Anthropic เผยแฮกเกอร์ใช้ Claude Code เจาะข้อมูล - เรียกค่าไถ่ 17 องค์กรในสหรัฐ
Anthropic บริษัทผู้พัฒนาแชตบอต Claude เปิดเผยรายงานภัยคุกคาม ระบุว่า มีแฮกเกอร์รายหนึ่งใช้เอไอของบริษัทในระดับที่ไม่เคยมีมาก่อน เพื่อเจาะข้อมูลและรีดไถอย่างน้อย 17 องค์กรในสหรัฐ ทั้งหน่วยงานรัฐบาล สถาบันศาสนา ผู้ให้บริการด้านการแพทย์ ไปจนถึงผู้รับเหมาด้านการป้องกันประเทศ
อย่างไรก็ตาม นี่ถือเป็นกรณีแรกที่มีการบันทึกอย่างเป็นทางการว่า ปัญญาประดิษฐ์เชิงพาณิชย์ถูกใช้เพื่อ “ทำงานเกือบทั้งกระบวนการ” ของอาชญากรรมไซเบอร์ ตั้งแต่ค้นหาเป้าหมาย พัฒนาโปรแกรมโจมตี วิเคราะห์ข้อมูลทางการเงินที่ขโมยมา ไปจนถึงร่างอีเมลเรียกค่าไถ่และกำหนดวงเงินที่เหมาะสม
รายละเอียดเหตุการณ์
แฮกเกอร์ใช้ Claude Code ซึ่งเป็นเอไอสำหรับเขียนโค้ดอัตโนมัติ ในการ:
- สแกนหาบริษัทที่มีช่องโหว่
- สร้างมัลแวร์ขโมยข้อมูลสำคัญ เช่น ข้อมูลการเงิน ข้อมูลสุขภาพ และข้อมูลลับของรัฐบาล
- วิเคราะห์ข้อมูลที่ขโมยได้ เพื่อกำหนดจำนวนเงินค่าไถ่
- เขียนและส่งอีเมลข่มขู่ให้จ่ายค่าไถ่
การโจมตีครั้งนี้เป็นไปในระดับที่เอไอทำหน้าที่ตัดสินใจเชิงกลยุทธ์และเทคนิคแทนมนุษย์ เช่น เลือกข้อมูลที่เหมาะสมในการขโมย และออกแบบข้อความคุกคามที่มีผลต่อจิตใจ
โดยข้อมูลที่ถูกเจาะมีทั้ง หมายเลขประกันสังคม ข้อมูลบัญชีธนาคาร ประวัติการแพทย์ ไปจนถึงเอกสารด้านความมั่นคงที่อยู่ภายใต้ข้อบังคับการส่งออกอาวุธของสหรัฐ (ITAR) แม้รายงานไม่ได้เปิดเผยชื่อองค์กร แต่ระบุว่ามีทั้ง ผู้รับเหมาด้านกลาโหม สถาบันการเงิน และผู้ให้บริการด้านสาธารณสุขที่ถูกโจมตี
รูปแบบที่เกิดขึ้นแตกต่างจากแรนซัมแวร์แบบดั้งเดิม เนื่องจากแฮกเกอร์ไม่จำเป็นต้องเข้ารหัสไฟล์ แต่เลือกที่จะขู่เปิดเผยข้อมูล (data extortion) หากไม่ได้รับค่าไถ่ โดยบางกรณีเรียกเงินสูงถึง 500,000 ดอลลาร์
Anthropic ระบุว่านี่คือการใช้เอไอในระดับที่ไม่เคยมีมาก่อน เพราะ Claude Code ถูกปล่อยให้ตัดสินใจเองทั้งเชิงยุทธศาสตร์และยุทธวิธี เช่น เลือกข้อมูลที่จะขโมย กำหนดจำนวนเงินค่าไถ่ และออกแบบโน้ตที่สร้างความตื่นตระหนกเมื่อปรากฏบนคอมพิวเตอร์ของเหยื่อ
หนึ่งในประเด็นใหญ่ที่รายงานชี้คือ เอไอกำลังลดกำแพงการเข้าถึงของอาชญากรรมไซเบอร์ คนที่แทบไม่มีทักษะเขียนโปรแกรมก็สามารถใช้เอไอพัฒนาเครื่องมือโจมตีที่ซับซ้อนได้ในเวลาไม่นาน
ตัวอย่างที่ถูกเปิดเผย เช่น การขายมัลแวร์เรียกค่าไถ่ที่สร้างด้วยเอไอโดยผู้ที่มีความรู้ด้านโค้ดเพียงพื้นฐาน, โครงการหางานปลอมจากเครือข่ายที่เชื่อมโยงกับเกาหลีเหนือ, การวิเคราะห์ข้อมูลบัตรเครดิตและสร้างตัวตนปลอมเพื่อขยายขอบเขตการโกง
รายงานครั้งนี้ได้ย้ำความกังวลต่อการขาดกฎระเบียบจากภาครัฐ ในอุตสาหกรรมเอไอของสหรัฐ ที่ส่วนใหญ่ยังคงปล่อยให้บริษัทกำกับดูแลตัวเอง แม้จะมีความเสี่ยงสูงต่อการถูกนำไปใช้ทางอาชญากรรม
เจคอบ ไคลน์ (Jacob Klein) หัวหน้าฝ่ายข่าวกรองภัยคุกคามของ Anthropic ให้สัมภาษณ์ว่า แม้บริษัทมีระบบตรวจสอบหลายชั้น แต่ผู้โจมตีที่มีความมุ่งมั่นก็ยังหาวิธีเลี่ยงได้ และเตือนว่ารูปแบบการโจมตีลักษณะนี้จะกลายเป็นเรื่องปกติมากขึ้นเรื่อยๆ
มาตรการตอบโต้
Anthropic ระบุว่าได้เพิ่มระบบตรวจจับและป้องกันการใช้งาน Claude ในทางที่ผิดแล้ว และพัฒนาตัวกรองพฤติกรรมผู้ใช้งาน (classifier) เพื่อค้นหาการใช้งานที่มีลักษณะละเมิด พร้อมแบ่งปันข้อมูลทางเทคนิคกับพันธมิตรที่เกี่ยวข้อง แต่ก็เตือนว่าการใช้เอไอในการก่ออาชญากรรมประเภทนี้จะเพิ่มขึ้นในอนาคต