โดย Thyaga Vasudevan รองประธานบริหารฝ่ายผลิตภัณฑ์
3 กุมภาพันธ์ 2568 6 อ่านนาที
DeepSeek ซึ่งเป็นบริษัทสตาร์ทอัพด้านปัญญาประดิษฐ์ของจีนที่ก่อตั้งในปี 2023 ได้รับความนิยมอย่างล้นหลามในช่วงสัปดาห์ที่ผ่านมา ไม่เพียงแต่จะ แซงหน้า ChatGPT ขึ้น เป็นแอปฟรีที่มีคะแนนสูงสุดใน App Store ของสหรัฐอเมริกาเท่านั้น แต่ผู้ช่วย AI ยังส่งผลกระทบอย่างรุนแรงต่อตลาดอีกด้วย เนื่องจากหุ้นเทคโนโลยีหลักๆ ร่วงลงอย่างมาก Nvidia ซึ่งเป็นผู้ผลิตชิป AI ชั้นนำ พบว่า ราคาหุ้นร่วงลง เกือบ 17% ส่งผลให้มูลค่าตลาดลดลงประมาณ 589 พันล้านดอลลาร์ ซึ่งถือเป็นการขาดทุนในวันเดียวครั้งใหญ่ที่สุดในประวัติศาสตร์ของวอลล์สตรีท
นวัตกรรมที่เกิดขึ้นรอบๆ DeepSeek แสดงให้เห็นถึงการประชาธิปไตยของ AI มากขึ้น ซึ่งเป็นสิ่งที่ดีสำหรับมนุษยชาติโดยรวม นวัตกรรมของบริษัท AI นำไปสู่การเสนอโมเดล AI แบบโอเพนซอร์สที่มีประสิทธิภาพเทียบเท่ากับแพลตฟอร์มที่มีอยู่เดิมในขณะที่ยังคุ้มต้นทุนและประหยัดพลังงานมากขึ้น อินเทอร์เฟซที่เป็นมิตรกับผู้ใช้ของแอปและฟีเจอร์ "คิดดังๆ" ที่โปร่งใสทำให้แอปนี้มีเสน่ห์ดึงดูดใจยิ่งขึ้น ช่วยให้ผู้ใช้สามารถติดตามกระบวนการคิดของ AI ได้
การถือกำเนิดของแชทบอทด้าน AI อีกตัวที่มีรูปแบบ LLM ของตัวเองยังสร้างคำถามสำคัญให้กับบริษัทต่างๆ โดยเฉพาะองค์กรขนาดใหญ่ เนื่องจากบริษัทเหล่านี้เพิ่มการลงทุนด้าน AI มากขึ้น องค์กรต่างๆ ควรประเมินแชทบอทด้าน AI ตัวใหม่สำหรับการใช้งานอย่างไร ปัจจัยใดบ้างที่มีผลต่อการตัดสินใจว่าพนักงานจะได้รับประโยชน์และเสียเปรียบในการใช้งานแอปพลิเคชัน AI และการนำ AI ไปใช้ในองค์กรอย่างไร รายงานล่าสุดและเหตุการณ์ในโลกแห่งความเป็นจริงแสดงให้เห็นว่า LLM บางประเภท โดยเฉพาะเวอร์ชันโอเพนซอร์สที่ไม่มีกรอบความปลอดภัยที่แข็งแกร่ง ก่อให้เกิดภัยคุกคามอย่างมากต่อความปลอดภัยของข้อมูล การปฏิบัติตามกฎระเบียบ และชื่อเสียงของแบรนด์
ในบล็อกนี้ เราจะสำรวจ:
- การเพิ่มขึ้นของ LLM ที่มีความเสี่ยง เช่น DeepSeek
- ช่องโหว่ด้านความปลอดภัยที่สำคัญที่เกี่ยวข้องกับ AI
- องค์กรต่างๆ สามารถประเมิน ควบคุมดูแล และรักษาความปลอดภัยแชทบอท AI ใหม่ได้อย่างไร
- เหตุใดจึงต้องใช้แนวทางแบบบูรณาการ เช่น Skyhigh Security SSE—เป็นสิ่งสำคัญ
การเพิ่มขึ้นของ LLM และ Chatbot ที่มีความเสี่ยง
LLM แบบโอเพ่นซอร์ส เช่น DeepSeek ได้จุดประกายทั้งความตื่นเต้นและความกังวล ซึ่งแตกต่างจากโซลูชัน AI ที่ผ่านการตรวจสอบโดยองค์กร LLM แบบโอเพ่นซอร์สมักขาดการควบคุมความปลอดภัยที่แข็งแกร่งซึ่งจำเป็นต่อการปกป้องข้อมูลทางธุรกิจที่ละเอียดอ่อน ดังที่แสดงใน รายงานล่าสุด จาก Enkrypt AI:
- ลำเอียงมากกว่าโมเดลที่เปรียบเทียบได้ 3 เท่า
- มีโอกาสสร้างโค้ดที่ไม่ปลอดภัยมากกว่าถึง 4 เท่า
- มีแนวโน้มเกิดเนื้อหาที่เป็นอันตรายมากกว่าถึง 11 เท่า
แม้จะมีปัญหาเหล่านี้ แต่ DeepSeek ก็สามารถทะยานขึ้นสู่อันดับหนึ่งของ App Store ของ Apple แซงหน้า ChatGPT โดยมียอด ดาวน์โหลด 2.6 ล้านครั้งในเวลาเพียง 24 ชั่วโมง (เมื่อวันที่ 28 มกราคม 2025) การนำมาใช้งานอย่างก้าวกระโดดนี้แสดงให้เห็นถึงความตึงเครียดที่สำคัญ นั่นคือ AI กำลังก้าวหน้าอย่างรวดเร็ว แต่การกำกับดูแลด้านความปลอดภัยมักล่าช้า ทำให้บริษัทต่างๆ เสี่ยงต่อการรั่วไหลของข้อมูล การละเมิดกฎระเบียบ และความเสียหายต่อชื่อเสียง
พื้นที่เสี่ยงหลักในการประเมิน AI Chatbots
ดังที่เราได้เน้นย้ำในบล็อก Skyhigh AI Security ธุรกิจต่างๆ จะต้องตระหนักถึงความเสี่ยงที่อาจเกิดขึ้นจาก AI ซึ่งรวมถึง:
- ขาดข้อมูลการใช้งาน : ทีมงานด้านความปลอดภัยไม่เข้าใจว่ามีผู้ใช้จำนวนเท่าใดภายในองค์กรของตนที่ใช้แอป Shadow AI เพื่อทำงานให้สำเร็จ
- ความเข้าใจที่จำกัดเกี่ยวกับความเสี่ยง LLM : การทำความเข้าใจว่าแอป AI และโมเดล LLM ใดมีความเสี่ยงถือเป็นกุญแจสำคัญในการกำกับดูแล และไม่ใช่เรื่องง่ายที่จะได้รับข้อมูลเหล่านี้
- การขโมยข้อมูล : ในกระบวนการทำงาน ผู้ใช้จะอัปโหลดข้อมูลขององค์กรลงในแอป AI ซึ่งอาจนำไปสู่การขโมยข้อมูลที่ละเอียดอ่อนได้
- คำเตือนที่เป็นปฏิปักษ์ : แชทบอต AI มักจะให้คำตอบที่ลำเอียง เป็นพิษ หรือไม่ถูกต้อง (ภาพหลอน) นอกจากนี้ ยังสามารถให้โค้ดที่อาจมีมัลแวร์อยู่ด้วย การใช้คำตอบเหล่านี้อาจทำให้เกิดปัญหาต่อบริษัทได้
- การวางยาพิษข้อมูล : องค์กรต่างๆ กำลังสร้างแอปพลิเคชัน AI สาธารณะหรือส่วนตัวที่กำหนดเองเพื่อให้เหมาะกับความต้องการทางธุรกิจ แอปพลิเคชันเหล่านี้ได้รับการฝึกอบรมและปรับแต่งโดยใช้ข้อมูลของบริษัท หากข้อมูลการฝึกอบรมถูกบุกรุกโดยไม่ได้ตั้งใจหรือมีเจตนาที่เป็นอันตราย อาจทำให้แอปพลิเคชัน AI ที่กำหนดเองให้ข้อมูลที่ไม่ถูกต้อง
- ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบและข้อบังคับ : การใช้แอป AI ทำให้บริษัทเผชิญกับความเสี่ยงด้านการปฏิบัติตามกฎระเบียบและข้อบังคับที่มากขึ้น ซึ่งอาจเกิดจากการขโมยข้อมูล การเปิดเผยข้อมูลที่ละเอียดอ่อน หรือการแจ้งเตือนที่ไม่ถูกต้องหรือขัดแย้งที่เกี่ยวข้องกับแชทบอท AI ที่กำหนดเอง
เหตุใดแนวทางแบบบูรณาการจึงมีความสำคัญ: Skyhigh Security เอสเอสอี
เมื่อองค์กรต่างๆ ประเมินแอป AI หรือแชทบ็อตใหม่ๆ พวกเขาควรพิจารณาว่ามีเครื่องมือที่จะใช้ควบคุมที่จำเป็นเพื่อปกป้องทรัพย์สินขององค์กรหรือไม่ พวกเขาควรตรวจสอบให้แน่ใจว่าสแต็กความปลอดภัยของพวกเขาได้รับการจัดวางไม่เพียงเพื่อใช้ควบคุมแอปพลิเคชัน AI เท่านั้น แต่ยังรวมถึงการประเมินและตอบสนองต่อกิจกรรมที่เป็นอันตรายและภัยคุกคามที่เกิดจากแอปพลิเคชันเหล่านี้ด้วย
โซลูชัน Security Services Edge (SSE) เช่น Skyhigh Security เป็นส่วนประกอบสำคัญของการรักษาความปลอดภัย AI ขององค์กร เครื่องมือเหล่านี้ได้รับการบูรณาการเข้ากับชุดการรักษาความปลอดภัยขององค์กรแล้ว เนื่องจากบริษัทต่างๆ ได้รักษาความปลอดภัยการรับส่งข้อมูลภายในองค์กรและบนคลาวด์แล้ว ทีมงานด้านความปลอดภัยได้กำหนดนโยบายการกำกับดูแลและการปกป้องข้อมูลไว้แล้ว และสามารถขยายนโยบายเหล่านี้ไปยังแอปพลิเคชัน AI ได้อย่างง่ายดาย และสุดท้าย ด้วยการครอบคลุมเว็บ แอปเงา แอปที่ได้รับการอนุมัติ และแอปส่วนตัวตามโหมดการใช้งานที่ยืดหยุ่น โซลูชัน SSE จึงสามารถครอบคลุมขอบเขตของรอยเท้า AI ภายในองค์กรและให้ความปลอดภัยที่ครอบคลุม
นี่คือการควบคุมอันดับต้นๆ ที่องค์กรต่างๆ กำลังมองหาเพื่อนำไปใช้กับแอป AI:
- การกำกับดูแล Shadow AI : การขับเคลื่อนการกำกับดูแลแอปพลิเคชั่น Shadow AI จำเป็นต้องมีความเข้าใจในการใช้งานและความเสี่ยงของแอปพลิเคชั่น AI รวมถึงการใช้การควบคุม โซลูชัน SSE ชั้นนำช่วยให้มองเห็นแอปพลิเคชั่น Shadow AI ได้อย่างครอบคลุม นอกจากนี้ ยังช่วยให้เข้าใจความเสี่ยงของ AI ได้อย่างลึกซึ้ง ซึ่งรวมถึงความเสี่ยงที่โมเดล LLM ที่เป็นพื้นฐานมีต่อความเสี่ยงต่างๆ เช่น การเจลเบรก อคติ ความเป็นพิษ และมัลแวร์ ในที่สุด แอปพลิเคชั่นเหล่านี้สามารถตรวจพบ จัดกลุ่ม และบังคับใช้การควบคุมได้โดยไม่ต้องมีการแทรกแซงด้วยตนเอง
- การปกป้องข้อมูล : ความกังวลหลักที่องค์กรมีต่อแอป AI คือการแอบนำข้อมูลองค์กรที่ละเอียดอ่อนเข้าไปในแอป AI ที่ไม่ได้รับอนุญาตและมีความเสี่ยง เนื่องจากพนักงานกำลังมองหาวิธีใช้ประโยชน์จากผลผลิตที่เพิ่มขึ้นอย่างมากจาก AI ปัญหานี้ไม่ต่างจากแอปพลิเคชันเงาอื่นๆ แต่มีความโดดเด่นขึ้นเนื่องจากแอป AI เติบโตอย่างมากในช่วงเวลาสั้นๆ ด้วยการใช้โซลูชัน SSE องค์กรสามารถขยายการควบคุมการปกป้องข้อมูลที่มีอยู่ไปยังแอป AI ได้ ในขณะที่โซลูชันบางส่วนนำเสนอความสามารถเหล่านี้เฉพาะสำหรับแอปที่ได้รับอนุญาตขององค์กรซึ่งรวมไว้ผ่าน API เท่านั้น โซลูชัน SSE ชั้นนำ เช่น Skyhigh Security นำเสนอการควบคุมการปกป้องข้อมูลแบบรวมศูนย์ ซึ่งหมายความว่านโยบายเดียวกันนี้สามารถนำไปใช้กับแอปเงา แอปที่ได้รับการอนุมัติ หรือแอปส่วนตัวได้
- การควบคุมการแจ้งเตือนแบบโต้ตอบ : การถือกำเนิดของโมเดล LLM ทำให้เกิดความเสี่ยงใหม่ในการเตือนแบบโต้ตอบ ซึ่งหมายถึงผู้ใช้ปลายทางที่พยายามบิดเบือนโมเดล LLM เพื่อให้ข้อมูลที่ไม่พึงประสงค์หรือผิดกฎหมาย เช่น การเจลเบรกหรือการใส่การแจ้งเตือน นอกจากนี้ยังอาจหมายถึงแอป AI ที่ให้เนื้อหาที่เป็นพิษ มีอคติ อันตราย ไม่เหมาะสำหรับการทำงาน หรือไม่ถูกต้องในคำตอบของพวกเขา ในกรณีใดกรณีหนึ่ง บริษัทมีความเสี่ยงที่เนื้อหานี้จะถูกใช้ภายในเนื้อหาของบริษัท และทำให้เสี่ยงต่อความเสี่ยงด้านกฎระเบียบ การกำกับดูแล และชื่อเสียง บริษัทต่างๆ กำลังมองหาวิธีที่จะใช้การควบคุมเพื่อตรวจจับและแก้ไขการแจ้งเตือนที่มีความเสี่ยง เช่นเดียวกับที่ทำกับ DLP
- การแก้ไขปัญหา Data Poisoning : เนื่องจากองค์กรต่างๆ สร้างแชทบ็อต AI ที่กำหนดเองโดยใช้ OpenAI GPT หรือ Custom Copilots มากขึ้น ความศักดิ์สิทธิ์ของข้อมูลการฝึกอบรมที่ใช้เพื่อฝึกอบรมแชทบ็อตเหล่านี้จึงมีความสำคัญมากขึ้นจากมุมมองด้านความปลอดภัย หากบุคคลที่มีสิทธิ์เข้าถึงข้อมูลการฝึกอบรมนี้ "วางยา" ด้วยอินพุตที่ไม่ถูกต้องหรือเป็นอันตราย ก็มีแนวโน้มว่าจะส่งผลกระทบต่อการตอบสนองของแชทบ็อต สิ่งนี้อาจทำให้บริษัทต้องเผชิญกับความเสี่ยงทางกฎหมายหรือความเสี่ยงทางธุรกิจอื่นๆ โดยเฉพาะอย่างยิ่งหากแชทบ็อตเปิดให้เข้าถึงได้สาธารณะ องค์กรต่างๆ กำลังดำเนินการสแกน DLP ตามความต้องการ (หรือข้อมูลที่อยู่นิ่ง) กับข้อมูลการฝึกอบรมเพื่อลบข้อมูลที่ละเอียดอ่อนอยู่แล้ว พวกเขายังมองหาการสแกนที่คล้ายกันเพื่อระบุการแทรกข้อมูลโดยทันทีหรือความพยายามวางยาพิษข้อมูลที่อาจเกิดขึ้น
- การปฏิบัติตามกฎระเบียบและการบังคับใช้กฎหมาย : องค์กรต่างๆ กำลังใช้โซลูชัน SSE เพื่อบังคับใช้การกำกับดูแลและการปฏิบัติตามกฎระเบียบ โดยเฉพาะอย่างยิ่งข้อมูลที่ถูกอัปโหลดไปยังแอปบนคลาวด์หรือแชร์กับบุคคลภายนอก ขณะที่พวกเขานำ AI มาใช้ในกรณีการใช้งานขององค์กรต่างๆ องค์กรต่างๆ กำลังมองหาโซลูชัน SSE เพื่อขยายการควบคุมเหล่านี้ไปยังแอป AI และเปิดให้พนักงานของตนเข้าถึงได้ต่อไป
อนาคตของความปลอดภัย AI
วิวัฒนาการที่รวดเร็วของ AI เรียกร้องให้มีแนวคิดด้านความปลอดภัยใหม่ ซึ่งรับประกันได้ว่านวัตกรรมจะไม่มาแลกมาด้วยความปลอดภัยของข้อมูล องค์กรที่ต้องการใช้ประโยชน์จาก LLM จะต้องดำเนินการด้วยความระมัดระวัง โดยนำกรอบงานด้านความปลอดภัยของ AI มาใช้เพื่อป้องกันภัยคุกคามใหม่ๆ
ที่ Skyhigh Security เรามุ่งมั่นที่จะช่วยให้ธุรกิจต่าง ๆ นำ AI มาใช้อย่างปลอดภัยในขณะที่ปกป้องทรัพย์สินที่สำคัญที่สุดของตน หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับวิธีปกป้ององค์กรของคุณจากการใช้งาน AI ที่มีความเสี่ยง โปรดดูข้อมูลเชิงลึกล่าสุดของเราใน บล็อก Skyhigh AI Security
เกี่ยวกับผู้เขียน
ธยากา วาสุเทวัน
รองกรรมการผู้จัดการใหญ่ สายงานผลิตภัณฑ์
Thyaga Vasudevan เป็นผู้เชี่ยวชาญด้านซอฟต์แวร์ที่มีพลังงานสูง ซึ่งปัจจุบันดำรงตำแหน่งรองประธานบริหารฝ่ายผลิตภัณฑ์ Skyhigh Security ซึ่งเขาเป็นผู้นำด้านการจัดการผลิตภัณฑ์ การออกแบบ การตลาดผลิตภัณฑ์ และกลยุทธ์ GTM ด้วยประสบการณ์อันยาวนาน เขาประสบความสำเร็จในการสร้างผลิตภัณฑ์ในซอฟต์แวร์องค์กรที่ใช้ SAAS (Oracle, Hightail ซึ่งเดิมเรียกว่า YouSendIt, WebEx, Vitalect) และอินเทอร์เน็ตสำหรับผู้บริโภค (Yahoo! Messenger – เสียงและวิดีโอ) เขาทุ่มเทให้กับกระบวนการระบุปัญหาพื้นฐานของผู้ใช้ปลายทางและกรณีการใช้งาน และรู้สึกภาคภูมิใจในการเป็นผู้นำในการกำหนดคุณลักษณะและพัฒนาผลิตภัณฑ์และบริการไฮเทคเพื่อรับมือกับความท้าทายเหล่านี้ รวมถึงช่วยให้องค์กรต่างๆ นำทางความสมดุลที่ละเอียดอ่อนระหว่างความเสี่ยงและโอกาส Thyaga ชอบให้ความรู้และให้คำปรึกษา และได้รับสิทธิพิเศษในการพูดในงานที่มีชื่อเสียง เช่น RSA, Trellix Xpand, MPOWER, AWS Re:invent, Microsoft Ignite, BoxWorks และ Blackhat เขาประสบความสำเร็จในจุดตัดระหว่างเทคโนโลยีและการแก้ปัญหา โดยมุ่งหวังที่จะขับเคลื่อนการสร้างสรรค์นวัตกรรมที่ไม่เพียงแต่จัดการกับความท้าทายในปัจจุบันเท่านั้น แต่ยังคาดการณ์ความต้องการในอนาคตได้อีกด้วย
กลับไปที่บล็อก