หน้าแรก
ข่าวสาร
รายละเอียด

กูเกิลยืนยันว่าการโจมตีแบบ Zero-Day ที่สร้างโดย AI สามารถหลีกเลี่ยง 2FA ได้

iconCryptoBriefing
แชร์
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
BTC
$61,458.50-2.9%
This is the logo of the coin.
ETH
$1,631.55-3.23%
This is the logo of the coin.
XRP
$1.11198-5.18%
This is the logo of the coin.
ADA
$0.1605-5.36%
This is the logo of the coin.
SOL
$64.18-4.29%
AI summary iconสรุป

expand icon
กลุ่มปัญญาประดิษฐ์เพื่อการวิเคราะห์ภัยคุกคามของกูเกิลยืนยันการค้นพบการโจมตีแบบ zero-day ที่สร้างโดยปัญญาประดิษฐ์ซึ่งสามารถหลีกเลี่ยง 2FA นับเป็นเหตุการณ์สำคัญด้านปัญญาประดิษฐ์และคริปโต ช่องโหว่นี้มีอยู่ในเครื่องมือผู้ดูแลระบบแบบโอเพ่นซอร์สที่ได้รับความนิยม และถูกตรวจจับผ่านคลาสสี ANSI ที่สะอาดและคะแนน CVSS เทียม กูเกิลร่วมมือกับผู้ผลิตเพื่อแก้ไขปัญหาก่อนที่จะเกิดแคมเปญการโจมตี DeFi ขนาดใหญ่ เหตุการณ์นี้ทำให้เกิดความกังวลต่อแพลตฟอร์มคริปโตที่พึ่งพา 2FA เป็นชั้นความปลอดภัยหลัก

เป็นเวลาหลายปี อุตสาหกรรมความปลอดภัยทางไซเบอร์ได้เตือนว่าการโจมตีที่ช่วยด้วยปัญญาประดิษฐ์กำลังจะมาถึง ตอนนี้มันได้เกิดขึ้นแล้ว กลุ่มข้อมูลภัยคุกคามของกูเกิล (GTIG) ยืนยันกรณีแรกที่รู้จักของการใช้ช่องโหว่ศูนย์วันที่สร้างขึ้นด้วยความช่วยเหลือของปัญญาประดิษฐ์ ซึ่งสามารถหลีกเลี่ยงการยืนยันตัวตนแบบสองขั้นตอนโดยการใช้ช่องโหว่ความเชื่อถือที่ถูกกำหนดไว้ล่วงหน้าในเครื่องมือบริหารเว็บแบบโอเพ่นซอร์สที่ใช้กันอย่างแพร่หลาย

การค้นพบนี้ ซึ่งเผยแพร่เมื่อวันที่ 11 พฤษภาคม 2026 แสดงถึงการเพิ่มระดับความรุนแรงอย่างมีนัยสำคัญในเกมล่าเหยื่อระหว่างนักวิจัยด้านความปลอดภัยกับผู้โจมตี และสำหรับผู้ที่อยู่ในวงการคริปโตที่พึ่งพา 2FA เป็นเกราะป้องกัน นี่คือสัญญาณเตือนที่ควรให้ความสนใจ

สิ่งที่ GTIG พบ และทำไมมันจึงแตกต่าง

การโจมตีเป็นสคริปต์ Python ที่ออกแบบมาเพื่อหลีกเลี่ยงการป้องกัน 2FA โดยมุ่งเป้าไปที่ช่องโหว่ทางตรรกะในเครื่องมือเว็บผู้ดูแลระบบแบบโอเพ่นซอร์สที่ไม่ได้ระบุชื่อแต่ถูกใช้งานอย่างแพร่หลาย ในภาษาอังกฤษ: เครื่องมือนี้มีจุดอ่อนในวิธีการตัดสินใจว่าจะเชื่อถือคำขอการรับรองความถูกต้องบางอย่าง และสคริปต์นี้ถูกสร้างขึ้นมาโดยเฉพาะเพื่อใช้ประโยชน์จากจุดอ่อนนี้

สิ่งที่ทำให้กรณีนี้ไม่เคยเกิดขึ้นมาก่อนไม่ใช่แค่การถูกโจมตีเท่านั้น แต่ยังรวมถึงร่องรอยที่เหลือไว้

นักวิจัยจาก GTIG พบเครื่องหมายบ่งชี้หลายประการของรหัสที่สร้างโดย AI ตลอดทั้งสคริปต์ ได้แก่ คลาสสี ANSI ที่สะอาด คำสั่งเพื่อการศึกษาที่จัดระเบียบ คะแนน CVSS ที่สร้างขึ้น (มาตราฐานอุตสาหกรรมสำหรับการประเมินความรุนแรง) และเมนูช่วยเหลือที่ละเอียด ลักษณะเหล่านี้แทบไม่เคยปรากฏในรหัสที่เขียนด้วยมือ

คิดว่ามันเหมือนการค้นหาชุดเครื่องมือขโมยที่เครื่องมือแต่ละชิ้นมีป้ายกำกับคำแนะนำและจัดสีตามฟังก์ชัน การแฮ็กโดยมนุษย์มักไม่สนใจความละเอียดเช่นนี้ แต่โมเดลภาษาขนาดใหญ่ได้รับการฝึกให้ช่วยเหลือและเป็นระเบียบ แม้แต่เมื่อผลลัพธ์นั้นเป็นอันตราย

การวิเคราะห์ของ GTIG พบว่าโครงสร้างโค้ดสอดคล้องอย่างใกล้ชิดกับรูปแบบข้อมูลการฝึกอบรมจากโมเดลภาษาขนาดใหญ่ กลุ่มนี้สามารถตัดโมเดล Gemini ของ Google ออกจากการมีส่วนร่วม หมายความว่าผู้โจมตีใช้ระบบ AI อื่นเพื่อค้นหาช่องโหว่และพัฒนาการโจมตีที่ใช้งานได้

การแทรกแซงของ Google หยุดยั้งแคมเปญการใช้ประโยชน์อย่างกว้างขวาง

สิ่งนี้ไม่ใช่เพียงการฝึกหัดทางวิชาการหรือการพิสูจน์แนวคิดที่อยู่บนฟอรัมดาร์กเว็บเท่านั้น GTIG พบว่าผู้โจมตีมีแผนจะใช้ประโยชน์ในระดับใหญ่ หมายความว่าพวกเขาตั้งใจจะใช้ช่องโหว่นี้อย่างกว้างขวางกับระบบต่างๆ ที่ใช้เครื่องมือที่มีช่องโหว่

กูเกิลเข้าแทรกโดยทำงานร่วมกับผู้ผลิตโดยตรงเพื่อใช้งานแพตช์ก่อนที่แคมเปญนั้นจะเริ่มขึ้น ตารางเวลาแสดงให้เห็นว่า GTIG ตรวจพบเหตุการณ์นี้ได้ค่อนข้างเร็วในวงจรการโจมตี ซึ่งเป็นสถานการณ์ที่ดีที่สุดสำหรับเหตุการณ์เช่นนี้

แต่การที่มันไปได้ถึงขั้นนี้ โดยโมเดลปัญญาประดิษฐ์ถูกใช้ไม่เพียงแค่เขียนสคริปต์ แต่ยังระบุช่องโหว่ที่ไม่เคยรู้จักมาก่อน และสร้างวิธีหลีกเลี่ยงที่ใช้งานได้จริงรอบ 2FA ถือเป็นบทใหม่ในด้านความมั่นคงปลอดภัยทางไซเบอร์แบบโจมตี อุปสรรคในการเริ่มต้นพัฒนาการโจมตีที่ซับซ้อนลดลงอย่างมาก

ก่อนหน้านี้ การสร้าง zero-day ต้องการความเชี่ยวชาญลึกซึ้งในการวิเคราะห์ย้อนกลับ การวิจัยช่องโหว่ และการพัฒนาการโจมตี ซึ่งเป็นทักษะที่ต้องใช้เวลาหลายปีในการพัฒนา โมเดล AI สามารถบีบอัดกระบวนการส่วนใหญ่เหล่านี้ให้เหลือเพียงไม่กี่ชั่วโมง ลดขีดจำกัดทักษะสำหรับผู้โจมตีที่อาจเกิดขึ้น ขณะเดียวกันก็เพิ่มขีดจำกัดสูงสุดของสิ่งที่แฮกเกอร์ผู้มีประสบการณ์สามารถทำได้

ทำไมคริปโตควรได้รับความสนใจ

ไม่มีแพลตฟอร์มคริปโตเคอเรนซีใดๆ ที่เชื่อมโยงกับช่องโหว่นี้โดยเฉพาะ แต่ผลกระทบต่ออุตสาหกรรมคริปโตเคอเรนซีนั้นยากที่จะมองข้าม

การยืนยันตัวตนสองขั้นตอนเป็นชั้นความปลอดภัยพื้นฐานที่ใช้ในแพลตฟอร์มแลกเปลี่ยนคริปโตเคอเรนซีหลักๆ ผู้ให้บริการวอลเล็ต และแพลตฟอร์ม DeFi แทบทุกแห่ง บริการจำนวนมากเหล่านี้ทำงานบนหรือผสานรวมกับเครื่องมือการจัดการเว็บแบบโอเพ่นซอร์ส ซึ่งเป็นหมวดหมู่ของซอฟต์แวร์ที่มุ่งเป้าหมายตรงนี้

จุดอ่อนด้านความเชื่อถือที่ถูกเขียนไว้แน่นอนในแกนกลางของการโจมตีนี้เป็นช่องโหว่ที่อาจมีอยู่ในหลายการนำไปใช้งานของซอฟต์แวร์ที่คล้ายกัน หากเครื่องมือผู้ดูแลระบบแบบโอเพ่นซอร์สหนึ่งตัวมีปัญหานี้ โอกาสที่เครื่องมืออื่นๆ จะมีจุดอ่อนทางตรรกะที่คล้ายกันก็มีอยู่อย่างสมเหตุสมผล

สำหรับผู้ใช้คริปโต ข้อสรุปที่สามารถนำไปใช้ได้คือ 2FA เป็นสิ่งจำเป็นแต่ไม่เพียงพอ กุญแจความปลอดภัยแบบฮาร์ดแวร์ รายการที่ได้รับอนุญาตสำหรับการถอน และการตั้งค่าวอลเล็ตแบบหลายลายเซ็น ให้ชั้นความปลอดภัยเพิ่มเติมที่จะไม่ถูกโจมตีได้เพียงแค่การหลีกเลี่ยง 2FA แพลตฟอร์มแลกเปลี่ยนและผู้ให้บริการเก็บรักษาที่พึ่งพา 2FA แบบซอฟต์แวร์เพียงอย่างเดียวเป็นการป้องกันหลักควรทบทวนสถาปัตยกรรมความปลอดภัยของตนใหม่ตามการค้นพบนี้

ความกังวลที่กว้างขึ้นคือเส้นโค้งการเร่งความเร็ว หาก AI สามารถสร้าง zero-day ที่ใช้งานได้ในวันนี้เพื่อโจมตีเครื่องมือผู้ดูแลระบบเว็บ มันไม่ใช่เรื่องยากที่จะจินตนาการว่าเทคนิคที่คล้ายกันจะถูกนำไปใช้กับช่องโหว่ของสัญญาอัจฉริยะ วอลเล็ตส่วนขยายเบราว์เซอร์ หรือระบบการรับรองความถูกต้องของ API ที่แพลตฟอร์มการซื้อขายใช้งาน พื้นที่โจมตีในวงการคริปโตมีอยู่แล้วอย่างมหาศาล การสร้างการโจมตีด้วยความช่วยเหลือของ AI ทำให้การป้องกันยากขึ้นเป็นหลายเท่า

ดูสิ การแข่งขันด้านความปลอดภัยทางไซเบอร์เคยให้ประโยชน์กับผู้ที่เคลื่อนไหวเร็วกว่าเสมอ ครั้งแรกที่ผู้โจมตีมีเครื่องมือที่สามารถตรวจสอบจุดอ่อนอย่างเป็นระบบด้วยความเร็วของเครื่องจักร โกลเกิลจับได้กรณีนี้ การโจมตีที่สร้างโดยปัญญาประดิษฐ์ครั้งต่อไปอาจไม่มีร่องรอยที่สะดวกเช่นนี้อีกต่อไป และเป้าหมายอาจไม่มีทีมระดับ GTIG คอยเฝ้าระวังขอบเขต

แหล่งที่มา:แสดงต้นฉบับ
คำปฏิเสธความรับผิดชอบ: ข้อมูลในหน้านี้อาจได้รับจากบุคคลที่สาม และไม่จำเป็นต้องสะท้อนถึงมุมมองหรือความคิดเห็นของ KuCoin เนื้อหานี้จัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลทั่วไปเท่านั้น โดยไม่มีการรับรองหรือการรับประกัน และจะไม่ถูกตีความว่าเป็นคำแนะนำทางการเงินหรือการลงทุน KuCoin จะไม่รับผิดชอบต่อความผิดพลาดหรือการละเว้นในเนื้อหา หรือผลลัพธ์ใดๆ ที่เกิดจากการใช้ข้อมูลนี้ การลงทุนในสินทรัพย์ดิจิทัลอาจมีความเสี่ยง โปรดประเมินความเสี่ยงของผลิตภัณฑ์และความเสี่ยงที่คุณยอมรับได้อย่างรอบคอบตามสถานการณ์ทางการเงินของคุณเอง โปรดดูข้อมูลเพิ่มเติมได้ที่ข้อกำหนดการใช้งานและเอกสารเปิดเผยข้อมูลความเสี่ยงของเรา