โดย Sarang Warudkar - ผู้จัดการผลิตภัณฑ์ด้านเทคนิคระดับสูง (PMM)
19 พฤษภาคม 2026 4 เวลาอ่าน: 1 นาที
การนำ AI แบบสร้างเนื้อหา (Generative AI) มาใช้ได้เปลี่ยนแปลงระบบความปลอดภัยขององค์กรในหลายด้านที่องค์กรจำนวนมากยังไม่ได้จัดการกับความเสี่ยงดังกล่าว ความเสี่ยงนี้ไม่ได้มาจากการโจมตีที่ซับซ้อน แต่มาจากแท็บเบราว์เซอร์เพียงแท็บเดียว
พนักงานใช้เวลาส่วนใหญ่ในแต่ละวันบนเบราว์เซอร์ เพื่อเข้าถึงข้อมูล CRM แดชบอร์ดทางการเงิน เอกสารที่แชร์กัน และเครื่องมือ AI เช่น ChatGPT Microsoft 365 Copilot และ Gemini การเพิ่มประสิทธิภาพการทำงานนั้นชัดเจน เช่นเดียวกับความเสี่ยงที่ตามมา
แอปพลิเคชัน AI ได้นำช่องป้อนข้อมูลแบบ prompt มาใช้ ซึ่งช่วยให้ข้อมูลสามารถส่งตรงจากคลิปบอร์ดของพนักงานไปยังโมเดลภายนอกได้ แพลตฟอร์มการส่งข้อความ เช่น Microsoft Teams Web และ WhatsApp Web อาศัยการเชื่อมต่อ WebSocket แบบต่อเนื่อง ซึ่งเครื่องมือความปลอดภัยเครือข่ายแบบดั้งเดิมไม่สามารถตรวจสอบได้ นอกจากนี้ แอปพลิเคชัน SaaS สมัยใหม่ยังเข้ารหัสเนื้อหา ก่อนที่ข้อมูลจะถึงพร็อกซี
ผลคือมีประเภทกิจกรรมในระหว่างการเชื่อมต่อที่เพิ่มขึ้น ซึ่งระบบควบคุมความปลอดภัยเครือข่ายที่มีอยู่ไม่สามารถตรวจจับหรือควบคุมได้ เนื่องจากกิจกรรมนี้เกิดขึ้นภายในเบราว์เซอร์ จึงจำเป็นต้องมีระบบป้องกันที่นั่นด้วย
การตรวจสอบเครือข่ายแบบดั้งเดิมขึ้นอยู่กับข้อมูลการสื่อสาร HTTP และ HTTPS ที่ไหลผ่านพร็อกซี โมเดลนี้ทำงานได้ดีมาหลายปี แต่การเปลี่ยนแปลงสองประการได้เพิ่มความซับซ้อนให้มากขึ้น
ก่อนอื่น แอปพลิเคชัน SaaS สมัยใหม่กำลังใช้การเชื่อมต่อ WebSocket มากขึ้นเรื่อยๆ แอปพลิเคชันอย่าง Microsoft Teams, WhatsApp และ Microsoft 365 Copilot สร้างเซสชันเบราว์เซอร์ที่คงอยู่ ซึ่งสามารถหลีกเลี่ยงการตรวจสอบของพร็อกซีแบบดั้งเดิม ทำให้ทีมความปลอดภัยสูญเสียความสามารถในการติดตามกิจกรรมในเซสชัน
ประการที่สอง แอปพลิเคชันที่มีการเข้ารหัสแบบ end-to-end จะเข้ารหัสเนื้อหา ก่อนที่ข้อมูลจะถึงพร็อกซี เครื่องมือความปลอดภัยเครือข่ายสามารถมองเห็นการเชื่อมต่อได้ แต่ไม่สามารถตรวจสอบเนื้อหาที่ส่งผ่านได้
สิ่งนี้ก่อให้เกิดกิจกรรมในเบราว์เซอร์ที่อยู่นอกขอบเขตการตรวจสอบของระบบควบคุมความปลอดภัยที่มีอยู่
เหตุการณ์การรั่วไหลของข้อมูลส่วนใหญ่ไม่ได้เกิดจากผู้โจมตีที่มีทักษะขั้นสูง แต่เกิดจากกิจกรรมประจำวันของพนักงานภายในเบราว์เซอร์ เช่น การคัดลอกและวาง การถ่ายภาพหน้าจอ การอัปโหลด และคำสั่ง AI ที่เกิดขึ้นหลังจากได้รับสิทธิ์การเข้าถึง
เหตุการณ์การเปิดเผยข้อมูลระหว่างการทำงานที่เกิดขึ้นบ่อยที่สุดมักมีรูปแบบที่คล้ายกัน นั่นคือกิจกรรมประจำที่พนักงานดำเนินการระหว่างการทำงานปกติ และเหตุการณ์เหล่านี้ยากที่จะตรวจจับหรือควบคุมด้วยเครื่องมือที่ทำงานอยู่ที่ขอบเครือข่าย
ตัวอย่าง ได้แก่:
การกระทำเหล่านี้เกิดขึ้นระหว่างการทำงานปกติ และยากที่จะตรวจพบด้วยระบบควบคุมแบบดั้งเดิม
AI แบบสร้างเนื้อหา (Generative AI) ได้ทำให้ปัญหานี้รุนแรงขึ้น โดยการสร้างช่องป้อนข้อมูลในเบราว์เซอร์ที่รับเนื้อหาที่คัดลอกและวางได้ทุกประเภท พนักงานสามารถส่งโค้ดต้นฉบับ ข้อมูลส่วนบุคคลของลูกค้า (PII) ข้อมูลทางการเงิน เอกสารทางกฎหมาย หรือแผนการควบรวมและซื้อกิจการ (M&A) ไปยังระบบ AI ภายนอกได้ภายในไม่กี่วินาที การวิจัยในอุตสาหกรรมล่าสุดพบว่า 41% ของพนักงานมีปฏิสัมพันธ์กับเครื่องมือ AI บนเว็บอย่างสม่ำเสมอ ซึ่งไม่มีระบบควบคุมหรือกฎเกณฑ์ใดที่กำกับดูแลสิ่งที่พวกเขาคัดลอกหรืออัปโหลด สำหรับองค์กรส่วนใหญ่ ไม่มีระบบควบคุมทางเทคนิคใดระหว่างคลิปบอร์ดของพนักงานกับโมเดล AI ภายนอก
สำหรับองค์กรหลายแห่ง ยังไม่มีมาตรการควบคุมทางเทคนิคระหว่างคลิปบอร์ดของพนักงานกับช่องป้อนคำสั่ง AI จากภายนอก
กฎระเบียบที่มีอยู่กำหนดให้ต้องมีมาตรการป้องกันทางเทคนิคสำหรับข้อมูลที่ละเอียดอ่อนแล้ว
มาตรา 32 ของกฎระเบียบทั่วไปว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (GDPR) กำหนดให้มีการคุ้มครองการประมวลผลข้อมูลส่วนบุคคล พระราชบัญญัติการโอนย้ายและการรับผิดชอบด้านประกันสุขภาพ (HIPAA) กำหนดให้มีมาตรการคุ้มครองข้อมูลด้านการดูแลสุขภาพ พระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคลดิจิทัลของอินเดีย กำหนดให้มีมาตรการคุ้มครองทางเทคนิคสำหรับข้อมูลส่วนบุคคล มาตรฐานความปลอดภัยข้อมูลของอุตสาหกรรมบัตรชำระเงิน (PCI DSS) กำหนดให้มีมาตรการควบคุมสำหรับข้อมูลผู้ถือบัตร
ผู้ตรวจสอบบัญชีเริ่มถามมากขึ้นว่าอะไรที่ป้องกันไม่ให้พนักงานคัดลอกข้อมูลสำคัญไปยังเครื่องมือ AI ภายนอก หลายองค์กรยังไม่มีคำตอบทางเทคนิคที่ชัดเจน
ตลาดได้พัฒนาวิธีการหลายแบบเพื่อเพิ่มความปลอดภัยของเบราว์เซอร์ระหว่างการใช้งาน เบราว์เซอร์องค์กรที่ปลอดภัยช่วยให้สามารถควบคุมการใช้งานอย่างละเอียดระหว่างเซสชันได้ โดยการแทนที่เบราว์เซอร์ที่พนักงานใช้ด้วยเบราว์เซอร์องค์กรที่ได้รับการจัดการอย่างเข้มงวด แบบจำลองนี้เหมาะสมกับสภาพแวดล้อมที่มีการควบคุมอย่างเข้มงวด แต่ก่อให้เกิดความยากลำบากในการนำระบบมาใช้ ระยะเวลาการติดตั้งที่ยาวนานถึงสามถึงหกเดือน และช่องว่างในการครอบคลุมด้านโครงสร้างสำหรับอุปกรณ์ BYOD และอุปกรณ์ของผู้รับจ้าง
ระบบควบคุมเบราว์เซอร์ที่ปลอดภัยแบบไม่ใช้เอเจนต์ (Agentless) ใช้แนวทางที่แตกต่างออกไป โดยบังคับใช้นโยบายการคุ้มครองข้อมูลภายในเซสชันเบราว์เซอร์ที่กำลังทำงานอยู่ ผ่านโครงสร้างพื้นฐาน SSE ที่มีอยู่ โดยไม่ต้องเปลี่ยนเบราว์เซอร์ ไม่ต้องติดตั้งเอเจนต์บนอุปกรณ์ปลายทาง และไม่ต้องให้พนักงานเปลี่ยนแปลงวิธีการทำงาน ความครอบคลุมของระบบนี้ครอบคลุม Chrome, Edge, Firefox และ Safari บนอุปกรณ์ที่ได้รับการจัดการ อุปกรณ์ BYOD และอุปกรณ์ของผู้รับจ้างอย่างเท่าเทียมกัน การเปิดใช้งานใช้เวลาเพียงไม่กี่นาที ไม่ใช่หลายเดือน
ผลลัพธ์คือประโยชน์ด้านความปลอดภัยของเบราว์เซอร์สำหรับองค์กร โดยไม่ต้องเผชิญกับปัญหาการปรับใช้และค่าใช้จ่ายที่มาพร้อมกับการเปลี่ยนเบราว์เซอร์ เบราว์เซอร์เดิมยังคงอยู่ ส่วนระบบการกำกับดูแลก็ถูกนำมาใช้
หากกิจกรรมในเซสชันที่กล่าวถึงข้างต้นฟังดูคุ้นเคยในสภาพแวดล้อมของคุณ ขั้นตอนต่อไปที่รวดเร็วที่สุดคือการเรียนรู้ว่ากลไกควบคุมเบราว์เซอร์ที่ปลอดภัยแบบไม่ใช้เอเจนต์สามารถแก้ไขปัญหานี้ได้อย่างไร
เยี่ยมชม Skyhigh Secure Browser Controls เพื่อดูว่าฟังก์ชันนี้ทำงานอย่างไร วิธีการติดตั้งผ่านแพลตฟอร์ม SSE ที่มีอยู่ของคุณ และขอบเขตการครอบคลุมบนอุปกรณ์ที่ได้รับการจัดการ อุปกรณ์ BYOD และอุปกรณ์ปลายทางของผู้รับจ้างเป็นอย่างไร
คุณยังสามารถ ขอรับการสาธิตแบบส่วนตัว ของ Secure Browser Controls ของ Skyhigh
เกี่ยวกับผู้เขียน

Sarang Warudkar เป็นผู้จัดการฝ่ายการตลาดผลิตภัณฑ์ที่มีประสบการณ์มากกว่า 10 ปีในด้านความปลอดภัยทางไซเบอร์ มีความเชี่ยวชาญในการจัดแนวนวัตกรรมทางเทคนิคให้สอดคล้องกับความต้องการของตลาด เขามีความเชี่ยวชาญอย่างลึกซึ้งในโซลูชันต่างๆ เช่น CASB, DLP และการตรวจจับภัยคุกคามที่ขับเคลื่อนด้วย AI ซึ่งขับเคลื่อนกลยุทธ์การออกสู่ตลาดที่มีประสิทธิผลและการมีส่วนร่วมของลูกค้า Sarang สำเร็จการศึกษาระดับปริญญาโทสาขาบริหารธุรกิจจาก IIM Bangalore และปริญญาทางวิศวกรรมศาสตร์จาก Pune University โดยผสมผสานความรู้เชิงเทคนิคและเชิงกลยุทธ์เข้าด้วยกัน
Sarang Warudkar July 15, 2026
สจวร์ต เบย์ลิส และ ซารัง วารุดการ์ 25 มิถุนายน 2026
Sarang Warudkar 17 มิถุนายน 2026
สารัง วรุธกฤา และ สจวร์ต เบลลิส 21 พฤษภาคม 2026
สารัง วรุธกฤා 19 พฤษภาคม 2026