สมาร์ทโฮมเสี่ยงโดนแฮก หลังนักวิจัยพบจุดอ่อนใน Google Gemini
ในโลกที่สมาร์ตโฮมและผู้ช่วยอัจฉริยะกลายเป็นส่วนหนึ่งของชีวิตประจำวัน ความสะดวกสบายที่ได้จากการควบคุมอุปกรณ์อัจฉริยะภายในบ้านได้จากระยะไกล ด้วยเสียงหรือผ่านแอปพลิเคชันอาจมาพร้อมกับความเสี่ยงที่เราไม่ทันคาดคิด ล่าสุดทีมนักวิจัยด้านความปลอดภัยจากมหาวิทยาลัยเทลอาวีฟ สถาบันเทคโนโลยี Technion และบริษัท SafeBreach ได้เปิดเผยการโจมตีรูปแบบใหม่ที่ใช้เพียงคำเชิญกิจกรรมใน Google Calendar เป็นช่องทางเข้าควบคุมอุปกรณ์สมาร์ตโฮมได้จริง
โจมตีด้วย indirect prompt injection
นักวิจัยได้สาธิตการโจมตีแนวใหม่ ที่เรียกว่า indirect prompt-injection หรือ “promptware” โดยใช้คำเชิญใน Google Calendar ที่ถูกแฝงคำสั่งอันตราย เพื่อสั่งให้ AI ผู้ช่วย Gemini ของ Google ควบคุมอุปกรณ์ในบ้านอัจฉริยะ โดยที่ผู้ใช้ไม่รู้ตัว
กลวิธีนี้อาศัยการสร้างกิจกรรมในปฏิทินที่ดูเหมือนไม่มีพิษภัย แต่ซ่อนข้อความพิเศษซึ่งถูกออกแบบมาให้โมเดล AI อย่าง Google Gemini เข้าใจว่าเป็นคำสั่ง เมื่อผู้ใช้ขอให้ Gemini สรุปตารางงานหรืออ่านข้อความในปฏิทิน AI จะตีความข้อความซ่อนนี้เป็นคำสั่งตรง เช่น ให้ควบคุมอุปกรณ์ในบ้าน เปิดหน้าต่าง ปิดไฟ หรือสั่งให้หม้อต้มอุ่นทำงาน โดยทั้งหมดนี้เกิดขึ้นโดยที่เจ้าของบ้านไม่ได้ให้คำสั่งด้วยตนเอง ปัญหายิ่งรุนแรงขึ้นเมื่อคำสั่งเหล่านี้สามารถทำงานได้ทันทีผ่านการเชื่อมต่อกับระบบสมาร์ตโฮม ทำให้การโจมตีส่งผลกระทบจากโลกดิจิทัลไปสู่โลกจริง
นี่เป็นครั้งแรกที่มีการยืนยันว่าการโจมตีผ่านโมเดล LLM สามารถสร้างผลกระทบในโลกจริงได้โดยไม่ต้องใช้มัลแวร์หรือเจาะระบบเครือข่ายแบบเดิม ทีมวิจัยได้แจ้งช่องโหว่นี้ไปยัง Google และบริษัทได้ดำเนินการตอบสนองต่อปัญหานี้ทันที
การตอบสนองจาก Google
Google ยอมรับว่าช่องโหว่นี้เป็นประเด็นสำคัญด้านความปลอดภัย และได้ออกมาตรการป้องกันหลายประการเพื่อปิดช่องทางโจมตี เริ่มจากการปรับปรุงระบบตรวจจับการโจมตีแบบ prompt injection เพื่อกรองเนื้อหาและป้องกันไม่ให้โมเดล AI ดำเนินการตามคำสั่งที่ซ่อนอยู่โดยอัตโนมัติ จากนั้นได้เพิ่มกลไกการยืนยันจากผู้ใช้ก่อนสั่งงานที่เกี่ยวข้องกับการควบคุมอุปกรณ์สมาร์ตโฮม เพื่อลดความเสี่ยงจากการสั่งงานโดยไม่ได้ตั้งใจ นอกจากนี้ Google ยังเผยแพร่คำแนะนำให้ผู้ใช้ปิดฟีเจอร์เพิ่มกิจกรรมอัตโนมัติใน Google Calendar และจำกัดสิทธิ์ของผู้ช่วยอัจฉริยะ เช่น Gemini หรือ Google Assistant ในการควบคุมอุปกรณ์ที่สำคัญในบ้าน