แฮกเกอร์เจาะแพลตฟอร์ม AI ผ่านปลั๊กอินปลอม ล่อผู้ใช้ด้วยฟีเจอร์คริปโต

*แพลตฟอร์มโอเพ่นซอร์ส AI กลายเป็นเป้าหมายใหม่ของแฮกเกอร์ เสี่ยงขยายมัลแวร์ผ่านปลั๊กอิน โดย ‘ฟีเจอร์คริปโต’ ถูกใช้เป็นกับดักหลัก*

โครงการเอเจนต์ปัญญาประดิษฐ์แบบโอเพ่นซอร์ส ‘โอเพ่นโคลว์(OpenClaw)’ ตกเป็นเป้าของการโจมตีแบบซัพพลายเชนในรูปแบบใหม่ โดยเฉพาะ ‘คลอว์ฮับ’ ช่องทางแจกจ่ายปลั๊กอินหลักของแพลตฟอร์ม กำลังถูกเจาะระบบด้วยมัลแวร์โดยตรงผ่านปลั๊กอินปลอม โดยมีการแฝงรหัสอันตรายในปลั๊กอินที่เกี่ยวข้องกับ ‘คริปโตเคอร์เรนซี’ ซึ่งสร้างความเสี่ยงด้านความปลอดภัยอย่างมีนัยสำคัญ

เมื่อวันที่ 24 ตามเวลาท้องถิ่น รายงานจากบริษัทความปลอดภัยไซเบอร์ สโลว์มิสต์(SlowMist) ระบุว่า แฮกเกอร์ได้อัปโหลดปลั๊กอินที่มีมัลแวร์—หรือที่เรียกว่า ‘สกิล(Skill)’—เข้าสู่ฮับอย่างจงใจ โดยอาศัยช่องว่างจากขั้นตอนการตรวจสอบที่หละหลวม หรือในบางกรณีไม่มีเลย ทำให้ผู้ใช้ที่ไม่สงสัยสามารถติดตั้งปลั๊กอินโดยไม่รู้ตัว และเมื่อทำเช่นนั้น มัลแวร์จะเจาะระบบโดยตรง

จากการวิเคราะห์ของแพลตฟอร์มด้านความปลอดภัยเว็บ3 ‘มิสต์อาย(MistEye)’ ซึ่งเป็นเครื่องมือหลักของสโลว์มิสต์ พบว่ามี ‘สกิล’ ที่เป็นอันตรายแล้วอย่างน้อย 472 รายการ และถูกจัดอยู่ในกลุ่มความเสี่ยงระดับ ‘สูง’

รูปแบบการโจมตีดังกล่าว คือ ‘การวางยาระบบซัพพลายเชน(Supply Chain Poisoning)’ ที่ฝังมัลแวร์ไว้ในส่วนประกอบของซอฟต์แวร์ก่อนถึงมือผู้ใช้ ถือเป็นกลยุทธ์ที่แสดงให้เห็นว่าแฮกเกอร์เริ่มมอง AI และเครื่องมือปลั๊กอินเป็นช่องทางใหม่สำหรับเข้าถึงเหยื่อได้ง่ายขึ้น

สโลว์มิสต์เสริมว่า สกิลปลอมหลายตัวมาในรูปแบบโปรแกรมพึ่งพาข้อมูล ทำงานแบบอัตโนมัติเหมือน ‘โทรจัน’ โดยเมื่อถูกติดตั้งจะเปิดใช้งาน ‘แบ็กดอร์’ ทันที หนึ่งในตัวอย่างคือโค้ดแบ็กดอร์ประเภท ‘Base64’ ที่สามารถขโมยรหัสผ่านและข้อมูลสำคัญจากอุปกรณ์ของเหยื่อ ก่อนนำไปใช้ในการขู่กรรโชกหรือการโจมตีรูปแบบอื่น

ข้อมูลล่าสุดชี้ว่า การโจมตีส่วนมากมีความเชื่อมโยงกับโดเมนที่จดทะเบียนไว้ในเดือนกรกฎาคม 2025 อย่าง ‘socifiapp[.]com’ รวมถึงที่อยู่ IP ที่คาดว่าเคยถูกใช้ในแคมเปญโจมตีของโครงสร้างพื้นฐาน ‘โพไซดอน(Poseidon)’ มาก่อน ซึ่งการที่หลายสกิลใช้งานเซิร์ฟเวอร์ชุดเดียวกัน ทำให้สโลว์มิสต์เตือนว่าอาจกำลังมีปฏิบัติการขนาดใหญ่ที่ดำเนินอย่างเป็นระบบ

*ความคิดเห็น:* ข้อที่น่าเป็นห่วงคือทุกชื่อของปลั๊กอินที่มีมัลแวร์มักจะถูกตั้งโดยใช้ ‘คำสำคัญ’ ที่ผู้ใช้ไว้วางใจ เช่น ‘คริปโตเคอร์เรนซี’, ‘ข้อมูลการเงิน’ หรือ ‘เครื่องมืออัตโนมัติ’ เพื่อล่อให้ติดตั้งโดยลดความระแวงต่อความเสี่ยง

นอกจากสโลว์มิสต์แล้ว บริษัทรักษาความปลอดภัยดิจิทัลอีกแห่งชื่อว่า โคอิ ซีเคียวริตี้(Koi Security) ก็ออกมาเปิดเผยเมื่อวันที่ 1 กุมภาพันธ์ว่า จากการวิเคราะห์ปลั๊กอิน AI ทั้งหมด 2,857 รายการ พบว่ามีอย่างน้อย 341 รายการ หรือ 12% ที่มีโค้ดอันตรายแฝงตัวอยู่ สะท้อนแนวโน้มว่า การโจมตีผ่านระบบเสริมอย่างปลั๊กอินและส่วนขยายกำลังเพิ่มสูงขึ้น

สโลว์มิสต์แนะนำผู้ใช้ให้ ‘ตรวจสอบแหล่งที่มา’ อย่างละเอียด โดยเฉพาะไฟล์ข้อมูลอย่าง ‘SKILL.md’ ก่อนติดตั้งปลั๊กอินทุกครั้ง พร้อมเตือนให้เฝ้าระวังหากแอปพลิเคชันมีการร้องขอข้อมูลสำคัญ เช่น รหัสผ่าน, สิทธิ์เข้าถึงระบบ หรือการเปลี่ยนแปลงค่าการตั้งค่าระบบ

เมื่อภัยคุกคามในโลก AI ขยายตัว แวดวงเทคโนโลยีจึงต้องให้ความสำคัญกับการจัดการช่องโหว่ และสร้างความตระหนักรู้ต่อผู้ใช้ โดยเฉพาะอย่างยิ่งเมื่อ ‘คริปโตเคอร์เรนซี’ กลายเป็นช่องทางที่แฮกเกอร์นิยมใช้โจมตี ผู้ใช้งานจำเป็นต้องมีระบบตรวจสอบและความรอบคอบมากกว่าเดิม