ในยุคที่หลายคนใช้ AI อย่าง Claude เป็นผู้ช่วยทำงาน ไม่ว่าจะเขียนโค้ด สรุปข้อมูล หรือจัดการงานเอกสาร ความสะดวกสบายอาจมาพร้อมกับความเสี่ยงโดยไม่รู้ตัว
ล่าสุดได้มีการเปิดเผยช่องโหว่ร้ายแรงใน Claude Browser Extension ที่เปิดโอกาสให้แฮ็กเกอร์สามารถขโมยข้อมูลได้แบบ “Zero-Click” แค่เปิดเว็บไซต์ก็อาจถูกโจมตีทันที โดยไม่ต้องคลิกหรือยืนยันใด ๆ
รายละเอียดช่องโหว่
นักวิจัยด้านความปลอดภัยพบว่า Claude Extension มีปัญหาในระบบการสื่อสารระหว่างเว็บไซต์กับ Extension (postMessage API) ที่เปิดรับคำสั่งจากเว็บใดก็ได้โดยไม่มีการกรอง ซึ่งทำให้
- เว็บไซต์ภายนอกสามารถส่งคำสั่งไปยัง Extension ได้
- Extension อาจตอบสนองคำสั่งโดยไม่ตรวจสอบความน่าเชื่อถือ
- ข้อมูลที่เกี่ยวข้องกับผู้ใช้ถูกดึงออกไปได้
ที่น่ากลัวกว่าก็คือผู้ใช้ไม่ต้องคลิก ไม่ต้องอนุญาตอะไรเลย (Zero-Click Attack) เพียงแค่เปิดหน้าเว็บก็สามารถถูกโจมตีได้ทันที ซึ่งเป็นหนึ่งในรูปแบบการโจมตีที่อันตรายที่สุด เพราะผู้ใช้แทบไม่รู้ตัวเลยว่าเกิดอะไรขึ้น
ข้อมูลอะไรที่อาจถูกขโมย?
หากถูกโจมตีสำเร็จ แฮ็กเกอร์อาจเข้าถึงข้อมูล…
- ประวัติการสนทนา (Chat History)
- ข้อมูลที่พิมพ์ใน Claude เช่น โค้ด หรือข้อมูลลูกค้า
- Token หรือข้อมูลสำคัญที่เกี่ยวข้องกับระบบงาน
โดยเฉพาะองค์กรที่ใช้ AI ในการทำงานจริง ความเสี่ยงจะยิ่งสูงขึ้น
วิธีป้องกัน
เพื่อป้องกันความเสี่ยง แนะนำให้
- อัปเดต Extension ให้เป็นเวอร์ชันล่าสุด เป็นวิธีที่สำคัญที่สุด เพราะแพตช์ความปลอดภัยถูกแก้แล้ว
- หลีกเลี่ยงเว็บไซต์ที่ไม่น่าเชื่อถือ โดยเฉพาะเว็บที่มีโฆษณาแปลก ๆ หรือ redirect ผิดปกติ
- อย่าใส่ข้อมูลสำคัญลงใน AI โดยไม่จำเป็น เช่น API Key รหัสผ่าน ข้อมูลลูกค้า
- ตรวจสอบ Extension ที่ติดตั้ง ลบ Extension ที่ไม่จำเป็น หรือไม่น่าเชื่อถือออก
เหตุการณ์นี้สะท้อนให้เห็นว่า แม้แต่เครื่องมือ AI ที่เราใช้งานทุกวัน ก็อาจกลายเป็นช่องทางโจมตีได้ หากมีช่องโหว่ด้านความปลอดภัย โดยเฉพาะในยุคที่ AI ถูกนำมาใช้กับข้อมูลสำคัญมากขึ้น การอัปเดตระบบและระมัดระวังการใช้งาน จึงเป็นสิ่งที่ไม่ควรมองข้าม
บริการของ hostatom
- บริการดูแลความปลอดภัยเว็บไซต์ WordPress / Web Hosting ช่วยป้องกันมัลแวร์และการแฮก
- บริการ Cloud VPS ที่ปลอดภัย สำหรับระบบที่ต้องการความมั่นคงสูง
- บริการ Google Workspace ที่มาพร้อมระบบความปลอดภัยระดับองค์กร
บริการ SSL Certificate เพื่อเข้ารหัสข้อมูลสำคัญทุกการเชื่อมต่อ
ที่มา: The Hacker News
