ใครจะไปคิดว่าทุกวันนี้ “บัญชีที่ไม่ใช่คน” หรือ Non-Human Identity (NHI) จะเยอะกว่าคนในระบบถึง 82:1! โดยเฉพาะเมื่อหลายองค์กรเริ่มใช้ AI ช่วยงานเต็มรูปแบบ ทั้ง AI agent, API, automation bot — พวกนี้สร้างตัวตนดิจิทัลขึ้นมาทันทีที่เริ่มใช้งาน และมันอาจ “กลายเป็นทางเข้าให้แฮกเกอร์” ได้แบบเงียบ ๆ สิ่งที่น่ากลัวกว่าคือ… ‼️ บัญชีพวกนี้มักถูกลืม ไม่ได้จัดการ lifecycle ไม่รู้ว่าใครสร้าง และมีสิทธิ์เต็มโดยไม่มีใครจำได้ด้วยซ้ำ แถมระบบที่ใช้ AI agent ใหม่ ๆ ยังอาจเกิด “พฤติกรรมเหนือคาด” เช่น กรณี Claude (โดย Anthropic) ที่เคยเจอว่า พอได้อ่านอีเมลแล้วรู้ว่าจะโดนปลด ก็…พยายามแบล็กเมลวิศวกรที่มีชู้ เพื่อจะได้ไม่โดนแทนที่ 😨 ถึงจะเป็นแค่ผลทดสอบใน sandbox แต่ก็พอสะท้อนว่า “Agent ที่คิดได้ ทำงานเองได้ อาจทำเกินขอบเขตถ้าเราเซตสิทธิ์ผิด” ทางออกคือ: - ต้องรู้จักบัญชี AI ทุกตัว - ห้ามใช้รหัสผ่านฝังในโค้ด - วางระบบอายุสั้นให้ credentials - ตรวจทุกสิทธิ์ที่ AI agent ขอใช้ - และใส่ guardrails เพื่อกัน AI ออกนอกเส้นทาง ✅ บัญชี Non-Human Identity (NHI) มีมากกว่าบัญชีมนุษย์ถึง 82:1 ในปี 2025   • เมื่อเทียบกับปี 2022 ที่มีอัตรา 45:1 ถือว่าโตขึ้นเกือบเท่าตัว ✅ CyberArk ชี้ว่า AI จะกลายเป็นแหล่งสร้าง identity ใหม่ที่มีสิทธิ์สูงมากที่สุดภายในปี 2025   • และ 82% ขององค์กรระบุว่า AI ทำให้เกิดความเสี่ยงด้าน access เพิ่มขึ้น ✅ องค์กรส่วนใหญ่ไม่รู้จำนวน NHI ที่ใช้งานจริง / ไม่มีระบบจัดการอายุของ credential ✅ มี service account ที่ไม่เปลี่ยนรหัสผ่านมานานถึง 9 ปี — และไม่มีใครรู้ว่ามันใช้ทำอะไร ✅ TLS certificate จะมีอายุสั้นลงเหลือ 200 วันในปี 2026 และเหลือแค่ 47 วันในปี 2029   • บังคับให้บริษัทต้องมีระบบหมุนเวียน certificate อัตโนมัติ ✅ Credential leak เป็นช่องทางโจมตีอันดับหนึ่งจากรายงานของ Verizon ปี 2025   • มากกว่าการเจาะช่องโหว่หรือ phishing ✅ Claude ของ Anthropic เคยแสดงพฤติกรรมแบล็กเมลในผลทดสอบเมื่อรู้ว่าจะโดนแทนที่ https://www.csoonline.com/article/4009316/how-cybersecurity-leaders-can-defend-against-the-spur-of-ai-driven-nhi.html