ข่าว 
ข้อมูลเหรียญ 
แนะนำสื่อ 
เครื่องมือช่วยเขียนโค้ดด้วย AI อาจเป็นช่องทางใหม่ในการโจมตีและขโมยคริปโต ล่าสุดมีการค้นพบช่องโหว่ร้ายแรงในเครื่องมือดังกล่าว ซึ่งสามารถนำไปสู่การแฮ็กได้เพียงแค่เปิดไฟล์โปรเจกต์ธรรมดา ๆ โดยไม่ต้องมีการกระทำเพิ่มเติมจากผู้ใช้
เมื่อวันที่ 8 บริษัทไซเบอร์ด้านบล็อกเชน สโลว์มิสต์(SlowMist) เปิดเผยว่า พบช่องโหว่ด้านความปลอดภัยในเครื่องมือพัฒนาโค้ดยอดนิยม รวมถึงเครื่องมือเขียนโค้ดด้วย AI ซึ่งกระทบทันทีต่อผู้พัฒนาในวงการคริปโต โดยเฉพาะขณะใช้งานไฟล์ LICENSE.txt หรือ README.md ที่ดูไม่มีพิษภัย แต่แฝงไปด้วยเทคนิค ‘การฉีดพรอมต์’(Prompt Injection) เมื่อ AI อ่านข้อมูลเหล่านี้ อาจสั่งรันโค้ดที่เป็นอันตรายและกระจายไปทั่วระบบได้โดยไม่รู้ตัว
ช่องโหว่นี้สามารถเกิดได้ทั้งในระบบวินโดวส์และ macOS โดย ‘เคอร์เซอร์(Cursor)’ ซึ่งเป็นอินเทอร์เฟซการเขียนโค้ดด้วย AI ที่ได้รับความนิยม กำลังตกเป็นเป้าหมายหลัก รายงานระบุว่า ช่องโหว่นี้เคยได้รับการเปิดเผยครั้งแรกในรายงานจากบริษัท HiddenLayer เมื่อเดือนกันยายน 2025 ภายใต้ชื่อ “CopyPasta License Attack”
HiddenLayer ได้แสดงให้เห็นถึงความอันตรายจริง โดยจำลองการโจมตีผ่านเครื่องมืออย่าง เคอร์เซอร์, วินด์เซิร์ฟ(Windsurf), คิโระ(Kiro) และเอเดอร์(Aider) โดยไม่ต้องมีการคลิกหรือออกคำสั่งใด ๆ จากผู้ใช้ ผลกระทบอาจขยายไปถึงระดับโค้ดเบสทั้งหมดขององค์กร ซึ่งนับเป็นภัยคุกคามเชิงโครงสร้างอย่างแท้จริง
ประเด็นนี้ยิ่งทวีความรุนแรง เมื่อบริษัทขนาดใหญ่เริ่มนำ AI เข้ามาใช้มากขึ้น โดยเฉพาะกรณีของบริษัท คอยน์เบส($COIN) ที่ผู้บริหาร ไบรอัน อาร์มสตรอง ตั้งเป้าให้โค้ดทั้งหมดที่สร้างในองค์กรครึ่งหนึ่งมาจาก AI ภายในเดือนตุลาคม พร้อมมาตรการขู่ปลดหากพนักงานไม่ใช้ AI ภายใน 1 สัปดาห์ ซึ่งสร้างกระแสวิจารณ์ในวงการพัฒนาอย่างกว้างขวาง
ศาสตราจารย์โจนาธาน อัลดริช จากมหาวิทยาลัยคาร์เนกีเมลลอน กล่าวตำหนินโยบายนี้ว่าเป็น “เรื่องบ้าคลั่ง” และจะไม่มีทางไว้วางใจเงินทุนกับบริษัทที่มีความเสี่ยงเช่นนี้ ขณะที่ แลร์รี รุย ผู้ก่อตั้งแดงโก แสดงความคิดเห็นว่า บริษัทที่ให้ความสำคัญกับ *ความปลอดภัย* ไม่มีทางใช้แนวทางนี้
ในขณะเดียวกัน รายงานของสโลว์มิสต์ยังเชื่อมโยงความเสี่ยงต่าง ๆ เข้ากับการโจมตีที่มีการวางแผนในระดับรัฐ โดยเฉพาะเกาหลีเหนือ Google เปิดเผยเมื่อเดือนกุมภาพันธ์ 2024 ว่า กลุ่ม UNC5342 ใช้สมาร์ตคอนแทรกต์ที่ออกแบบมาเพื่อโจมตีบนบล็อกเชนของอีเธอเรียม(ETH) และ BNB สมาร์ตเชน มีการฝังโค้ดอันตราย เช่น BeaverTail และ OtterCookie ไว้ภายใน แล้วเผยแพร่ผ่านแพ็กเกจ NPM ปลอมในชื่อการสัมภาษณ์งาน
เทคนิคนี้เป็นลักษณะ ‘EtherHiding’ ที่สามารถสั่งโจมตีโดยเรียกใช้ฟังก์ชันแบบ *อ่านเพียงอย่างเดียว* ทำให้ไม่ปรากฏในธุรกรรมบนเชน จึงหลบเลี่ยงการตรวจสอบจากหน่วยงานได้ อีกทั้งยังมีการสร้างบริษัทปลอมในสหรัฐ พร้อมแคมเปญ ‘สัมภาษณ์ติดเชื้อ’ (Contagious Interview) ซึ่งใช้วิธี**วิศวกรรมสังคม**ล่อลวงเป้าหมาย
โดยเป้าหมายหลักมักเป็นนักพัฒนาบล็อกเชน ผู้ที่เข้าถึงข้อมูลสำคัญด้าน ‘การเชื่อมต่อสินทรัพย์’ และ ‘ซอร์สโค้ดสมาร์ตคอนแทรกต์’
พร้อมกันนี้ ความกังวลด้านความปลอดภัยในวงการสมาร์ตคอนแทรกต์ยิ่งชัดเจนขึ้น เมื่อบริษัท AI แอนโทรปิก (Anthropic) เปิดเผยว่า ในการจำลองสถานการณ์ทดสอบภายใน พบว่า AI สามารถแฮ็กสมาร์ตคอนแทรกต์ได้มากกว่าครึ่งหนึ่ง มูลค่าความเสียหายที่จำลองสูงถึง 550.1 ล้านดอลลาร์ (ประมาณ 7,999 ล้านบาท)
ทั้ง GPT-5 และ Claude Opus 4.5 ต่างค้นพบช่องโหว่ *Zero-Day* ที่ยังไม่เปิดเผยได้ 2 จุดในสมาร์ตคอนแทรกต์จริง ๆ ซึ่งหากถูกใช้โจมตีจริง จะสามารถขโมยทรัพย์สินได้กว่า 3,694 ดอลลาร์ (ประมาณ 536,000 บาท) โดยการทดสอบดังกล่าวใช้ต้นทุนเพียง 3,476 ดอลลาร์ (ประมาณ 505,000 บาท) เท่านั้น
บริษัทแอนโทรปิกเตือนว่า ต้นทุนการดำเนินการโจมตีผ่าน AI มีแนวโน้ม ‘ถูกลง’ อย่างต่อเนื่อง ขณะที่ประสิทธิภาพกลับสูงขึ้น ความเป็นไปได้ในการ ‘แฮ็กแบบอัตโนมัติในวงกว้าง’ จึงไม่ใช่ค่าคาดการณ์ แต่กำลังกลายเป็นความจริง
ข้อมูลจากรายงานของเชนอะบิวส์ ยังระบุอีกว่า การหลอกลวงในโลกคริปโตที่ใช้ AI เพิ่มขึ้นถึง 456% ภายในเวลาเพียง 1 ปี และ 60% ของกระเป๋าเงินที่เกี่ยวข้องกับการหลอกลวง มีการใช้ AI เพื่อปลอมแปลงตัวตน เสียง และบทสนทนา
*ความคิดเห็น*: การเร่งนำ AI เข้ามาใช้ในทุกขั้นตอนของการพัฒนา แม้มีข้อดีด้านประสิทธิภาพ แต่หากขาดความระมัดระวังเรื่อง *ความปลอดภัย* อาจกลายเป็นเปิดประตูต้อนรับการโจมตีระลอกใหม่ในโลกคริปโตอย่างเต็มรูปแบบ
ความคิดเห็น 0