โครงการคริปโตโอด AI ทำรายงานบักบาวน์ตีพุ่ง 900% แต่เต็มไปด้วย ‘ช่องโหว่หลอน’

โครงการคริปโตเริ่มส่งสัญญาณเตือนว่า การมาของ ‘AI’ กำลังทำให้ระบบ ‘บักบาวน์ตี (Bug Bounty)’ หรือโปรแกรมแจกรางวัลค้นหาช่องโหว่ด้านความปลอดภัย กลายเป็นภาระหนักกว่าเดิม แม้จำนวนการแจ้งเตือนช่องโหว่จะพุ่งสูงขึ้น แต่การแยกระหว่าง ‘ช่องโหว่จริง’ กับ ‘รายงานหลอน’ ที่เกิดจากการใช้ AI กลับยากขึ้นอย่างมาก

เมื่อวันที่ 21 (เวลาท้องถิ่น) แบร์รี แพลน켓(Barry Plunkett) ผู้ร่วมก่อตั้งและซีอีโอร่วมของ ‘คอสมอส แล็บส์(Cosmos Labs)’ ระบุว่า ‘AI กำลังเปลี่ยนวิธีการทำงานของโปรแกรมบักบาวน์ตีไปโดยสิ้นเชิง’ โดยเปิดเผยว่าจำนวนรายงานบักบาวน์ตีที่ส่งเข้ามายังโครงการ เพิ่มขึ้นถึงราว 900% เมื่อเทียบกับปีก่อน คิดเป็นวันละประมาณ 20–50 เคส เขายอมรับว่าไม่ใช่แค่ ‘รายงานคุณภาพดี’ ที่เพิ่มขึ้น แต่ ‘รายงานไร้สาระและใช้งานไม่ได้’ ก็ไหลทะลักเข้ามาพร้อมกัน

ระบบ ‘บักบาวน์ตี’ คือโครงสร้างจูงใจที่ให้รางวัลแก่แฮกเกอร์หรือผู้เชี่ยวชาญที่ค้นพบช่องโหว่ด้านความปลอดภัย เพื่อช่วยป้องกันปัญหาเชิงรุก ก่อนถูกโจมตีจริง ในโลกคริปโต ระบบนี้ถูกใช้กันอย่างแพร่หลาย ทั้งในสมาร์ตคอนแทรกต์และโครงสร้างพื้นฐานบล็อกเชน เพื่อป้องกันความเสียหายที่อาจกินมูลค่าหลายล้านดอลลาร์ ทว่าเมื่อ ‘AI’ เข้ามาช่วยทั้งในการอ่านโค้ด วิเคราะห์ช่องโหว่ และเขียนรายงานอย่างรวดเร็ว ทำให้เริ่มเกิดปรากฏการณ์ ‘รายงานหลอน’ หรือการแจ้งช่องโหว่ที่ไม่มีอยู่จริงจากการเดาและแต่งข้อมูลของโมเดล AI

คาดาน สตาเดลมัน(Kadan Stadelmann) บล็อกเชนดีเวลลอปเปอร์และประธานเจ้าหน้าที่เทคโนโลยี(CTO) ของ ‘โคโมโด แพลตฟอร์ม(Komodo Platform)’ ยืนยันแนวโน้มเดียวกัน โดยชี้ว่า ‘จำนวนรายงานบักบาวน์ตีคุณภาพต่ำเพิ่มขึ้นอย่างชัดเจน’ และมองว่า การที่ AI ทำให้การเขียนรายงานมีต้นทุน ‘ถูกลงและเร็วขึ้นมาก’ น่าจะเป็นปัจจัยสำคัญที่กระตุ้นให้มีการส่งรายงานเข้ามาแบบถล่มทลาย เขาเสริมว่า หลายกรณีแทบจะเข้าข่าย ‘การตรวจจับผิดพลาด (False Positive)’ ทำให้ทีมงานต้องเสียทรัพยากรด้านเวลาและบุคลากรจำนวนมากไปกับการตรวจสอบสิ่งที่ไม่ใช่ปัญหาจริง

กรณีตัวอย่างที่ถูกพูดถึงมากคือเหตุการณ์ของ ดาเนียล สเตนเบิร์ก(Daniel Stenberg) ผู้สร้าง ‘curl’ เครื่องมือรับ–ส่งข้อมูลผ่านโปรโตคอลต่าง ๆ แบบโอเพนซอร์ส ที่ถูกใช้ทั่วโลก สเตนเบิร์กเปิดเผยเมื่อเดือนมกราคมที่ผ่านมา ว่าเขาตัดสินใจยุติโปรแกรมบักบาวน์ตีของตนเอง หลังจากต้องเจอกับ ‘ก้อนรายงาน’ ที่ถูกสร้างด้วย AI จำนวนมาก ซึ่งส่วนใหญ่ไม่ได้สะท้อนช่องโหว่จริง ทำให้การบริหารจัดการโปรแกรมแทบเป็นไปไม่ได้ ขณะเดียวกัน แพลตฟอร์มด้านบักบาวน์ตีรายใหญ่ ‘แฮกเกอร์วัน(HackerOne)’ ระบุว่า จำนวนรายงานที่มีมูลค่าได้รับรางวัลในปีนี้อยู่ที่ประมาณ 85,000 เคส เพิ่มขึ้น 7% เมื่อเทียบกับปีก่อน สะท้อนว่า ‘ปริมาณ’ ของการล่าบักกำลังขยายตัวตามการใช้ AI

ท่ามกลางความวุ่นวายนี้ ผู้เล่นในอุตสาหกรรมเริ่มมอง ‘AI’ ไม่ใช่แค่ ‘ต้นเหตุ’ ของปัญหา แต่ยังเป็น ‘เครื่องมือรับมือ’ ด้วย แพลนเก็ตเผยว่า คอสมอส แล็บส์ปรับกลยุทธ์รับมือแล้ว โดยให้ ‘ความสำคัญลำดับต้น’ กับรายงานจากนักวิจัยที่มีประวัติผลงานและความน่าเชื่อถือสูง พร้อมกับยกระดับเกณฑ์การประเมินรายงานให้เข้มงวดขึ้น ทั้งด้านคุณภาพเชิงเทคนิค ความชัดเจนของหลักฐาน และผลกระทบที่วัดได้

สตาเดลมันเห็นพ้องว่า ระบบด้าน ‘ป้องกัน’ จำเป็นต้องอาศัย AI เช่นกัน โดยเสนอว่า ‘ต้องมีระบบ AI ฝั่งป้องกัน ที่สามารถคัดกรองรายงานที่ส่งเข้ามาได้อัตโนมัติ’ ทั้งด้วยการจัดลำดับความเสี่ยง ตรวจจับรูปแบบการหลอก AI ซ้ำ ๆ และลดงานที่ต้องใช้มนุษย์ดูเอง โดยเฉพาะสำหรับทีมเล็กที่มีทรัพยากรจำกัด เขามองว่า เครื่องมือแบบนี้คือสิ่งจำเป็น หากไม่อยากให้ทีมจมอยู่กับการตรวจรายงานลวงจนไม่มีเวลาปิดช่องโหว่จริง

“ความคิดเห็น” ในภาพใหญ่ ‘AI’ กำลังกลายเป็นดาบสองคมต่อระบบความปลอดภัยของคริปโต หนึ่งด้านช่วยเร่งการค้นหาช่องโหว่และเพิ่มประสิทธิภาพการรีวิวโค้ด แต่อีกด้านทำให้ ‘ภาระตรวจสอบ’ หนักขึ้นมาก หากการเติบโตเชิงปริมาณของบักบาวน์ตีไม่มีระบบคัดกรองและจัดลำดับที่ดีมารองรับ กลไกที่ตั้งใจสร้างขึ้นเพื่อ ‘เพิ่มความปลอดภัย’ อาจกลับกลายเป็น ‘คอขวด’ ที่ทำให้ช่องโหว่จริงถูกซ่อนอยู่ในกองรายงานหลอนจาก AI ได้ง่ายกว่าเดิม