CVE (Common Vulnerabilities and Exposures)
CVE คือระบบการตั้งชื่อที่เป็นมาตรฐานสากลสำหรับการกำหนดหมายเลขระบุตัวตนที่ไม่ซ้ำกัน (CVE-ID) ให้กับช่องโหว่ของซอฟต์แวร์ที่ถูกเปิดเผย โดยทำหน้าที่เป็นภาษากลางเพื่อให้ผู้ที่เกี่ยวข้องด้านความปลอดภัยสามารถอ้างอิงถึงช่องโหว่เหล่านั้นได้อย่างถูกต้องแม่นยำ
กลไกการตั้งชื่อช่องโหว่
"ช่องโหว่นั้น" หรือ "ไอ้ตัวที่เป็นของ Apache" — การสื่อสารที่คลุมเครือเช่นนี้ไม่สามารถใช้ในการรับมือด้านความปลอดภัยได้ CVE เป็นกลไกสากลที่ช่วยให้เหล่านักพัฒนา ผู้จำหน่ายซอฟต์แวร์ด้านความปลอดภัย ทีมปฏิบัติการ และหน่วยงานกำกับดูแล สามารถหารือเกี่ยวกับช่องโหว่เดียวกันได้อย่างถูกต้องแม่นยำ โดยการกำหนดหมายเลขระบุตัวตนที่ไม่ซ้ำกันให้กับช่องโหว่ที่เปิดเผยต่อสาธารณะ เช่น CVE-2024-12345
การดำเนินงานอยู่ภายใต้การดูแลของ MITRE ซึ่งเป็นองค์กรไม่แสวงหาผลกำไรในสหรัฐอเมริกา โดยมีผู้จำหน่ายและสถาบันวิจัยต่างๆ ทำหน้าที่เป็น CNA (CVE Numbering Authority) ซึ่งมีอำนาจในการออกหมายเลข ID ณ ปี 2024 มีองค์กรที่เป็น CNA มากกว่า 400 แห่ง ส่งผลให้ระยะเวลาตั้งแต่การรายงานช่องโหว่ไปจนถึงการได้รับ ID มีแนวโน้มสั้นลง
วิธีอ่าน CVE-ID
รูปแบบของ ID คือ CVE-YYYY-NNNNN โดยที่ YYYY คือปีที่ออกหมายเลข และ NNNNN คือลำดับเลข สิ่งที่ควรทราบคือ ปีที่ออกหมายเลขไม่ใช่ปีที่ค้นพบหรือปีที่เปิดเผยช่องโหว่ แต่เป็นปีที่มีการจอง ID ไว้ เนื่องจากมีช่วงเวลาที่เหลื่อมกันระหว่างการจองและการเปิดเผย จึงไม่ใช่เรื่องแปลกที่ CVE ซึ่งถูกจองไว้ในปี 2023 จะถูกเปิดเผยรายละเอียดในปี 2024
ตัว CVE-ID เองไม่ได้ระบุข้อมูลเกี่ยวกับระดับความรุนแรง ข้อมูลที่บ่งบอกระดับความรุนแรงคือคะแนน CVSS (Common Vulnerability Scoring System) ซึ่ง NVD (National Vulnerability Database) จะเป็นผู้กำหนดและเผยแพร่คะแนน CVSS ให้กับ CVE นั้นๆ จุดเด่นของ CVE คือการระบุถึงอินสแตนซ์ของช่องโหว่แต่ละรายการ ซึ่งแตกต่างจากการจัดหมวดหมู่แบบ OWASP Top 10
ความสัมพันธ์กับ CyberGym และการสแกนด้วย AI
CyberGym คือเกณฑ์มาตรฐาน (Benchmark) ที่ใช้ CVE ที่รู้จักกันดีมาเป็นโจทย์เพื่อวัดความสามารถในการจำลองการโจมตีของโมเดล AI โดยมีฐานข้อมูล CVE เป็นรากฐานสำคัญในการประเมิน ในขณะที่ช่องโหว่ที่ Claude Mythos ค้นพบใน Project Glasswing นั้นเป็นช่องโหว่แบบ Zero-day ที่ยังไม่มีการกำหนด CVE-ID ซึ่งจะถูกลงทะเบียนเป็น CVE ก็ต่อเมื่อผ่านกระบวนการ Responsible Disclosure แล้วเท่านั้น
การใช้ SBOM ร่วมกับ CVE ถือเป็นแนวทางที่มีประสิทธิภาพอย่างยิ่งในทางปฏิบัติ หากเราทราบความสัมพันธ์ของส่วนประกอบทั้งหมดในผลิตภัณฑ์ของตนเองผ่าน SBOM และทำการตรวจสอบทุกครั้งที่มีการเปิดเผย CVE ใหม่ เราจะสามารถตอบคำถามที่ว่า "ผลิตภัณฑ์ของเราได้รับผลกระทบจากช่องโหว่นี้หรือไม่?" ได้ภายในเวลาเพียงไม่กี่นาที ซึ่งความเร็วที่แตกต่างกันนี้ถือเป็นปัจจัยชี้ขาดในการรับมือเบื้องต้นต่อการโจมตีห่วงโซ่อุปทาน (Supply Chain Attack)
คำศัพท์ที่เกี่ยวข้อง
A2A (โปรโตคอลตัวแทนต่อตัวแทน)
A2A (Agent-to-Agent Protocol) คือโปรโตคอลการสื่อสารที่ช่วยให้ AI Agent ต่างชนิดสามารถค้นหาความสามารถ มอบหมายงาน และซิงโครไนซ์สถานะระหว่างกันได้ โดย Google เปิดตัวในเดือนเมษายน ปี 2025
AES-256
AES-256 คือ อัลกอริทึมการเข้ารหัสที่มีความแข็งแกร่งสูงสุด โดยใช้ความยาวคีย์ 256 บิต ซึ่งเป็นส่วนหนึ่งของมาตรฐานการเข้ารหัสแบบสมมาตร AES (Advanced Encryption Standard) ที่ได้รับการกำหนดมาตรฐานโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐอเมริกา (NIST)
Agentic RAG
Agentic RAG คือสถาปัตยกรรมที่ LLM ทำหน้าที่เป็น Agent โดยวนซ้ำกระบวนการสร้าง Query ค้นหา ประเมินผลลัพธ์ และตัดสินใจค้นหาซ้ำอย่างอิสระ เพื่อให้ได้ความแม่นยำของคำตอบที่เหนือกว่า RAG แบบถาม-ตอบทั่วไป
