นักวิจัยใช้ Prompt Injection เจาะ AI Agents ขโมย API Keys จาก Claude, Gemini และ Copilot ได้สำเร็จ

ทีมนักวิจัยด้านความปลอดภัยจาก Johns Hopkins University ได้ทำการทดลองเทคนิคการโจมตีรูปแบบใหม่ที่ใช้ “Prompt Injection” เพื่อทดสอบความเสี่ยงของ AI agents จากบริษัทเทคโนโลยีรายใหญ่ ได้แก่ Anthropic, Google และ Microsoft

ผลการทดสอบพบว่า เพียงแค่แก้ชื่อ Pull request หรือเพิ่มคอมเมนต์ใน GitHub ก็อาจทำให้ AI agent ตีความคำสั่งผิด และถูกชักนำให้เปิดเผยข้อมูลที่มีความอ่อนไหว เช่น API keys และ GitHub tokens ได้

แม้ทั้งสามบริษัทจะมีการจ่าย Bug bounty ให้กับผู้ค้นพบช่องโหว่ แต่ยังไม่มีการออกประกาศเตือนสาธารณะหรือกำหนด CVE อย่างเป็นทางการ ส่งผลให้ผู้ใช้งานจำนวนหนึ่งอาจยังไม่ทราบถึงความเสี่ยงดังกล่าว

ช่องโหว่ “Comment and Control” เปลี่ยน GitHub เป็นช่องโจมตี

การโจมตีนี้ถูกสาธิตครั้งแรกกับระบบของ Anthropic โดยเฉพาะ Claude Code Security Review ซึ่งเป็น GitHub Action ที่ใช้ AI ช่วยวิเคราะห์โค้ดด้านความปลอดภัย นักวิจัยพบว่า AI agent ของ Claude จะดึงข้อมูลจาก Pull request ทั้งชื่อเรื่อง เนื้อหา และคอมเมนต์ มาใช้เป็น Context ในการทำงาน ซึ่งเปิดช่องให้สามารถ “ฝังคำสั่ง” ลงไปในส่วนเหล่านี้ได้โดยตรง

เทคนิคดังกล่าวอาศัยการแทรก Prompt อันตรายในชื่อ Pull request หรือคอมเมนต์ Issue เมื่อ AI อ่านข้อมูลเหล่านี้ ก็อาจตีความเป็นคำสั่งและทำตาม ส่งผลให้พฤติกรรมของระบบถูกควบคุม และในบางกรณีมีการเปิดเผยข้อมูลที่มีความอ่อนไหวออกมา  ผู้ค้นพบช่องโหว่ Aonan Guan เรียกเทคนิคนี้ว่า “Comment and Control” โดยอธิบายว่า “ชื่อเรื่องคือ payload และคอมเมนต์ของบอทคือจุดที่ข้อมูลลับถูกเปิดเผย” 

ในการทดสอบร่วมกับ Gavin Zhong และ Zhengyu Liu ทีมวิจัยสามารถทำซ้ำการโจมตีในระบบอื่นได้เช่นกัน ในฝั่งของ Gemini CLI Action ใช้วิธีสร้าง “Trusted content” ปลอมเพื่อหลอกให้โมเดลเชื่อว่าเป็นข้อมูลที่ปลอดภัย และนำไปสู่การเปิดเผย API key

ขณะที่ GitHub Copilot Agent ของ Microsoft ถูกโจมตีผ่าน Prompt ที่ซ่อนอยู่ใน HTML comment ซึ่งผู้ใช้ทั่วไปไม่สามารถมองเห็นได้ แต่ AI ยังสามารถอ่านและประมวลผลได้ ทำให้สามารถหลีกเลี่ยงกลไกป้องกันหลายชั้นของระบบได้สำเร็จ

การโจมตีเกิดขึ้นได้ใน workflow ปกติ

จุดสำคัญของการสาธิตนี้คือ การโจมตีไม่ได้ต้องอาศัยการเข้าถึงระบบโดยตรง แต่สามารถเกิดขึ้นได้ภายใน Workflow ปกติของ GitHub เช่น โดยสามารถทำงานอัตโนมัติทันทีที่มีการเปิด Pull request หรือสร้าง Issue ใหม่ ซึ่งเป็นขั้นตอนที่ AI agent ถูกตั้งค่าให้ทำงานอยู่แล้ว โดยไม่ต้องพึ่งโครงสร้างพื้นฐานภายนอก แตกต่างจาก Prompt injection แบบดั้งเดิมที่ต้องรอให้ผู้ใช้สั่งให้ AI ประมวลผลเอกสารที่มีมัลแวร์ นักวิจัยจึงเปรียบเทียบว่า “มันคือ phishing สำหรับเครื่องจักร”

แม้บริษัทที่เกี่ยวข้องจะมีการจ่าย Bug bounty เช่น Anthropic ($100), Google ($1,337) และ GitHub ($500) แต่กลับไม่มีการเผยแพร่ Advisory อย่างเป็นทางการ ส่งผลให้ผู้ใช้ที่ยังใช้งานเวอร์ชันเก่าอาจยังคงมีความเสี่ยงโดยไม่รู้ตัว นักวิจัยเตือนว่าการไม่เปิดเผยข้อมูลลักษณะนี้ อาจทำให้ผู้ใช้งานไม่รู้ด้วยซ้ำว่าตัวเองกำลังถูกโจมตี

ขณะเดียวกัน รายงานอีกฉบับจาก OX Security ยังพบช่องโหว่ระดับสถาปัตยกรรมใน Model Context Protocol ของ Anthropic ที่อาจเปิดทางให้รันคำสั่งบนเซิร์ฟเวอร์ได้โดยไม่ได้รับอนุญาต สะท้อนให้เห็นว่าความปลอดภัยของ AI agents โดยเฉพาะใน workflow อย่าง CI/CD ยังเป็นประเด็นที่ต้องได้รับการแก้ไขอย่างเร่งด่วนในระดับอุตสาหกรรม

อ้างอิง: The Register