแยก, เชื่อถือช่องทางที่เราเป็นฝ่ายเริ่มติดต่อเองมากกว่า, และฮาร์ดแวร์ 2FA

สถานการณ์หลอกลวงสมัครงานที่สร้างโดย LLM

  • ผู้สมัครงานได้รับข้อเสนองานบน LinkedIn ที่ดูเหมาะกับตัวเองมาก และเข้าร่วมกระบวนการสัมภาษณ์ที่ดูเหมือนเป็นโอกาสดีจากบริษัทดัง
  • ก่อนสัมภาษณ์ มีการให้ล็อกอินบนแพลตฟอร์มที่ดูเหมือนบริการกฎหมายแบบ SaaS เพื่อเซ็น NDA โดยใช้ขั้นตอนลักษณะ “Sign in with Google/iCloud”
  • หน้าล็อกอินดูเหมือนจริง และรหัสผ่านที่ผู้ใช้กรอก รวมถึงขั้นตอน 2FA แบบ “กด Yes บนอุปกรณ์” ก็ถูกผู้โจมตีนำไปใช้ล็อกอินเข้าบัญชีจริงอีกฝั่งหนึ่ง
  • ผู้โจมตีเก็บ session cookie ไว้ และทำให้ฝั่งผู้ใช้ดูเหมือนล็อกอินสำเร็จตามปกติ เพื่อซ่อน การเข้าถึงบัญชี
  • หลังจากนั้น ทั้งการสัมภาษณ์และการแจ้งว่าไม่ผ่านก็ทำหน้าที่เป็นละครฉากหนึ่งเพื่อไม่ให้เหยื่อสงสัย
  • หลายเดือนต่อมา เหยื่อจึงพบว่ามีการขโมยตัวตน, การใช้จ่ายผ่านบัตรเครดิตในชื่อตน, เงินบางส่วนในบัญชีหลักทรัพย์รั่วไหล, และสูญเสียการเข้าถึงอีเมลกับบัญชีออนไลน์หลายบัญชี

รูปแบบการโจมตีที่เป็นไปได้หลังยึดบัญชีได้

  • ผู้โจมตีสามารถเข้าถึงอีเมลและบัญชีต่างๆ อย่างต่อเนื่อง พร้อมเฝ้าดูพฤติกรรมของผู้ใช้
    • กรองอีเมลแจ้งเตือนของบัญชีเป้าหมายล่วงหน้า เพื่อไม่ให้การแจ้งเตือนไปถึงเหยื่อ
    • ดาวน์โหลดไฟล์บนคลาวด์ และใช้บัญชีไปล็อกอินเว็บไซต์อื่นด้วย
    • ใช้ข้อมูลของเหยื่อไปเปิดบัตรเครดิต
  • การถอนเงินจากบัญชีการเงินไม่ใช่เรื่องง่ายนัก เพราะระบบการเงินสมัยใหม่มีมาตรการป้องกัน
    • การโอนผ่านธนาคารออนไลน์อาจถูกตรวจจับ ใช้เวลาหลายวัน และด้วยกฎ KYC ก็อาจสาวไปถึงบัญชีปลายทางได้
    • เว็บไซต์ธนาคารมักใช้ 2FA และการแจ้งเตือนเมื่อมีการล็อกอิน
  • ถึงอย่างนั้น หากเข้าถึงได้ระยะยาวโดยไม่ถูกตรวจพบ ก็อาจเล็งบัญชีที่เจ้าของไม่ค่อยเช็กอย่าง บัญชีหลักทรัพย์
    • อาจพบว่ามีบัญชีที่เงินเดือนถูกโอนเข้าอัตโนมัติ
    • อาจรีเซ็ตรหัสผ่านเพื่อเข้าใช้งาน แล้วเริ่มสร้างรูปแบบการใช้งานด้วยการโอนเงินจำนวนเล็กน้อย
    • อาจใช้ข้อมูลในปฏิทิน เช่น แผนการลาพักร้อน เพื่อเลือกช่วงเวลาที่เหยื่อสังเกตเห็นได้ยาก
  • หากเห็นว่าการหลอกลวงกำลังจะถูกเปิดโปง ก็อาจล็อกเหยื่อออกจากบัญชี ทำให้ยิ่งยากต่อการเข้าใจว่าเกิดอะไรขึ้น

จุดที่โครงสร้างต้นทุนของการหลอกลวงเปลี่ยนไป

  • โดยทั่วไป การหลอกลวงแบบเดิมแบ่งได้เป็นสองประเภท
    • แบบส่งจำนวนมาก: ราคาถูก ทำได้ง่าย และมุ่งเป้าไปยังคนที่ชำนาญน้อยกว่า
    • แบบเจาะเป้าหมาย: ราคาแพง ซับซ้อน และมุ่งโจมตีคนหรือองค์กรที่มีมูลค่าพอจะคุ้มแก่การลงมือ
  • เหตุผลที่สแกมแนวสแปมบางส่วนดูจงใจทำให้ไม่น่าเชื่อ ก็เพื่อให้คนที่ระวังตัวมากกว่าหลุดออกไปตั้งแต่ต้น ลดต้นทุนการรับมือในภายหลัง
  • คนที่คุ้นเคยกับเทคโนโลยีมักค่อนข้างปลอดภัยจากการหลอกลวงแบบส่งจำนวนมาก เพียงแค่มีพื้นฐานด้านความปลอดภัยคอมพิวเตอร์และเข้าใจขีดความสามารถของระบบ
  • การหลอกลวงซับซ้อนที่มุ่งทรัพย์สินส่วนบุคคลมีอยู่จริง แต่คนส่วนใหญ่คิดว่าตัวเองคงไม่ใช่เป้าหมาย
  • LLM กำลังเปลี่ยนโครงสร้างที่เคยแยกขั้วกันตามความสามารถของผู้โจมตี
    • งานวิจัยปี 2024 ประเมินต้นทุน spear phishing ที่ทำโดย LLM ไว้ราว 4 เซนต์ ต่ออีเมล
    • สถานการณ์หลอกลวงสมัครงานซับซ้อนและแพงกว่า แต่ LLM ในปี 2026 พัฒนาไปอีกมาก จึงอาจคุ้มที่จะนำมาใช้
    • มิจฉาชีพสามารถรันการหลอกลวงหลายพันกรณีพร้อมกัน และค้นหาข้อมูลเฉพาะบุคคลเพื่อสร้างข้ออ้างที่เหมาะกับแต่ละคนได้

ความสามารถที่ LLM มอบให้การหลอกลวง

  • งานที่ในอดีตต้องใช้แรงจากมนุษย์ที่มีทักษะสูงกับแต่ละเป้าหมาย ตอนนี้ LLM ทำได้ในต้นทุนต่ำ
    • ศึกษาเหยื่อและเลือกวิธีเข้าหาที่เหมาะที่สุด
    • การสื่อสารแบบปรับแต่งเฉพาะบุคคลตามการตอบสนอง
    • การโคลนเสียง ของคนในครอบครัวหรือคนที่เหยื่อไว้ใจ
    • ดีปเฟกสำหรับวิดีโอคอลที่เกือบเรียลไทม์
    • สร้างตัวตนปลอมบนเว็บที่ดูน่าเชื่อถือ
    • เฝ้าดูทรัพยากรที่ยึดมาได้แบบเรียลไทม์และขยายการโจมตีให้สอดคล้องกัน
    • ค้นหาและคัดเลือกเป้าหมาย
    • หลีกเลี่ยงตัวกรองสแปมแบบอิงลายเซ็น
    • ค้นหาและเชื่อมโยง CVE ที่รู้จักแล้วในซอฟต์แวร์ที่นำไปใช้งานแต่ยังไม่ได้แพตช์
  • ความสามารถเหล่านี้มีอยู่แล้ว และมีแนวโน้มจะดีขึ้นอีก
  • การหลอกลวงที่ขับเคลื่อนด้วยต้นทุนระดับโทเค็นสามารถทำซ้ำได้เหมือน for loop และการขยายขนาดทำให้กลยุทธ์ที่เคยยากในระดับรายกรณีกลายเป็นไปได้

การเปลี่ยนแปลงสามอย่างที่ขนาดเปิดทางให้เกิดขึ้น

  • ขนาดทำให้เกิด ความอดทนรอคอย
    • สำหรับทีมมนุษย์ การรอหลายเดือนหรือหลายปีเพื่อเล่นงานคนคนเดียวเป็นเรื่องยาก แต่หากใช้ LLM รับมือคนจำนวนมากพร้อมกัน ก็สามารถซุ่มปฏิบัติการไว้ได้นาน
    • ยังสามารถซ้อนการหลอกลวงหลายแบบที่เกิดคนละช่วงเวลากันได้ด้วย
  • ขนาดทำให้เกิด การผสมผสานกัน
    • เช่น ใช้สแกมเล็กๆ รับสมัครคนมาขนย้ายเงิน ก่อนนำไปประกอบกับการถอนเงินก้อนใหญ่กว่า
    • วิธีการแบบในภาพยนตร์ The Sting ที่ใช้การหลอกเล็กหลายชั้นเลียนแบบสถาบันที่น่าเชื่อถือ อาจทำได้ในต้นทุนที่ต่ำกว่ามากในปัจจุบัน
  • ขนาดสร้าง เป้าหมายแบบใหม่
    • บัญชีที่ถูกยึดมาได้ 1,000 บัญชี เท่ากับตำแหน่งที่ผ่านการยืนยันแล้ว 1,000 จุดภายในแต่ละแพลตฟอร์ม
    • ช่องโหว่ที่แพลตฟอร์มเคยยอมรับได้เพราะ “ประโยชน์สูงกว่าต้นทุนจากการหลอกลวงที่เกิดเป็นครั้งคราว” จะกลายเป็นรูรั่วขนาดใหญ่ที่ต้องปิดทันที หากมี 1,000 บัญชีถูกใช้พร้อมกัน
    • การคำนวณแบบ “The optimal amount of fraud is nonzero” อาจเปลี่ยนไปเมื่อเผชิญการโจมตีพร้อมกันในวงกว้าง
  • การประกอบการโจมตีเหล่านี้เข้าด้วยกันยังต้องใช้ทักษะอยู่ แต่หากมีเครื่องมือใช้ซ้ำได้วางขายในตลาดมิจฉาชีพ ก็อาจเกิด “script kiddies สำหรับการหลอกลวง” ขึ้นมา
  • เป็นไปได้ว่ามิจฉาชีพบางรายใช้งานความสามารถเหล่านี้อยู่แล้ว แต่ยังไม่แพร่หลายพอที่ฮิวริสติกของทั้งคนทั่วไปและองค์กรจะปรับตัวทัน

ทำไมฮิวริสติกเดิมถึงอ่อนแรงลง

  • เมื่อได้รับการติดต่อจากคนแปลกหน้า ผู้คนมักค้นหาตัวตนของอีกฝ่าย และเมื่อเป็นเรื่องครอบครัวก็มักยืนยันด้วยโทรศัพท์หรือวิดีโอคอล พร้อมระวังช่วงที่บทสนทนาเริ่มกลายเป็นคำขอที่มีผลต่อการตัดสินใจ
  • ฮิวริสติกบางส่วนเหล่านี้เคยเป็น ตัวชี้วัดแทนต้นทุน
    • ข้อความที่ลื่นไหลและปรับให้เหมาะกับแต่ละคนเคยเป็นสัญญาณว่ามีคนจริงใช้เวลาลงมือ
    • การมีตัวตนบนเว็บที่แน่นหนาเป็นสัญญาณที่ปลอมยากและมีต้นทุนสูง
    • มีสมมติฐานว่ามิจฉาชีพคงไม่ยอมลงแรงขนาดนั้นเพื่อคนคนเดียว
  • ฮิวริสติกอีกส่วนตั้งอยู่บน ข้อจำกัดด้านความสามารถ
    • ในอดีต การเลียนเสียงคนในครอบครัวให้เป็นธรรมชาติผ่านโทรศัพท์ทำได้ยาก
    • เคยมีความคาดหวังว่าคนที่พบผ่านวิดีโอคอลคือคนจริง และหากจำเป็นตำรวจก็น่าจะระบุตัวได้
  • LLM และดีปเฟกกำลังสั่นคลอนทั้งฐานเรื่องต้นทุนและเรื่องความสามารถพร้อมกัน
  • ผลคือ ผู้คนต้องใช้ความพยายามมากขึ้น ไม่ใช่แค่เพื่อหลีกเลี่ยงการถูกหลอก แต่เพื่อให้มั่นใจว่าอะไรคือของจริง
    • หากคนในครอบครัวที่อยู่ต่างเมืองขอให้โอนเงินด่วน ต้องคิดพร้อมกันถึงความเป็นไปได้ของการยึดบัญชี การดักสื่อสาร และดีปเฟก
    • อาจจำเป็นต้องมีการยืนยันเพิ่มในระดับการไปพบด้วยตัวเอง หรือขอให้คนอื่นในพื้นที่นั้นช่วยตรวจสอบ

ฮิวริสติกระดับสถาบันก็ถูกสั่นคลอนเช่นกัน

  • ไม่ใช่แค่บุคคล แต่สถาบันการเงินและหน่วยงานกำกับก็พึ่งพาฮิวริสติกเช่นกัน
  • การคุ้มครองผู้บริโภคด้านธนาคารในสหรัฐฯ แบ่งเส้นอย่างชัดเจนว่าใครเป็นผู้อนุมัติการโอน
    • หากมีคนเข้าถึงบัญชีแล้วทำธุรกรรมโอนเงินโดยฉ้อโกง ธนาคารจะเป็นฝ่ายชดเชยความเสียหาย
    • หากผู้ใช้ถูกหลอกให้โอนเงินด้วยตัวเอง แม้จะแจ้งความได้ แต่ก็ไม่ได้หมายความว่าจะต้องมีใครชดเชยเสมอไป
  • การแบ่งแบบนี้อาจสมเหตุสมผลในโลกที่ “การขโมยรหัสผ่าน” ง่ายกว่าการหลอกเกลี้ยกล่อมแบบเจาะเป้าด้วยแรงคน แต่เมื่อ LLM ทำให้ต้นทุนการเกลี้ยกล่อมแบบเจาะเป้าลดลง ก็เริ่มสั่นคลอน
  • สหราชอาณาจักรผ่านกฎหมายในปี 2024 ให้ธนาคารต้องชดเชยลูกค้าที่ถูกหลอกให้โอนเงิน
  • อย่างไรก็ดี หากให้ธนาคารชดเชยความเสียหายจากการหลอกลวงทั้งหมด ต้นทุนอาจถูกผลักไปที่ธนาคารมากเกินไป และธนาคารอาจเลือกไม่ทำธุรกิจกับคนที่มีความเสี่ยงจะตกเป็นเหยื่อสูง

วิธีป้องกันแบบใหม่ที่จำเป็น

  • การระแวงอีเมลทุกฉบับและเสียงโทรศัพท์ทุกสายอย่างสุดโต่งเพียงอย่างเดียวไม่เพียงพอ
    • เพราะฮิวริสติกเดิมเป็นเพียงตัวชี้วัดแทนในการตรวจสัญญาณที่ตอนนี้ปลอมได้ในต้นทุนต่ำ
  • คล้ายกับยุคที่ไม่ยอมให้ใช้ Wikipedia ในงานโรงเรียน การยึดติดกับกฎความน่าเชื่อถือแบบเก่าอาจเป็นการปรับตัวผิดทิศ
    • หลังข้อมูลบนอินเทอร์เน็ตท่วมท้น เราต้องมีฮิวริสติกใหม่อย่างการตรวจแหล่งที่มาและการตรวจไขว้
    • ยุคการหลอกลวงด้วย LLM ก็ต้องการฮิวริสติกใหม่เช่นกัน
  • วิธีมองหาโครงสร้างร่วมของการหลอกลวงอาจยังได้ผล
    • ความเร่งด่วน การกำชับให้เก็บเป็นความลับ และการขอให้ใช้ช่องทางที่ไม่ปกติ ล้วนเป็นองค์ประกอบซ้ำๆ ในการหลอกหลายแบบ
    • ต่อให้ถ้อยคำแนบเนียนขึ้น โครงสร้างแบบ “มีบางอย่างถูกเรียกร้องจากเรา” ก็ยังคงอยู่
  • สำหรับครอบครัว การกำหนด รหัสลับแบบพูดกันปากเปล่า ไว้ล่วงหน้าเป็นวิธีที่มีประโยชน์
    • หากไม่มีรหัส อาจใช้เหตุการณ์ในอดีตที่ไม่น่าอยู่ในบันทึกสาธารณะมาเป็นคำถามยืนยันตัวตน
    • สำหรับสมาชิกครอบครัวที่ไม่คุ้นเทคโนโลยี อาจบอกไว้ว่า “ถ้ามีสายจากฉันที่ดูร้ายแรง เร่งด่วน หรือเป็นความลับ ให้สงสัยไว้ก่อน วางสาย แล้วไปยืนยันผ่านอีกช่องทาง”
  • การเชื่อถือความแท้จริงของการสื่อสารที่รับเข้ามาเป็นเรื่องยาก แต่เส้นทางที่ผู้ใช้เป็นฝ่ายเริ่มติดต่อเองยังเชื่อถือได้มากกว่า
    • อีเมลที่เราเขียนส่งไปยังที่อยู่ที่กำหนด มักจะไปถึงกล่องจดหมายนั้นจริง
    • การโทรไปยังหมายเลขที่กำหนด มักจะไปถึงอุปกรณ์นั้นจริง
    • ในทางกลับกัน หัวข้อ from: ของอีเมลและหมายเลขผู้โทรสามารถปลอมได้ง่าย

แนวปฏิบัติด้านความปลอดภัยและการปรับตัวต่อจากนี้

  • ฮาร์ดแวร์ 2FA อาจช่วยสกัดเครื่องมือของมิจฉาชีพได้หลายส่วน
    • FIDO2/WebAuthn เมื่อมีให้ใช้ จะรวมโดเมนของเว็บไซต์ไว้ในการแลกเปลี่ยนข้อมูลยืนยันตัวตน ทำให้เว็บไซต์ฟิชชิงส่งต่อการลงนามแบบตรงๆ ได้ยาก
    • จึงถือเป็นมาตรการป้องกันที่แข็งแรงกว่า SMS หรือแอปยืนยันตัวตน
  • การไม่ถูกหลอกเลยอาจไม่ใช่เป้าหมายที่สมจริง แต่เราสามารถทำให้ตัวเองเป็นเป้าหมายที่ต้นทุนสูงขึ้นและจัดการยากขึ้นได้
  • ฝ่ายป้องกันเองก็สามารถใช้ความสามารถของ LLM ได้
    • Mozilla ใช้ Mythos ทำ red-team กับ Firefox แล้วมองว่าเครื่องมือแบบนี้มีความเป็นไปได้จริงที่จะช่วยค้นหาช่องโหว่ด้านความปลอดภัยทั้งหมด
    • Android เพิ่งเพิ่ม impersonated call detection เข้ามา
  • องค์กรและระบบต่างๆ อาจพัฒนามาตรการป้องกันที่ดีขึ้นได้เมื่อเวลาผ่านไป แต่กระบวนการนี้ต้องใช้เวลาและอาจกลายเป็นการแข่งขันด้านอาวุธ
  • ในระยะใกล้คาดว่าการหลอกลวงจะเพิ่มขึ้นอย่างมาก และแต่ละคนควรคิดว่าการเปลี่ยนแปลงนี้หมายถึงอะไรสำหรับตนเอง เพื่อน และครอบครัว พร้อมหาวิธีช่วยกันรับมือ

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 6 시간 전
ความคิดเห็นจาก Lobste.rs
  • โชคดีที่ทำงานด้านสาธารณสุข ถ้าเป็นกระบวนการรับสมัครที่ลื่นไหลขนาดนั้นคงสงสัยทันที และหน่วยงานสาธารณสุขท้องถิ่นก็ไม่มีงบประมาณแบบนั้น
  • ไม่เข้าใจว่ามันทำได้อย่างไรด้วยรหัสผ่านอย่างเดียวในกระแสนี้ ผู้โจมตีไม่จำเป็นต้องควบคุมโทรศัพท์มือถือด้วยหรือ?
    ผู้เสียหายจะไม่ได้รับอีเมลแจ้งเตือนการเข้าสู่ระบบใหม่เหรอ? และจะไม่เห็นเซสชันที่ล็อกอินอยู่เหรอ?
    • ไม่ได้มีแค่รหัสผ่าน แต่มีsession cookieด้วย ตอนที่ล็อกอินผ่านเว็บฟิชชิง ฝั่งผู้โจมตีก็กำลังล็อกอินอยู่เช่นกัน และถ้าระหว่างนั้นมีขั้นตอนยืนยันตัวตนสองชั้นเกิดขึ้น ก็อาจรีเลย์ต่อได้เลย อีเมลเตือนก็อาจถูกลบหรือกรองทิ้งได้
      ผู้เสียหายอาจเห็นเซสชันที่ล็อกอินอยู่ แต่หลังจากเพิ่งได้รับข้อความให้ล็อกอิน ไม่ใช่ทุกคนที่จะรีบไปตรวจสอบทันที บัญชี Google เองก็มีกรณีที่เด้งให้ล็อกอินใหม่เป็นครั้งคราวด้วยหลายเหตุผล
      มีวิธีลดความเสี่ยง เช่น ดูแถบ URL ให้ละเอียดขึ้น แต่ฉากหน้าที่เป็นกระบวนการสัมภาษณ์งานนั้นถูกออกแบบมาเพื่อลดความระแวงอยู่แล้ว
      และขอย้ำว่า กลโกงที่บทความต้นฉบับเปิดมานั้นเป็นเพียงตัวอย่างหนึ่งของกลโกงที่ตอนนี้ทำให้เป็นอัตโนมัติได้ง่ายกว่าเมื่อก่อนมาก และรูปแบบที่ต้องกังวลก็ไม่ได้มีแค่นั้น
  • การวางกรอบประมาณว่า “ความสามารถแบบนี้มีอยู่แล้ว และต่อไปจะยิ่งดีขึ้น เทคโนโลยีแบบนี้ควรถูกมองเป็นฐานล่าง ไม่ใช่เพดาน” ฟังดูไม่น่าเชื่อถือ เทคโนโลยีนี้ไม่ได้มีหลักประกันว่าจะพัฒนาไปไกลกว่าตอนนี้ และเกมเศรษฐกิจแบบเงินวนลงทุนกันเองก็ดูเหมือนสุดท้ายจะแตก
    • เห็นด้วย เริ่มจากกรณีจริงอย่างspear phishingที่ใช้ดีปเฟก แล้วกระโดดไปถึงการยึดบัญชีอัตโนมัติเต็มรูปแบบในวงกว้างกับการโจมตีแบบ man-in-the-middle
      พอมีองค์ประกอบอยู่บ้างก็สมมติว่าสามารถประกอบทุกอย่างเข้าด้วยกันได้ แต่โมเดลภาษาขนาดใหญ่ยังมีความน่าเชื่อถือไม่พอสำหรับให้เรื่องแบบนั้นทำงานได้อย่างถูกต้อง