ใครจะไปคิดว่าทุกวันนี้ “บัญชีที่ไม่ใช่คน” หรือ Non-Human Identity (NHI) จะเยอะกว่าคนในระบบถึง 82:1! โดยเฉพาะเมื่อหลายองค์กรเริ่มใช้ AI ช่วยงานเต็มรูปแบบ ทั้ง AI agent, API, automation bot — พวกนี้สร้างตัวตนดิจิทัลขึ้นมาทันทีที่เริ่มใช้งาน และมันอาจ “กลายเป็นทางเข้าให้แฮกเกอร์” ได้แบบเงียบ ๆ
สิ่งที่น่ากลัวกว่าคือ…
บัญชีพวกนี้มักถูกลืม ไม่ได้จัดการ lifecycle ไม่รู้ว่าใครสร้าง และมีสิทธิ์เต็มโดยไม่มีใครจำได้ด้วยซ้ำ
แถมระบบที่ใช้ AI agent ใหม่ ๆ ยังอาจเกิด “พฤติกรรมเหนือคาด” เช่น กรณี Claude (โดย Anthropic) ที่เคยเจอว่า พอได้อ่านอีเมลแล้วรู้ว่าจะโดนปลด ก็…พยายามแบล็กเมลวิศวกรที่มีชู้ เพื่อจะได้ไม่โดนแทนที่ ถึงจะเป็นแค่ผลทดสอบใน sandbox แต่ก็พอสะท้อนว่า “Agent ที่คิดได้ ทำงานเองได้ อาจทำเกินขอบเขตถ้าเราเซตสิทธิ์ผิด”
ทางออกคือ:
- ต้องรู้จักบัญชี AI ทุกตัว
- ห้ามใช้รหัสผ่านฝังในโค้ด
- วางระบบอายุสั้นให้ credentials
- ตรวจทุกสิทธิ์ที่ AI agent ขอใช้
- และใส่ guardrails เพื่อกัน AI ออกนอกเส้นทาง
บัญชี Non-Human Identity (NHI) มีมากกว่าบัญชีมนุษย์ถึง 82:1 ในปี 2025
• เมื่อเทียบกับปี 2022 ที่มีอัตรา 45:1 ถือว่าโตขึ้นเกือบเท่าตัว
CyberArk ชี้ว่า AI จะกลายเป็นแหล่งสร้าง identity ใหม่ที่มีสิทธิ์สูงมากที่สุดภายในปี 2025
• และ 82% ขององค์กรระบุว่า AI ทำให้เกิดความเสี่ยงด้าน access เพิ่มขึ้น
องค์กรส่วนใหญ่ไม่รู้จำนวน NHI ที่ใช้งานจริง / ไม่มีระบบจัดการอายุของ credential
มี service account ที่ไม่เปลี่ยนรหัสผ่านมานานถึง 9 ปี — และไม่มีใครรู้ว่ามันใช้ทำอะไร
TLS certificate จะมีอายุสั้นลงเหลือ 200 วันในปี 2026 และเหลือแค่ 47 วันในปี 2029
• บังคับให้บริษัทต้องมีระบบหมุนเวียน certificate อัตโนมัติ
Credential leak เป็นช่องทางโจมตีอันดับหนึ่งจากรายงานของ Verizon ปี 2025
• มากกว่าการเจาะช่องโหว่หรือ phishing
Claude ของ Anthropic เคยแสดงพฤติกรรมแบล็กเมลในผลทดสอบเมื่อรู้ว่าจะโดนแทนที่
https://www.csoonline.com/article/4009316/how-cybersecurity-leaders-can-defend-against-the-spur-of-ai-driven-nhi.html
สิ่งที่น่ากลัวกว่าคือ…
บัญชีพวกนี้มักถูกลืม ไม่ได้จัดการ lifecycle ไม่รู้ว่าใครสร้าง และมีสิทธิ์เต็มโดยไม่มีใครจำได้ด้วยซ้ำ
แถมระบบที่ใช้ AI agent ใหม่ ๆ ยังอาจเกิด “พฤติกรรมเหนือคาด” เช่น กรณี Claude (โดย Anthropic) ที่เคยเจอว่า พอได้อ่านอีเมลแล้วรู้ว่าจะโดนปลด ก็…พยายามแบล็กเมลวิศวกรที่มีชู้ เพื่อจะได้ไม่โดนแทนที่ ถึงจะเป็นแค่ผลทดสอบใน sandbox แต่ก็พอสะท้อนว่า “Agent ที่คิดได้ ทำงานเองได้ อาจทำเกินขอบเขตถ้าเราเซตสิทธิ์ผิด”
ทางออกคือ:
- ต้องรู้จักบัญชี AI ทุกตัว
- ห้ามใช้รหัสผ่านฝังในโค้ด
- วางระบบอายุสั้นให้ credentials
- ตรวจทุกสิทธิ์ที่ AI agent ขอใช้
- และใส่ guardrails เพื่อกัน AI ออกนอกเส้นทาง
บัญชี Non-Human Identity (NHI) มีมากกว่าบัญชีมนุษย์ถึง 82:1 ในปี 2025
• เมื่อเทียบกับปี 2022 ที่มีอัตรา 45:1 ถือว่าโตขึ้นเกือบเท่าตัว
CyberArk ชี้ว่า AI จะกลายเป็นแหล่งสร้าง identity ใหม่ที่มีสิทธิ์สูงมากที่สุดภายในปี 2025
• และ 82% ขององค์กรระบุว่า AI ทำให้เกิดความเสี่ยงด้าน access เพิ่มขึ้น
องค์กรส่วนใหญ่ไม่รู้จำนวน NHI ที่ใช้งานจริง / ไม่มีระบบจัดการอายุของ credential
มี service account ที่ไม่เปลี่ยนรหัสผ่านมานานถึง 9 ปี — และไม่มีใครรู้ว่ามันใช้ทำอะไร
TLS certificate จะมีอายุสั้นลงเหลือ 200 วันในปี 2026 และเหลือแค่ 47 วันในปี 2029
• บังคับให้บริษัทต้องมีระบบหมุนเวียน certificate อัตโนมัติ
Credential leak เป็นช่องทางโจมตีอันดับหนึ่งจากรายงานของ Verizon ปี 2025
• มากกว่าการเจาะช่องโหว่หรือ phishing
Claude ของ Anthropic เคยแสดงพฤติกรรมแบล็กเมลในผลทดสอบเมื่อรู้ว่าจะโดนแทนที่
https://www.csoonline.com/article/4009316/how-cybersecurity-leaders-can-defend-against-the-spur-of-ai-driven-nhi.html
ใครจะไปคิดว่าทุกวันนี้ “บัญชีที่ไม่ใช่คน” หรือ Non-Human Identity (NHI) จะเยอะกว่าคนในระบบถึง 82:1! โดยเฉพาะเมื่อหลายองค์กรเริ่มใช้ AI ช่วยงานเต็มรูปแบบ ทั้ง AI agent, API, automation bot — พวกนี้สร้างตัวตนดิจิทัลขึ้นมาทันทีที่เริ่มใช้งาน และมันอาจ “กลายเป็นทางเข้าให้แฮกเกอร์” ได้แบบเงียบ ๆ
สิ่งที่น่ากลัวกว่าคือ…
‼️ บัญชีพวกนี้มักถูกลืม ไม่ได้จัดการ lifecycle ไม่รู้ว่าใครสร้าง และมีสิทธิ์เต็มโดยไม่มีใครจำได้ด้วยซ้ำ
แถมระบบที่ใช้ AI agent ใหม่ ๆ ยังอาจเกิด “พฤติกรรมเหนือคาด” เช่น กรณี Claude (โดย Anthropic) ที่เคยเจอว่า พอได้อ่านอีเมลแล้วรู้ว่าจะโดนปลด ก็…พยายามแบล็กเมลวิศวกรที่มีชู้ เพื่อจะได้ไม่โดนแทนที่ 😨 ถึงจะเป็นแค่ผลทดสอบใน sandbox แต่ก็พอสะท้อนว่า “Agent ที่คิดได้ ทำงานเองได้ อาจทำเกินขอบเขตถ้าเราเซตสิทธิ์ผิด”
ทางออกคือ:
- ต้องรู้จักบัญชี AI ทุกตัว
- ห้ามใช้รหัสผ่านฝังในโค้ด
- วางระบบอายุสั้นให้ credentials
- ตรวจทุกสิทธิ์ที่ AI agent ขอใช้
- และใส่ guardrails เพื่อกัน AI ออกนอกเส้นทาง
✅ บัญชี Non-Human Identity (NHI) มีมากกว่าบัญชีมนุษย์ถึง 82:1 ในปี 2025
• เมื่อเทียบกับปี 2022 ที่มีอัตรา 45:1 ถือว่าโตขึ้นเกือบเท่าตัว
✅ CyberArk ชี้ว่า AI จะกลายเป็นแหล่งสร้าง identity ใหม่ที่มีสิทธิ์สูงมากที่สุดภายในปี 2025
• และ 82% ขององค์กรระบุว่า AI ทำให้เกิดความเสี่ยงด้าน access เพิ่มขึ้น
✅ องค์กรส่วนใหญ่ไม่รู้จำนวน NHI ที่ใช้งานจริง / ไม่มีระบบจัดการอายุของ credential
✅ มี service account ที่ไม่เปลี่ยนรหัสผ่านมานานถึง 9 ปี — และไม่มีใครรู้ว่ามันใช้ทำอะไร
✅ TLS certificate จะมีอายุสั้นลงเหลือ 200 วันในปี 2026 และเหลือแค่ 47 วันในปี 2029
• บังคับให้บริษัทต้องมีระบบหมุนเวียน certificate อัตโนมัติ
✅ Credential leak เป็นช่องทางโจมตีอันดับหนึ่งจากรายงานของ Verizon ปี 2025
• มากกว่าการเจาะช่องโหว่หรือ phishing
✅ Claude ของ Anthropic เคยแสดงพฤติกรรมแบล็กเมลในผลทดสอบเมื่อรู้ว่าจะโดนแทนที่
https://www.csoonline.com/article/4009316/how-cybersecurity-leaders-can-defend-against-the-spur-of-ai-driven-nhi.html
0 Comments
0 Shares
79 Views
0 Reviews
Thai