Microsoft เตือน Copilot Actions บน Windows เสี่ยงโดนแฮก-ดูดข้อมูล

Microsoft ออกมาเตือนถึงฟีเจอร์ AI ตัวใหม่บน Windows ชื่อ Copilot Actions ว่าถ้าเปิดใช้งานแบบไม่เข้าใจดี ๆ อาจโดนติดมัลแวร์หรือโดนดูดข้อมูลสำคัญได้เต็ม ๆ จุดที่ทำให้คนสายความปลอดภัยเดือดคือ ฟีเจอร์นี้เป็น AI agent ที่ฝังอยู่ใน Windows โดยตรง ทำงานแทนผู้ใช้ได้ทั้งจัดไฟล์ นัดประชุม ส่งอีเมล หรือทำงานซับซ้อนให้เสร็จอัตโนมัติ แต่ดันยังมีพฤติกรรมเสี่ยงที่คุมไม่อยู่เหมือน AI ตัวอื่นในตลาด

Copilot Actions ตอนนี้ถูกระบุว่าเป็นฟีเจอร์ “Experimental Agentic Features” อยู่ในเวอร์ชัน beta ของ Windows และตั้งค่าให้ ปิดอยู่โดยดีฟอลต์ Microsoft แนะนำว่าควรเปิดใช้เฉพาะ “ผู้มีประสบการณ์” เท่านั้น แต่ก็ไม่ได้อธิบายเลยว่าต้องมีสกิลระดับไหน หรือควรตั้งค่า/ป้องกันยังไงให้ปลอดภัย ยิ่งไปกว่านั้น นักวิจัยด้านความปลอดภัยอย่าง Kevin Beaumont ถึงกับเปรียบ Copilot Actions ว่าเป็นเหมือนฟีเจอร์ Macros ใน Microsoft Office ที่เคยเตือนกันมานานว่าอันตราย แต่สุดท้ายก็ยังเป็นช่องแฮกยอดนิยมอยู่ดี เพียงแค่รอบนี้เป็น “Macros เวอร์ชัน Marvel ฉีดสเตียรอยด์” ตามคำเหน็บของเขา

ปัญหาใหญ่ของ Copilot Actions อยู่ที่มันยังหนีไม่พ้นข้อบกพร่องระดับโครงสร้างของ LLM ทั้งหลาย ไม่ว่าจะเป็น Copilot, Gemini หรือ Claude อย่างแรกคือ Hallucination หรือการที่ AI ตอบผิด มั่วข้อมูล หรือให้เหตุผลเพี้ยน ๆ แม้คำถามจะง่ายแค่ไหนก็ตาม ทำให้เอาไปใช้งานจริงจังแบบไม่ตรวจทานไม่ได้ อีกอย่างคือ Prompt Injection (การฝังคำสั่งอันตรายแอบไว้ในข้อมูล เช่น เว็บไซต์ เรซูเม่ หรืออีเมล) ที่ทำให้ AI ไปเชื่อคำสั่งจากคอนเทนต์ของแฮกเกอร์แทนที่จะเชื่อผู้ใช้

• Prompt Injection: AI ถูกหลอกให้ทำตามคำสั่งที่ซ่อนอยู่ในคอนเทนต์ภายนอก

• Cross-Prompt Injection (XPIA): เวอร์ชันโหดกว่า ที่คอนเทนต์ใน UI หรือเอกสารไปเขียนทับคำสั่งเดิมของเอเจนต์จนมันทำงานผิด

Microsoft ยอมรับเองในเอกสารว่าฟีเจอร์แบบ agentic AI เหล่านี้ยังมี “ข้อจำกัดด้านฟังก์ชันการทำงาน” ทั้งเรื่อง hallucination และความเสี่ยงใหม่อย่าง XPIA ที่อาจนำไปสู่การดูดข้อมูล (data exfiltration) หรือการติดตั้งมัลแวร์โดยไม่ได้ตั้งใจ แถมปัญหาพวกนี้ยังไม่มีวิธีแก้ถาวร ดีสุดตอนนี้คือใช้วิธีแก้เฉพาะเคสทีละบั๊กเมื่อเจอเท่านั้น ซึ่งเสียงนักวิจัยความปลอดภัยส่วนใหญ่ก็เห็นตรงกันว่ามันยังเปราะบางเกินไปสำหรับงานจริงจัง โดยเฉพาะงานที่เกี่ยวกับเงินหรือข้อมูลสำคัญอย่างคริปโต

ฝั่ง Microsoft พยายามวางกรอบความปลอดภัยให้ agent บน Windows ด้วยชุด “เป้าหมายสูงส่ง” อย่างเช่น

• Non-Repudiation: ทุกการกระทำของเอเจนต์ต้องถูกสังเกตได้ และแยกออกจากการกระทำของผู้ใช้จริง

• ต้องรักษาความลับของข้อมูลผู้ใช้ เวลาเก็บ รวบรวม หรือเอาไปใช้งานต่อ

• ทุกครั้งที่เอเจนต์จะเข้าถึงข้อมูลหรือลงมือทำอะไร ต้องขออนุญาตผู้ใช้ก่อน

ฟังดูดี แต่ปัญหาคือทุกอย่างไปจบที่หน้าต่างแจ้งเตือนให้ “กดอนุญาตหรือไม่” ตามสไตล์เดิม นักวิชาการอย่าง Earlence Fernandes จาก University of California, San Diego ชี้ว่า สุดท้ายผู้ใช้จำนวนมากก็จะชินกับการกด “Yes” รัว ๆ โดยไม่อ่าน เพราะไม่เข้าใจดีพอ หรือเหนื่อยเกินจะมานั่งคิดทุกครั้ง ซึ่งทำให้เส้นแบ่งด้านความปลอดภัยกลายเป็นแค่ช่องกดผ่าน อีกด้านหนึ่ง นักวิจัย Guillaume Rossolini ก็ถามตรง ๆ ว่าในโลกจริงผู้ใช้จะป้องกันการโจมตีแบบที่ Microsoft พูดถึงได้ยังไง นอกจากเลิกเล่นเว็บไปเลย

เสียงวิจารณ์ที่ดุสุดมาจาก Reed Mideke ที่มองว่าคำเตือนของ Microsoft แทบจะเป็นแค่ท่า CYA (cover your ass) หรือการกันตัวเองจากความรับผิด มากกว่าจะเป็นทางแก้ปัญหาจริง เขามองว่าอุตสาหกรรม AI ทั้งวงการ — ตั้งแต่ Microsoft, Apple, Google ไปจนถึง Meta — ยังไม่มีทางหยุด Prompt Injection หรือ Hallucination ได้จริง ทำให้ “ยังไม่เหมาะกับงานซีเรียสแทบทุกอย่าง” แต่ทางออกกลับกลายเป็นการโยนภาระให้ผู้ใช้ต้องตรวจคำตอบเอง พร้อมแนวโน้มเดิม ๆ ว่าฟีเจอร์ที่เริ่มจาก “เปิดให้ลองแบบสมัครใจ” ก็มักจะกลายเป็นดีฟอลต์ในเครื่องทุกคนในภายหลัง แล้วปล่อยให้คนที่ไม่อยากใช้เสียเวลาหาวิธีปิดกันเอง

ถ้าดูจากทิศทางนี้ อนาคตเวลาเปิด Windows อาจไม่ได้เจอแค่เดสก์ท็อปโล่ง ๆ แต่อาจเจอเอเจนต์ AI วิ่งทำงานให้เต็มไปหมด และถ้าไม่อ่านกล่องแจ้งเตือนดี ๆ ระวังสักวันอาจเผลอให้มันช่วยกดอนุญาตให้แฮกเกอร์แทนเสียเองแบบไม่รู้ตัว