เตือนภัย PROMPTFLUX และ QUIETVAULT มัลแวร์ตัวร้ายใช้ AI ช่วยซ่อนและปรับพฤติกรรมเรียลไทม์
นักวิจัยด้านความปลอดภัยของ Google ออกมาเปิดเผยการพบมัลแวร์ตระกูลใหม่สองกลุ่มคือ PROMPTFLUX และ QUIETVAULT ซึ่งมีพฤติกรรมแตกต่างจากมัลแวร์แบบเดิมอย่างมีนัยสำคัญ เพราะไม่ได้ทำงานตามโค้ดตายตัว แต่สามารถปรับวิธีการโจมตีและการซ่อนตัวให้เข้ากับสภาพแวดล้อมได้อย่างยืดหยุ่น โดยอาศัยเทคนิคที่เกี่ยวข้องกับ AI และการประมวลผลเชิงบริบท
รายงานระบุว่า มัลแวร์ทั้งสองตระกูลถูกออกแบบมาให้ “เงียบ” และ “หลบเลี่ยงการตรวจจับ” เป็นหลัก ไม่เร่งแพร่กระจายหรือสร้างทราฟฟิกผิดปกติแบบมัลแวร์รุ่นก่อน แต่จะค่อยๆ วิเคราะห์สภาพแวดล้อมของเครื่องเป้าหมาย เช่น พฤติกรรมผู้ใช้ ระบบป้องกันที่ติดตั้ง และรูปแบบการใช้งาน ก่อนจะตัดสินใจว่าจะทำงานขั้นต่อไปหรือไม่ แนวทางนี้ทำให้ระบบป้องกันแบบ signature-based หรือ rule-based ตรวจจับได้ยากขึ้นอย่างมาก
เมื่อมัลแวร์ไม่ทำงานตามสคริปต์ แต่เรียนรู้เพื่อเอาตัวรอด
สิ่งที่ทำให้ PROMPTFLUX และ QUIETVAULT ถูกจับตามอง คือการนำโมเดลลักษณะเดียวกับ AI มาใช้ช่วยปรับพฤติกรรมแบบไดนามิก เช่น การเปลี่ยนรูปแบบคำสั่ง การสื่อสารกับเซิร์ฟเวอร์ควบคุม หรือแม้แต่การเขียนโค้ดบางส่วนใหม่ระหว่างทำงาน เพื่อให้หลุดจากระบบตรวจจับอัตโนมัติ นักวิจัยชี้ว่ามัลแวร์ลักษณะนี้ไม่ได้ “เขียนตัวเองใหม่ทั้งหมด” แบบในภาพยนตร์ไซไฟ แต่ใช้ AI เพื่อเลือกวิธีที่เหมาะสมที่สุดในแต่ละสถานการณ์ ซึ่งถือเป็นการยกระดับความซับซ้อนของภัยคุกคามอย่างชัดเจน
แนวโน้มนี้สะท้อนว่าผู้โจมตีกำลังเปลี่ยนวิธีคิด จากการสร้างมัลแวร์จำนวนมากเพื่อแพร่กระจายเร็ว ไปสู่มัลแวร์จำนวนน้อยแต่เนียนและอยู่ได้นานในระบบเป้าหมาย โดยเฉพาะในองค์กรขนาดใหญ่ที่มีข้อมูลมูลค่าสูง และมีโครงสร้างความปลอดภัยซับซ้อน
แนวทางการรับมือ
Google ระบุว่ามัลแวร์อย่าง PROMPTFLUX และ QUIETVAULT ไม่สามารถรับมือด้วยการตรวจจับแบบเดิมได้อีกต่อไป เพราะมีความสามารถในการเปลี่ยนพฤติกรรมและเขียนโค้ดใหม่ระหว่างรัน ดังนั้นแนวทางสำคัญคือการตรวจจับ “พฤติกรรมผิดปกติ” ของระบบแทนการจับไฟล์ เช่น การสร้างสคริปต์ใหม่ซ้ำ ๆ การเขียนไฟล์ตัวเองทับในระบบ หรือการติดต่อ AI API จากเครื่องปลายทางโดยไม่จำเป็น ซึ่งเป็นสัญญาณที่พบในมัลแวร์กลุ่มนี้โดยตรง
ในฝั่งของ Google บริษัทเลือกตัดเส้นทางการทำงานของมัลแวร์ด้วยการปิดบัญชีและ API ที่ถูกใช้เรียกโมเดล AI พร้อมเสริมระบบป้องกันของ Gemini ให้ปฏิเสธคำสั่งลักษณะนี้โดยอัตโนมัติ ส่วนองค์กรควรเพิ่มการเฝ้าระวังพฤติกรรมระดับระบบ ควบคุมการเข้าถึงบริการ AI และติดตามการใช้คลาวด์หรือ GitHub เป็นช่องทางส่งข้อมูลออกนอกระบบ เพื่อรับมือมัลแวร์ยุคใหม่ที่เริ่ม “คิดเองได้” อย่างแท้จริง
สัญญาณเตือนองค์กร เมื่อ AI ถูกใช้เป็นอาวุธไซเบอร์
Google เตือนว่า การผสาน AI เข้ากับมัลแวร์จะทำให้เส้นแบ่งระหว่าง “ซอฟต์แวร์อันตราย” กับ “พฤติกรรมปกติของระบบ” เลือนรางมากขึ้น เพราะมัลแวร์สามารถเลียนแบบการใช้งานของมนุษย์ได้แนบเนียนกว่าเดิม องค์กรจึงไม่สามารถพึ่งพาเครื่องมือป้องกันแบบเดิมเพียงอย่างเดียว แต่ต้องเพิ่มการวิเคราะห์เชิงพฤติกรรม การมอนิเตอร์แบบต่อเนื่อง และการตรวจสอบความผิดปกติในระดับระบบ
กรณีของ PROMPTFLUX และ QUIETVAULT จึงไม่ใช่แค่การพบมัลแวร์ใหม่อีกสองตัว แต่เป็นสัญญาณชัดเจนว่า “ยุคของมัลแวร์ที่ใช้ AI เป็นสมอง” ได้เริ่มต้นขึ้นแล้ว และฝ่ายป้องกันก็ต้องเร่งปรับตัวเช่นกัน หากยังคิดว่ามัลแวร์จะทำงานตามรูปแบบเดิมเหมือนในอดีต องค์กรอาจรู้ตัวอีกทีเมื่อผู้โจมตีอยู่ในระบบมานานเกินกว่าจะไล่ทัน