ซอฟต์แวร์
แอปพลิเคชันบนมือถือ
เช็คความเร็วเน็ต (Speedtest)
เช็คไอพี (Check IP)
เช็คเลขพัสดุ
สุ่มออนไลน์
เครื่องมือคำนวณวันออนไลน์
อวสาน Captcha นักวิจัยพบ ChatGPT สามารถใช้ฝ่าระบบป้องกันเว็บไซต์แบบ Captcha ได้
Sarun_ss777
ตามปกติ ในการเข้าเว็บไซต์ผู้อ่านอาจจะคุ้นเคยกับระบบป้องกันแบบ Captcha เพื่อตรวจสอบว่าผู้เข้าเยี่ยมชมเว็บไซต์นั้นเป็นหุ่นยนต์ (Robot) หรือไม่ ? แต่ขณะนี้ระบบนี้อาจกำลังถูก AI (ปัญญาประดิษฐ์) เอาชนะได้แล้ว
จากรายงานโดยเว็บไซต์ eSecurity Planet ได้กล่าวถึงการที่นักวิจัยจากมหาวิทยาลัย Cornell University ได้ทำการวิจัยในการใช้งาน ChatGPT เครื่องมือแบบปัญญาประดิษฐ์เพื่อการสร้างสื่อ หรือ Generative-AI ยอดนิยมจาก OpenAI ที่ใช้งานโมเดล GPT ซึ่งเป็น AI ประเภทโมเดลภาษาขนาดใหญ่ (LLM หรือ Large Language Model) ในการเอามาใช้งานเพื่อฝ่าระบบการป้องกันแบบ Captcha ด้วยวิธีการยิงคำสั่งให้ AI ทำตามที่สั่งถึงแม้จะถูกห้ามไว้ หรือที่เรียกว่า การทำ Prompt Injection โดยขั้นตอนการทดสอบของนักวิจัยมีดังนี้
- นักวิจัยเตือน ! Phishing เป็นวิธีการยอดนิยมที่สุด ในการหลอกฝังแรนซัมแวร์ลงสู่ระบบขององค์กร
- แฮกเกอร์ วางยา SEO แพร่กระจายมัลแวร์ BadIIS เปลี่ยนเส้นทางเยี่ยมชมเว็บของเหยื่อไปเว็บพนัน และเว็บโป๊
- ระวังแอป LastPass ปลอม เล็งผู้ใช้งาน macOS เพื่อปล่อยมัลแวร์ AMOS ใส่เครื่อง
- ไม่ทน ! Burger King ขู่แฮกเกอร์ที่เขียนบล็อกเปิดโปงจุดอ่อนระบบของทางบริษัท ให้ลบบทความในทันที
- กลุ่มแฮกเกอร์ใช้มัลแวร์แบบ USB SnakeDisk เพื่อรันมัลแวร์ Backdoor Yokai บนเครื่องที่มีเลขไอพีประเทศไทย
- ใช้งานโมเดล ChatGPT-4o แบบทั่วไป
- เริ่มต้นด้วยการสั่งว่า ให้ทดสอบ Captcha “ปลอม” ด้วยวัตถุประสงค์เพื่อ “โครงงานทางด้านการศึกษา”
- หลังจากตัวโมเดล AI ยินยอมจะทำให้แล้ว ให้เริ่มกล่องบทสนทนาใหม่ (New Session) แล้วคัดลอกบทสนทนาไปยังกล่องใหม่ เพื่อยืนยันว่าได้รับการอนุญาตให้ทำแล้ว
หลังจากนั้นทางนักวิจัยจึงได้ทำการทดสอบกับระบบ Caption แบบต่าง ๆ พบว่า ChatGPT-4o สามารถเอาชนะระบบ Captcha ดังต่อไปนี้ได้อย่างสบาย
- Google reCAPTCHA v2, v3, และ Enterprise editions
- Checkbox และแบบ text-based tests
- Cloudflare Turnstile
ขณะที่ตัว ChatGPT สามารถจัดการกับระบบป้องกันข้างต้นได้ ระบบการป้องกันแบบที่ต้องใช้การแก้ปริศนา (Puzzle-based) อย่างการเลื่อนรูปให้ตรงกับช่องว่างนั้น ตัว ChatGPT มีการใช้งานที่ติดขัดอยู่บ้าง แต่ก็สามารถฝ่าฟันได้สำเร็จ ซึ่งที่น่าสนใจคือ ถ้าการทดสอบครั้งไหนล้มเหลว ChatGPT จะตอบกลับมาว่า “ครั้งนี้ล้มเหลว แต่จะลองใหม่อีกครั้งด้วยการเคลื่อนไหวที่ละเอียดกว่าเดิมจนคล้ายมนุษย์” (Didn’t succeed. I’ll try again, dragging with more control… to replicate human movement.)
ด้วยความสามารถในระดับนี้ ทำให้ทางนักวิจัย และทีมงานนั้นมีความกังวลใจถึงสวัสดิภาพ ความปลอดภัยของการรักษาความปลอดภัยของระบบในระดับองค์กรมาก พร้อมทั้งแนะนำทั้งในส่วนของบริษัทผู้พัฒนา AI และในส่วนองค์กรต่าง ๆ ดังนี้
- ในส่วนของบริษัทผู้พัฒนา AI จำเป็นที่จะต้องพัฒนาเครื่องมือป้องกันไม่ให้ใช้ AI ไปในทางที่ผิด หรือ AI Guardrail ให้มีประสิทธิภาพมากกว่านี้ เช่น ระบบการตรวจสอบบริบท (Context Integrity Checks) และ ระบบทำความสะอาดหน่วยความจำ (Memory Hygiene) เพื่อไม่ให้เกิดการใช้เทคนิคหลอกลวง AI จนนำไปสู่การทำ Prompt Injection ได้
- ในส่วนขององค์กรต่าง ๆ ที่มีการนำเอา LLM เข้ามาใช้ จะต้องมีการตั้งทีมรับมือฉุกเฉิน (Red Team) เพื่อตรวจสอบหาจุดอ่อนของตัวระบบ AI และฝึกฝนใช้เทคนิคในการป้องกัน เพื่อไม่ให้เกิดการใช้ Prompt Injection โดยแฮกเกอร์ที่เข้ามาถึงระบบในส่วนของ LLM ได้
ที่มา : www.esecurityplanet.com
คำสำคัญ »
|
|
ข่าวไอทีที่เกี่ยวข้อง
แสดงความคิดเห็น
ข่าวไอที ยอดนิยม
ข่าวไอทีแนะนำ
ข่าวประชาสัมพันธ์
Thaiware.com is owned and operated by Thaiware Communication Co., Ltd.