SlowMist × Bitget AI รายงานความปลอดภัย: การมอบเงินให้กับ AI Agent เช่น "Lobster" ปลอดภัยจริงหรือ?
- มุมมองหลัก: ในขณะที่ AI Agent ถูกบูรณาการอย่างลึกซึ้งเข้ากับสถานการณ์การซื้อขาย Web3 ภัยคุกคามด้านความปลอดภัยของมันได้ขยายจากช่องโหว่ซอฟต์แวร์แบบดั้งเดิมไปสู่หลายระดับ รวมถึงการฉีดคำสั่ง (Prompt Injection) การโจมตีซัพพลายเชนปลั๊กอินที่เป็นอันตราย การใช้สิทธิ์ระดับสูงในทางที่ผิด และความเสี่ยงในการดำเนินการสินทรัพย์บนบล็อกเชน ซึ่งจำเป็นต้องสร้างระบบการป้องกันความปลอดภัยที่เป็นระบบ
- องค์ประกอบสำคัญ:
- พื้นผิวการโจมตีรูปแบบใหม่: การฉีดคำสั่ง (Prompt Injection) สามารถควบคุมตรรกะการตัดสินใจของ Agent ได้, Skill/ปลั๊กอินที่เป็นอันตรายกลายเป็นจุดเข้าใหม่สำหรับการโจมตีซัพพลายเชน, การกำหนดค่าสภาพแวดล้อมการทำงานที่ไม่เหมาะสมอาจนำไปสู่การรั่วไหลของข้อมูลสำคัญ
- ความเสี่ยงจากการปนเปื้อนซัพพลายเชน: การตรวจสอบพบว่า Skill ที่เป็นอันตรายแสดงลักษณะของการทำงานเป็นกลุ่มและการผลิตเป็นแบทช์ มักหลอกลวงผู้ใช้ให้ดำเนินการสคริปต์ที่เป็นอันตรายจากระยะไกลผ่านขั้นตอนการติดตั้งปลอมเพื่อขโมยข้อมูลท้องถิ่น
- การขยายความเสี่ยงสินทรัพย์ Web3: การทำธุรกรรมบนบล็อกเชนมีความไม่สามารถย้อนกลับได้ หาก Agent ถูกควบคุมอาจนำไปสู่การสูญเสียเงินทุนโดยตรง เช่น การเปลี่ยนที่อยู่ การแก้ไขจำนวนเงิน การออกแบบที่มีความเสี่ยงสูงคือการผูก Agent เข้ากับระบบควบคุมสินทรัพย์อย่างสมบูรณ์
- แนวปฏิบัติด้านความปลอดภัยบัญชีและ API: ผู้ใช้ควรเปิดใช้งานการยืนยันตัวตนสองขั้นตอน (2FA) ที่แข็งแกร่ง การเข้าสู่ระบบด้วย Passkey สร้างบัญชีย่อยเฉพาะสำหรับ Agent และปฏิบัติตามหลักการสิทธิ์ขั้นต่ำของ API Key หมุนเวียนเป็นประจำและตรวจสอบบันทึกการเรียกใช้
- การออกแบบความปลอดภัยระดับแพลตฟอร์ม: แพลตฟอร์มการซื้อขายจำเป็นต้องจัดหาการแยกบัญชีย่อย การควบคุมสิทธิ์ API แบบละเอียด กลไกการตรวจสอบปลั๊กอิน และความสามารถด้านความปลอดภัยพื้นฐาน (เช่น รหัสป้องกันการฟิชชิง รายการอนุญาตการถอน) เพื่อลดความเสี่ยงโดยรวม
- กรอบการกำกับดูแลความปลอดภัยแบบหลายชั้น: รายงานเสนอแนวคิดการกำกับดูแลความปลอดภัยห้าชั้น (L1-L5) ตั้งแต่แนวทางความปลอดภัยพื้นฐานแบบรวมศูนย์ การรวบรวมสิทธิ์ การรับรู้ภัยคุกคามภายนอก การวิเคราะห์ความเสี่ยงบนบล็อกเชน ไปจนถึงการตรวจสอบการดำเนินงานอย่างต่อเนื่อง เพื่อสร้างระบบป้องกันแบบวงจรปิด
ผู้เขียนต้นฉบับ: SlowMist & Bitget
1. พื้นหลัง
ด้วยการพัฒนาอย่างรวดเร็วของเทคโนโลยีโมเดลขนาดใหญ่ AI Agent กำลังวิวัฒนาการจากผู้ช่วยอัจฉริยะแบบง่ายไปสู่ระบบอัตโนมัติที่สามารถทำงานได้ด้วยตนเอง การเปลี่ยนแปลงนี้เห็นได้ชัดเป็นพิเศษในระบบนิเวศ Web3 ผู้ใช้จำนวนมากขึ้นเรื่อยๆ เริ่มทดลองให้ AI Agent มีส่วนร่วมในการวิเคราะห์ตลาด การสร้างกลยุทธ์ และการซื้อขายอัตโนมัติ ทำให้ "ผู้ช่วยซื้อขายที่ทำงานอัตโนมัติ 24x7 ชั่วโมง" ค่อยๆ กลายเป็นจริงจากแนวคิด ด้วยการที่ Binance และ OKX เปิดตัว AI Skills หลายรายการ และ Bitget ได้เปิดตัวแหล่งทรัพยากร Skills ชื่อ Agent Hub ทำให้ Agent สามารถเชื่อมต่อโดยตรงกับ API แพลตฟอร์มซื้อขาย ข้อมูลบนเชน และเครื่องมือวิเคราะห์ตลาดได้ ดังนั้นจึงสามารถรับผิดชอบงานตัดสินใจและดำเนินการซื้อขายที่เดิมต้องทำโดยมนุษย์ได้ในระดับหนึ่ง
เมื่อเทียบกับสคริปต์อัตโนมัติแบบดั้งเดิม AI Agent มีความสามารถในการตัดสินใจด้วยตนเองที่แข็งแกร่งกว่าและความสามารถในการโต้ตอบกับระบบที่ซับซ้อนกว่า สามารถเชื่อมต่อกับข้อมูลตลาด เรียกใช้ API การซื้อขาย จัดการสินทรัพย์บัญชี และแม้แต่ขยายระบบนิเวศฟังก์ชันผ่านปลั๊กอินหรือ Skill การเพิ่มขึ้นของความสามารถนี้ช่วยลดอุปสรรคในการใช้งานการซื้อขายอัตโนมัติได้อย่างมาก และยังทำให้ผู้ใช้ทั่วไปเริ่มเข้าถึงและใช้เครื่องมือซื้อขายอัตโนมัติมากขึ้น
อย่างไรก็ตาม การขยายความสามารถก็หมายถึงการขยายขอบเขตการโจมตี
ในสถานการณ์การซื้อขายแบบดั้งเดิม ความเสี่ยงด้านความปลอดภัยมักจะกระจุกตัวอยู่ที่ปัญหาเช่น ข้อมูลประจำตัวบัญชี การรั่วไหลของ API Key หรือการโจมตีแบบฟิชชิ่ง ในสถาปัตยกรรม AI Agent ความเสี่ยงใหม่กำลังปรากฏขึ้น ตัวอย่างเช่น การฉีดพรอมต์ (Prompt Injection) อาจส่งผลต่อตรรกะการตัดสินใจของ Agent ปลั๊กอินหรือ Skill ที่เป็นอันตรายอาจกลายเป็นจุดเข้าโจมตีซัพพลายเชนใหม่ และการกำหนดค่าสภาพแวดล้อมการทำงานที่ไม่เหมาะสมอาจนำไปสู่การใช้ข้อมูลที่ละเอียดอ่อนหรือสิทธิ์ API ในทางที่ผิด เมื่อปัญหาเหล่านี้รวมกับระบบซื้อขายอัตโนมัติ ผลกระทบที่อาจเกิดขึ้นอาจไม่จำกัดเพียงการรั่วไหลของข้อมูล แต่ยังอาจทำให้เกิดการสูญเสียสินทรัพย์จริงโดยตรง
ในเวลาเดียวกัน เมื่อผู้ใช้จำนวนมากขึ้นเริ่มเชื่อมต่อ AI Agent เข้ากับบัญชีซื้อขาย ผู้โจมตีก็กำลังปรับตัวให้เข้ากับการเปลี่ยนแปลงนี้อย่างรวดเร็ว รูปแบบการหลอกลวงใหม่ที่กำหนดเป้าหมายผู้ใช้ Agent การวางยาพิษปลั๊กอินที่เป็นอันตราย และปัญหาการใช้ API Key ในทางที่ผิด กำลังค่อยๆ กลายเป็นภัยคุกคามความปลอดภัยใหม่ ในสถานการณ์ Web3 การดำเนินการกับสินทรัพย์มักมีมูลค่าสูงและไม่สามารถย้อนกลับได้ เมื่อระบบอัตโนมัติถูกใช้ในทางที่ผิดหรือถูกชี้นำผิด ผลกระทบของความเสี่ยงอาจถูกขยายเพิ่มเติม
จากพื้นหลังเหล่านี้ SlowMist และ Bitget ร่วมกันเขียนรายงานนี้ โดยรวบรวมปัญหาความปลอดภัยของ AI Agent ในหลายสถานการณ์อย่างเป็นระบบจากมุมมองของการวิจัยความปลอดภัยและการปฏิบัติของแพลตฟอร์มซื้อขาย หวังว่ารายงานนี้จะสามารถให้ข้อมูลอ้างอิงด้านความปลอดภัยแก่ผู้ใช้ นักพัฒนา และแพลตฟอร์ม ช่วยส่งเสริมให้ระบบนิเวศ AI Agent พัฒนาอย่างมั่นคงระหว่างความปลอดภัยและนวัตกรรม
2. ภัยคุกคามความปลอดภัยที่แท้จริงของ AI Agent | SlowMist
การเกิดขึ้นของ AI Agent ทำให้ระบบซอฟต์แวร์เปลี่ยนจาก "การดำเนินการที่นำโดยมนุษย์" ไปสู่ "โมเดลมีส่วนร่วมในการตัดสินใจและการดำเนินการ" การเปลี่ยนแปลงทางสถาปัตยกรรมนี้ช่วยเพิ่มความสามารถในการทำงานอัตโนมัติอย่างมีนัยสำคัญ แต่ในขณะเดียวกันก็ขยายขอบเขตการโจมตี จากโครงสร้างทางเทคนิคในปัจจุบัน ระบบ AI Agent ทั่วไปมักประกอบด้วยหลายองค์ประกอบ เช่น ชั้นการโต้ตอบกับผู้ใช้ ชั้นตรรกะแอปพลิเคชัน ชั้นโมเดล ชั้นการเรียกใช้เครื่องมือ (Tools / Skills) ระบบความจำ (Memory) และสภาพแวดล้อมการดำเนินการระดับล่าง ผู้โจมตีมักไม่กำหนดเป้าหมายไปที่โมดูลเดียว แต่พยายามส่งผลต่อการควบคุมพฤติกรรมของ Agent ผ่านเส้นทางหลายชั้นทีละขั้น
1. การควบคุมอินพุตและการโจมตีด้วยการฉีดพรอมต์
ในสถาปัตยกรรม AI Agent อินพุตจากผู้ใช้และข้อมูลภายนอกมักจะถูกรวมเข้ากับบริบทของโมเดลโดยตรง ซึ่งทำให้การฉีดพรอมต์ (Prompt Injection) กลายเป็นวิธีการโจมตีที่สำคัญ ผู้โจมตีสามารถสร้างคำสั่งเฉพาะเพื่อชักนำให้ Agent ดำเนินการที่โดยปกติไม่ควรถูกเรียกใช้ ตัวอย่างเช่น ในบางกรณีศึกษา สามารถชักนำให้ Agent สร้างและดำเนินการคำสั่งระบบที่มีความเสี่ยงสูงได้เพียงผ่านคำสั่งแชท
วิธีการโจมตีที่ซับซ้อนกว่าคือการฉีดทางอ้อม ซึ่งผู้โจมตีซ่อนคำสั่งที่เป็นอันตรายไว้ในเนื้อหาเว็บ คำอธิบายเอกสาร หรือความคิดเห็นในโค้ด เมื่อ Agent อ่านเนื้อหาเหล่านี้ในระหว่างการทำงาน อาจเข้าใจผิดว่าเป็นคำสั่งที่ถูกต้อง ตัวอย่างเช่น การฝังคำสั่งที่เป็นอันตรายในเอกสารปลั๊กอิน ไฟล์ README หรือไฟล์ Markdown อาจทำให้ Agent ดำเนินการโค้ดโจมตีเมื่อเริ่มต้นสภาพแวดล้อมหรือติดตั้งการพึ่งพา
ลักษณะของโหมดการโจมตีนี้คือ มักไม่พึ่งพาช่องโหว่แบบดั้งเดิม แต่ใช้กลไกความไว้วางใจของโมเดลที่มีต่อข้อมูลบริบทเพื่อส่งผลต่อตรรกะพฤติกรรมของมัน
2. การวางยาพิษซัพพลายเชนในระบบนิเวศ Skills / ปลั๊กอิน
ในระบบนิเวศ AI Agent ปัจจุบัน ระบบปลั๊กอินและสกิล (Skills / MCP / Tools) เป็นวิธีสำคัญในการขยายความสามารถของ Agent อย่างไรก็ตาม ระบบนิเวศปลั๊กอินประเภทนี้กำลังกลายเป็นจุดเข้าโจมตีซัพพลายเชนใหม่
จากการตรวจสอบของ SlowMist เกี่ยวกับศูนย์ปลั๊กอินอย่างเป็นทางการของ OpenClaw ชื่อ ClawHub พบว่า เมื่อจำนวนนักพัฒนาเพิ่มขึ้น Skill ที่เป็นอันตรายบางส่วนเริ่มแทรกซึมเข้ามา หลังจากวิเคราะห์ IOC ของ Skill ที่เป็นอันตรายกว่า 400 รายการและรวบรวมเข้าด้วยกัน SlowMist พบว่าตัวอย่างจำนวนมากชี้ไปที่โดเมนคงที่จำนวนน้อยหรือหลายเส้นทางสุ่มภายใต้ IP เดียวกัน แสดงลักษณะของการใช้ทรัพยากรร่วมกันอย่างชัดเจน ซึ่งดูเหมือนเป็นการโจมตีที่เป็นกลุ่มและเป็นแบทช์มากกว่า
ในระบบ Skill ของ OpenClaw ไฟล์หลักมักเป็น SKILL.md ต่างจากโค้ดแบบดั้งเดิม ไฟล์ Markdown ประเภทนี้มักทำหน้าที่เป็น "คำแนะนำการติดตั้ง" และ "จุดเข้าเริ่มต้น" แต่ในระบบนิเวศ Agent มักจะถูกผู้ใช้คัดลอกและดำเนินการโดยตรง จึงสร้างห่วงโซ่การดำเนินการที่สมบูรณ์ ผู้โจมตีเพียงแค่ต้องปลอมแปลงคำสั่งที่เป็นอันตรายเป็นขั้นตอนการติดตั้งการพึ่งพา เช่น ใช้ curl | bash หรือเข้ารหัส Base64 เพื่อซ่อนคำสั่งจริง เพื่อชักนำให้ผู้ใช้ดำเนินการสคริปต์ที่เป็นอันตราย
ในตัวอย่างจริง Skill บางรายการใช้กลยุทธ์ "การโหลดสองขั้นตอน" แบบทั่วไป: สคริปต์ขั้นตอนแรกมีหน้าที่เพียงดาวน์โหลดและดำเนินการ Payload ขั้นตอนที่สอง เพื่อลดอัตราความสำเร็จของการตรวจจับแบบคงที่ ตัวอย่างเช่น Skill "X (Twitter) Trends" ที่มีจำนวนดาวน์โหลดสูง มีคำสั่งที่เข้ารหัส Base64 ซ่อนอยู่ใน SKILL.md
หลังจากถอดรหัสแล้ว จะพบว่าจริงๆ แล้วเป็นการดาวน์โหลดและดำเนินการสคริปต์ระยะไกล:
และโปรแกรมขั้นตอนที่สองจะปลอมแปลงป๊อปอัพระบบเพื่อรับรหัสผ่านของผู้ใช้ และรวบรวมข้อมูลเครื่อง เอกสารบนเดสก์ท็อป และไฟล์ในโฟลเดอร์ดาวน์โหลดในไดเรกทอรีชั่วคราวของระบบ สุดท้ายบีบอัดและอัปโหลดไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม
ข้อได้เปรียบหลักของวิธีการโจมตีนี้คือ เปลือกของ Skill สามารถรักษาเสถียรภาพค่อนข้างคงที่ ในขณะที่ผู้โจมตีเพียงแค่ต้องเปลี่ยน Payload ระยะไกลเพื่ออัปเดตตรรกะการโจมตีอย่างต่อเนื่อง
3. ความเสี่ยงในชั้นการตัดสินใจและการจัดลำดับงานของ Agent
ในชั้นตรรกะแอปพลิเคชันของ AI Agent งานมักจะถูกแบ่งออกเป็นหลายขั้นตอนการดำเนินการโดยโมเดล หากผู้โจมตีสามารถส่งผลต่อกระบวนการแบ่งส่วนนี้ อาจทำให้ Agent มีพฤติกรรมผิดปกติขณะดำเนินงานที่ถูกต้องตามกฎหมาย
ตัวอย่างเช่น ในกระบวนการทางธุรกิจที่เกี่ยวข้องกับการดำเนินการหลายขั้นตอน (เช่น การปรับใช้อัตโนมัติหรือการซื้อขายบนเชน) ผู้โจมตีสามารถเปลี่ยนที่อยู่เป้าหมายหรือดำเนินการเพิ่มเติมในขั้นตอนการทำงานของ Agent โดยการเปลี่ยนแปลงพารามิเตอร์สำคัญหรือรบกวนการตัดสินใจเชิงตรรกะ
ในกรณีศึกษาการตรวจสอบความปลอดภัยก่อนหน้าของ SlowMist เคยชักนำให้ Agent เรียกใช้ปลั๊กอินกระเป๋าเงินเพื่อดำเนินการโอนเงินบนเชนโดยการปนเปื้อนบริบทด้วยการส่งคืนพรอมต์ที่เป็นอันตรายไปยัง MCP
ลักษณะของการโจมตีประเภทนี้คือ ข้อผิดพลาดไม่ได้มาจากโค้ดที่สร้างโดยโมเดล แต่มาจากการที่ตรรกะการจัดลำดับงานถูกเปลี่ยนแปลง
4. การรั่วไหลของข้อมูลส่วนตัวและข้อมูลที่ละเอียดอ่อนในสภาพแวดล้อม IDE / CLI
หลังจากที่ AI Agent ถูกใช้กันอย่างแพร่หลายสำหรับการช่วยเหลือในการพัฒนาและการดำเนินการอัตโนมัติ Agent จำนวนมากเริ่มทำงานในสภาพแวดล้อม IDE, CLI หรือสภาพแวดล้อมการพัฒนาท้องถิ่น สภาพแวดล้อมประเภทนี้มักมีข้อมูลที่ละเอียดอ่อนจำนวนมาก เช่น ไฟล์การกำหนดค่า .env, API Token, ข้อมูลประจำตัวบริการคลาวด์, ไฟล์คีย์ส่วนตัว และคีย์การเข้าถึงประเภทต่างๆ เมื่อ Agent สามารถอ่านไดเรกทอรีเหล่านี้หรือจัดทำดัชนีไฟล์โปรเจกต์ในระหว่างการดำเนินงาน อาจรวมข้อมูลที่ละเอียดอ่อนเข้ากับบริบทของโมเดลโดยไม่ตั้งใจ
ในบางขั้นตอนการพัฒนาอัตโนมัติ Agent อาจอ่านไฟล์การกำหนดค่าในไดเรกทอรีโปรเจกต์ในระหว่างกระบวนการดีบัก การวิเคราะห์บันทึก หรือการติดตั้งการพึ่งพา หากขาดกลยุทธ์การละเว้นหรือการควบคุมการเข้าถึงที่ชัดเจน ข้อมูลนี้อาจถูกบันทึกลงในบันทึก ส่งไปยัง API โมเดลระยะไกล หรือแม้แต่ถูกส่งออกโดยปลั๊กอินที่เป็นอันตราย
นอกจากนี้ เครื่องมือพัฒนาบางอย่างอนุญาตให้ Agent สแกนที่เก็บโค้ดโดยอัตโนมัติเพื่อสร้างความจำบริบท (Memory) ซึ่งอาจขยายขอบเขตการเปิดเผยข้อมูลที่ละเอียดอ่อน ตัวอย่างเช่น ไฟล์คีย์ส่วนตัว การสำรองวลีช่วยจำ สตริงการเชื่อมต่อฐานข้อมูล หรือ API Token ของบุคคลที่สาม อาจถูกอ่านในระหว่างกระบวนการจัดทำดัชนี
ในสภาพแวดล้อมการพัฒนา Web3 ปัญหานี้เด่นชัดเป็นพิเศษ เนื่องจากนักพัฒนามักเก็บคีย์ส่วนตัวสำหรับทดสอบ, RPC Token หรือสคริปต์การปรับใช้ในสภาพแวดล้อมท้องถิ่น เมื่อข้อมูลนี้ถูก Skill, ปลั๊กอิน หรือสคริปต์ระยะไกลที่เป็นอันตรายได้มา ผู้โจมตีอาจควบคุมบัญชีนักพัฒนาหรือสภาพแวดล้อมการปรับใช้เพิ่มเติม
ดังนั้น ในสถานการณ์ที่ AI Agent รวมเข้ากับ IDE / CLI การสร้างกลยุทธ์การละเว้นไดเรกทอรีที่ละเอียดอ่อนที่ชัดเจน (เช่น กลไกคล้าย .agentignore, .gitignore) และมาตรการแยกสิทธิ์ เป็นข้อกำหนดเบื้องต้นที่สำคัญในการลดความเสี่ยงจากการรั่วไหลของข้อมูล
5. ความไม่แน่นอนของโมเดลและความเสี่ยงจากระบบอัตโนมัติ
โมเดล AI เองไม่ใช่ระบบที่กำหนดได้อย่างสมบูรณ์ ผลลัพธ์ของมันมีความไม่เสถียรในระดับความน่าจะเป็นหนึ่ง ที่เรียกว่า "ภาพหลอนของโมเดล" คือโมเดลสร้างผลลัพธ์ที่ดูสมเหตุสมผลแต่ผิดจริงเมื่อขาดข้อมูล ในสถานการณ์แอปพลิเคชันแบบดั้งเดิม ข้อผิดพลาดประเภทนี้มักส่งผลต่อคุณภาพข้อมูลเท่านั้น แต่ในสถาปัตยกรรม AI Agent ผลลัพธ์ของโมเดลอาจเรียกใช้การดำเนินการของระบบโดยตรง
ตัวอย่างเช่น ในบางกรณีศึกษา โมเดลไม่ได้สอบถามพารามิเตอร์จริงเมื่อปรับใช้โปรเจกต์ แต่สร้าง ID ที่ผิดพลาดและดำเนินขั้นตอนการปรับใช้ต่อไป หากสถานการณ์ที่คล้ายกันนี้เกิดขึ้นในสถานการณ์การซื้อขายบนเชนหรือการดำเนินการกับสินทรัพย์ การตัดสินใจที่ผิดพลาดอาจนำไปสู่การสูญเสียเงินทุนที่ไม่สามารถย้อนกลับได้
6. ความเสี่ยงจากการดำเนินการที่มีมูลค่าสูงในสถานการณ์ Web3
ต่างจากระบบซอฟต์แวร์แบบดั้งเดิม การดำเนินการหลายอย่างในสภาพแวดล้อม Web3 ไม่สามารถย้อนกลับได้ ตัวอย่างเช่น การโอนเงินบนเชน, การแลกเปลี่ยนโทเค็น, การเพิ่มสภาพคล่อง และการเรียกใช้สัญญาอัจฉริยะ เมื่อธุรกรรมถูกเซ็นชื่อและกระจาย
