ช่องโหว่แบบซีโร่เดย์ (Zero-Day Vulnerability)
ช่องโหว่ Zero-day คือช่องโหว่ที่ยังไม่ได้รับการแก้ไขซึ่งมีอยู่ก่อนที่จะเป็นที่รับรู้ของผู้พัฒนาซอฟต์แวร์หรือชุมชนความปลอดภัย ส่งผลให้แทบไม่มีมาตรการป้องกันในช่วงเวลาก่อนที่จะมีการปล่อยแพตช์ออกมา
ความหมายของ "Zero-day"
ช่องโหว่ที่ถูกนำไปใช้โจมตีในขณะที่ยังไม่มีวิธีการแก้ไข หรือกล่าวคือจำนวนวันที่นับตั้งแต่มีการค้นพบช่องโหว่จนถึงวันที่ได้รับแพตช์คือ "ศูนย์" นั้น เรียกว่า Zero-day vulnerability ในการรับมือด้านความปลอดภัยตามปกติจะมีวงจรคือ "CVE ถูกเปิดเผย → แพตช์ถูกแจกจ่าย → ผู้ใช้งานทำการติดตั้ง" แต่สำหรับ Zero-day นั้น แม้แต่ขั้นตอนแรกของวงจรนี้ก็ยังไม่เริ่มต้นขึ้น สำหรับฝ่ายป้องกันแล้ว สิ่งนี้เปรียบเสมือนการถูกสั่งให้หลบกระสุนที่แม้แต่ตัวตนก็ยังไม่รู้ว่ามีอยู่จริง
เศรษฐศาสตร์ของการค้นพบและการแสวงหาผลประโยชน์
ตลาดของช่องโหว่ Zero-day นั้นมีความเฉพาะตัว หน่วยงานรัฐและกลุ่มอาชญากรไซเบอร์อาจยอมจ่ายเงินหลายแสนถึงหลายล้านดอลลาร์เพื่อแลกกับข้อมูลช่องโหว่ที่ยังไม่ถูกเปิดเผย ในขณะที่รางวัลจากการรายงานให้ฝ่ายป้องกันทราบผ่านโปรแกรม Bug Bounty มักจะมีมูลค่าเพียงเศษเสี้ยวของจำนวนดังกล่าว ความไม่สมดุลทางเศรษฐกิจนี้เองที่เป็นสาเหตุเชิงโครงสร้างที่ทำให้ Zero-day มักไหลเข้าสู่ตลาดมืดได้ง่าย
หมวดหมู่ช่องโหว่ของเว็บแอปพลิเคชันที่รวบรวมโดย OWASP ส่วนใหญ่เป็นรูปแบบที่ทราบกันดีอยู่แล้ว แต่สำหรับ Zero-day นั้น บางครั้งหมวดหมู่ของมันยังไม่ได้ถูกนิยามด้วยซ้ำ เช่นเดียวกับบั๊กที่ทำให้เกิด Remote crash ซึ่งซ่อนอยู่ใน OpenBSD มานานถึง 27 ปี ช่องโหว่ที่ถูกค้นพบช้าเท่าใด ยิ่งมีขอบเขตผลกระทบกว้างขวางมากขึ้นเท่านั้น และอาจกลายเป็นจุดเริ่มต้นของการโจมตีแบบ Supply chain ได้
AI กับการเปลี่ยนแปลงการรุกและรับของ Zero-day
ข้อเท็จจริงที่ว่า Claude Mythos ได้ค้นพบช่องโหว่ Zero-day หลายพันรายการใน Project Glasswing แสดงให้เห็นว่า AI กำลังเปลี่ยนความเร็วและขนาดของการค้นหาช่องโหว่อย่างถอนรากถอนโคน ในอดีตวิธีการค้นหาหลักคือ Fuzzing, เครื่องมือวิเคราะห์แบบ Static Analysis หรือการใช้มนุษย์ที่เป็น Penetration tester ซึ่งวิธีการเหล่านี้มีข้อจำกัดด้านความครอบคลุมเนื่องจากข้อจำกัดด้านเวลาและต้นทุน
หากการสแกนขนาดใหญ่ด้วย AI ถูกนำมาใช้โดยฝ่ายป้องกันก่อน ก็จะเกิดความเป็นไปได้ที่จะแก้ไข Zero-day ได้ก่อนที่มันจะถูกนำไปใช้โจมตีในฐานะ "Zero-day" ในทางกลับกัน หากฝ่ายโจมตีได้ครอบครอง AI ที่มีประสิทธิภาพทัดเทียมกัน การผลิต Zero-day จำนวนมหาศาลก็จะกลายเป็นเรื่องจริง ความพยายามในการวัดขีดความสามารถในการโจมตีของโมเดลเชิงปริมาณผ่านเกณฑ์มาตรฐานอย่าง CyberGym มีบทบาทในการทำให้เห็นภาพปัจจุบันของ "การแข่งขันสะสมอาวุธ AI" นี้ได้ชัดเจนยิ่งขึ้น
คำศัพท์ที่เกี่ยวข้อง
A2A (โปรโตคอลตัวแทนต่อตัวแทน)
A2A (Agent-to-Agent Protocol) คือโปรโตคอลการสื่อสารที่ช่วยให้ AI Agent ต่างชนิดสามารถค้นหาความสามารถ มอบหมายงาน และซิงโครไนซ์สถานะระหว่างกันได้ โดย Google เปิดตัวในเดือนเมษายน ปี 2025
AES-256
AES-256 คือ อัลกอริทึมการเข้ารหัสที่มีความแข็งแกร่งสูงสุด โดยใช้ความยาวคีย์ 256 บิต ซึ่งเป็นส่วนหนึ่งของมาตรฐานการเข้ารหัสแบบสมมาตร AES (Advanced Encryption Standard) ที่ได้รับการกำหนดมาตรฐานโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐอเมริกา (NIST)
Agentic RAG
Agentic RAG คือสถาปัตยกรรมที่ LLM ทำหน้าที่เป็น Agent โดยวนซ้ำกระบวนการสร้าง Query ค้นหา ประเมินผลลัพธ์ และตัดสินใจค้นหาซ้ำอย่างอิสระ เพื่อให้ได้ความแม่นยำของคำตอบที่เหนือกว่า RAG แบบถาม-ตอบทั่วไป
