"ตัวตนที่ไม่ใช่มนุษย์" จาก AI Agent กลายเป็นช่องโหว่ใหม่ที่องค์กรต้องรับมือ
AI Agent กำลังสร้าง "ตัวตนที่ไม่ใช่มนุษย์" (non-human identity) จำนวนมหาศาล ซึ่งระบบความปลอดภัยดั้งเดิมที่ออกแบบมาสำหรับคนตามไม่ทัน และกลายเป็นช่องโหว่ให้แฮกเกอร์โจมตีได้ง่ายขึ้น
บริษัทด้านความปลอดภัยไซเบอร์ Netwrix ได้เผยแพร่บทวิเคราะห์ (ในรูปแบบบทความสปอนเซอร์บน BleepingComputer) โดยชี้ว่า การเติบโตของ AI Agent หรือโปรแกรม AI ที่ทำงานได้เองอัตโนมัติ กำลังสร้างความท้าทายครั้งใหญ่ให้กับระบบความปลอดภัยขององค์กร เนื่องจาก Agent เหล่านี้เปรียบเสมือน "พนักงานที่ไม่ใช่มนุษย์" ที่ต้องมีตัวตนและสิทธิ์ในการเข้าถึงข้อมูลต่างๆ แต่ระบบความปลอดภัยส่วนใหญ่ถูกออกแบบมาสำหรับมนุษย์เท่านั้น ทำให้เกิด "ช่องว่างด้านความปลอดภัยของตัวตน" (Identity Security Gap) ที่ยากต่อการมองเห็นและจัดการ
ข้อมูลจาก Non-Human Identity Management Group (NHIMG) ซึ่งเป็นกลุ่มอุตสาหกรรม ระบุว่า ในหลายองค์กร สัดส่วนของ "ตัวตนเครื่องจักร" (machine identities) มีมากกว่าผู้ใช้งานที่เป็นมนุษย์ถึง 50 ต่อ 1 แล้ว ขณะที่รายงาน "2026 Data and Identity Security Report" ของ Netwrix เองก็พบว่า องค์กรที่การใช้งาน AI ทำให้จำนวน identity เพิ่มขึ้นอย่างมีนัยสำคัญ มีอัตราการถูกเจาะระบบ (breach rate) สูงถึง 43% ซึ่งตอกย้ำถึงความเสี่ยงที่เพิ่มขึ้น
ช่องโหว่ลักษณะนี้เคยเกิดขึ้นจริงแล้วในกรณีของกลุ่มแฮกเกอร์ UNC6395 ที่ใช้ OAuth token (กุญแจดิจิทัลสำหรับยืนยันตัวตนระหว่างแอป) ของแอปพลิเคชัน Salesloft Drift เพื่อเจาะเข้าไปยังระบบ Salesforce ของหลายบริษัท ซึ่งแสดงให้เห็นว่าการเชื่อมต่อระหว่างแอปกับ AI Agent สามารถกลายเป็นประตูหลังให้ผู้ไม่หวังดีได้
แนวโน้มดังกล่าวยังได้รับการยืนยันจากแหล่งอื่น โดยบริษัทวิเคราะห์ Gartner คาดการณ์ว่า ภายในปี 2029 กว่า 50% ของการโจมตี AI Agent ที่ประสบความสำเร็จจะอาศัยจุดอ่อนด้านการควบคุมการเข้าถึง (access control) ซึ่งสะท้อนว่าโครงสร้างการบริหารจัดการตัวตนและการเข้าถึง (Identity and Access Management - IAM) แบบดั้งเดิมไม่เพียงพอสำหรับยุค AI อีกต่อไป
ขณะที่องค์กรในไทยเริ่มนำ AI Agent เข้ามาใช้ในธุรกิจมากขึ้นเรื่อยๆ ช่องโหว่ด้าน "ตัวตนที่ไม่ใช่มนุษย์" นี้ก็กลายเป็นความเสี่ยงที่ใกล้ตัว ซึ่งอาจนำไปสู่การรั่วไหลของข้อมูลสำคัญของบริษัทและข้อมูลส่วนตัวของลูกค้าได้