ESET บริษัทชั้นนำด้านความมั่นคงปลอดภัยทางไซเบอร์ ค้นพบ “PromptLock” มัลแวร์เรียกค่าไถ่ (ransomware) สายพันธุ์ใหม่ ซึ่งเชื่อว่าเป็นมัลแวร์ตัวแรกของโลกที่ใช้ประโยชน์จากโมเดล AI ที่ทำงานบนเครื่องคอมพิวเตอร์ของเหยื่อโดยตรงในการสร้างโค้ดเพื่อโจมตีเครื่องเหยื่อเอง แม้ปัจจุบันจะยังเป็นเพียงมัลแวร์ต้นแบบ แต่ก็นับเป็นวิวัฒนาการของภัยคุกคามที่น่ากังวลและอาจเปลี่ยนโฉมหน้าการรักษาความปลอดภัยในอนาคต
ทีมวิจัยของ ESET เปิดเผยผ่านทางบัญชี X ว่า แรนซัมแวร์ตัวใหม่ซึ่งทีมวิจัยตั้งชื่อว่า “PromptLock” มีความสามารถพิเศษที่ไม่เคยปรากฏมาก่อน นั่นคือการใช้โมเดล gpt-oss:20b ของ OpenAI ที่ทำงานแบบออฟไลน์ผ่าน Ollama API เพื่อสร้างสคริปต์สำหรับโจมตีขึ้นมาเองแบบทันทีทันใดบนเครื่องของเหยื่อ
PromptLock ซึ่งถูกพัฒนาด้วยภาษา Golang และมีเวอร์ชันสำหรับทั้งระบบปฏิบัติการ Windows และ Linux แตกต่างจากแรนซัมแวร์ทั่วไปอย่างสิ้นเชิง โดยแทนที่จะมีชุดคำสั่งการโจมตีที่ตายตัวมาตั้งแต่ต้น มันกลับใช้ “พรอมต์” (Prompt) หรือชุดคำสั่งสำหรับ AI ไว้ และจะสั่งการให้โมเดล AI ที่ทำงานอยู่ในเครื่องของเหยื่อ (Local LLM) ทำหน้าที่เป็น “ผู้สร้างโค้ดภาษา Lua” เพื่อดำเนินแผนการร้ายต่าง ๆ เช่น
– สำรวจข้อมูลระบบ: สั่งให้ AI สร้างโค้ดเพื่อเก็บข้อมูลสำคัญของเครื่องเหยื่อ เช่น ชื่อระบบปฏิบัติการ ชื่อผู้ใช้ ชื่อคอมพิวเตอร์ โดยเน้นให้ทำงานได้บนหลายแพลตฟอร์มทั้ง Windows, Linux และ macOS
– ตรวจสอบไฟล์: สั่งให้ AI สแกนไฟล์บนเครื่องเหยื่อเพื่อหาข้อมูลส่วนตัวหรือข้อมูลที่มีความอ่อนไหว
– เข้ารหัสและขโมยข้อมูล: เมื่อเจอไฟล์เป้าหมาย สคริปต์ที่ AI สร้างขึ้นก็จะทำการลักลอบส่งข้อมูลออกไปภายนอก ก่อนจะลงมือเข้ารหัสไฟล์เพื่อเรียกค่าไถ่
การเลือกใช้ภาษา Lua ในการพัฒนา PromptLock นั้น ก็เนื่องจากเป็นภาษาขนาดเล็กที่สามารถฝังตัวได้ ทำให้สคริปต์ที่ถูกสร้างขึ้นสามารถทำงานข้ามระบบปฏิบัติการได้อย่างราบรื่น เป็นการขยายขอบเขตการโจมตีให้กว้างที่สุดเท่าที่จะทำได้ ส่วนการเข้ารหัสนั้น PromptLock ใช้อัลกอริทึม SPECK 128-bit ซึ่งเป็นอัลกอริทึมขนาดเล็กที่เหมาะกับรูปแบบการโจมตีลักษณะนี้
ข้อสังเกตอีกประการหนึ่งคือ มีการค้นพบที่อยู่บิตคอยน์ (Bitcoin address) ที่คาดว่าเป็นของซาโตชิ นากาโมโตะ นามแฝงของผู้สร้างบิตคอยน์ อยู่ภายในพรอมต์ แม้ที่อยู่นี้อาจจะเป็นเพียงข้อมูลหลอก ๆ หรือใช้เป็นตัวอย่าง (placeholder) แต่ก็ถือเป็นจุดที่น่าสังเกตสำหรับมัลแวร์ที่ยังอยู่ในช่วงเริ่มต้นนี้
ทั้งนี้ แม้ PromptLock จะยังอยู่ในช่วงเริ่มต้นของการพัฒนา (Proof-of-Concept หรือ PoC) และยังไม่มีรายงานการนำไปใช้โจมตีจริง แต่นักวิจัย ESET เชื่อว่า การค้นพบครั้งนี้เป็นสัญญาณเตือนที่แสดงให้เห็นถึงทิศทางใหม่ที่น่ากังวลของมัลแวร์ในอนาคต ซึ่งเหล่าผู้ไม่หวังดีกำลังนำเทคโนโลยีโมเดลภาษาขนาดใหญ่ (Large Language Model หรือ LLM) ที่อยู่ภายในเครื่องเหยื่อ มาประยุกต์ใช้เพื่อสร้างมัลแวร์ที่ซับซ้อนและยากต่อการตรวจจับยิ่งขึ้น
โดย สำนักข่าวอินโฟเควสท์ (28 ส.ค. 68)
