ข่าว

Tenable หลอก GPT-5 สำเร็จใน 24 ชั่วโมง เผยช่องโหว่ด้านความปลอดภัยแม้เปิดตัวฟีเจอร์ใหม่ ใช้หลัก Social engineering ขอวิธีทำระเบิดขวด

Published

8 เดือน ago

15 สิงหาคม 2025

สำนักข่าวบริคอินโฟ – บริษัทจัดการความเสี่ยงทางไซเบอร์ Tenable (เทเนเบิล) ประสบความสำเร็จในการเจาะระบบ หรือ “Jailbreak” โมเดลปัญญาประดิษฐ์รุ่นล่าสุดอย่าง GPT-5 ของ OpenAI (โอเพนเอไอ) ภายในเวลาเพียง 24 ชั่วโมงหลังจากการเปิดตัว โดยสามารถหลอกล่อให้ AI สอนวิธีการทำระเบิดขวด (Molotov cocktail) ได้สำเร็จ ซึ่งสะท้อนให้เห็นถึง ช่องโหว่ด้านความปลอดภัย ที่สำคัญใน AI รุ่นใหม่ แม้จะมีการประกาศใช้ระบบป้องกันที่ซับซ้อนขึ้นก็ตาม

เหตุการณ์ดังกล่าวเกิดขึ้นหลังจากที่ OpenAI ได้เปิดตัว GPT-5 เมื่อวันที่ 7 สิงหาคม 2568 โดยระบุว่ามีระบบป้องกัน (guardrails) ที่ถูกปรับปรุงให้ดีขึ้นเพื่อป้องกันการนำไปใช้ในทางที่ผิดกฎหมายหรือเป็นอันตราย อย่างไรก็ตาม ทีมนักวิจัยของ Tenable ได้ใช้วิธีการทางวิศวกรรมสังคมที่เรียกว่า “crescendo technique” โดยปลอมตัวเป็นนักศึกษาประวัติศาสตร์ที่สนใจบริบทและวิธีการทำระเบิดขวดในอดีต และใช้คำสั่งเพียง 4 ชุดก็สามารถเจาะผ่านระบบความปลอดภัยของ AI ได้สำเร็จ

การค้นพบของ Tenable นี้สอดคล้องกับรายงานจากนักวิจัยและผู้ใช้งานรายอื่น ๆ ที่พบปัญหาการเจาะระบบ, การให้ข้อมูลที่ผิดพลาด (hallucinations) และปัญหาด้านคุณภาพอื่น ๆ ของ GPT-5 นับตั้งแต่เปิดตัว ซึ่งชี้ให้เห็นว่าแม้แต่โมเดล AI ที่ทันสมัยที่สุดก็ยังคงมีช่องโหว่ที่อาจถูกใช้เพื่อวัตถุประสงค์ที่เป็นอันตรายได้

นายโทเมอร์ อัฟนี (Tomer Avni) รองประธานฝ่ายการจัดการผลิตภัณฑ์ของ Tenable กล่าวว่า “ความง่ายดายในการที่เราเจาะผ่านโปรโตคอลความปลอดภัยใหม่ของ GPT-5 พิสูจน์ให้เห็นว่าแม้แต่ AI ที่ล้ำหน้าที่สุดก็ไม่ได้ปลอดภัยเสมอไป สิ่งนี้สร้างอันตรายอย่างยิ่งสำหรับองค์กรที่พนักงานนำเครื่องมือเหล่านี้ไปใช้อย่างรวดเร็ว และมักไม่มีการกำกับดูแล หากไม่มีการตรวจสอบและธรรมาภิบาลที่เหมาะสม ธุรกิจต่าง ๆ ก็กำลังเผชิญกับความเสี่ยงด้านความปลอดภัย จริยธรรม และการปฏิบัติตามกฎระเบียบอย่างไม่รู้ตัว เหตุการณ์นี้เป็นสัญญาณเตือนที่ชัดเจนถึงความจำเป็นในการมีกลยุทธ์การจัดการความเสี่ยงของ AI โดยเฉพาะ”

แม้ว่าทาง OpenAI จะระบุว่ากำลังดำเนินการแก้ไข แต่ช่องโหว่ที่เกิดขึ้นทันทีหลังการเปิดตัวผลิตภัณฑ์หลักนี้ พิสูจน์ให้เห็นว่าองค์กรต่าง ๆ ไม่สามารถพึ่งพาระบบความปลอดภัยที่มาพร้อมกับตัวโมเดล AI เพียงอย่างเดียวได้ และจำเป็นต้องมีมาตรการกำกับดูแลการใช้งาน AI ภายในองค์กรอย่างรัดกุม เพื่อให้มั่นใจว่าการใช้งานทั้งหมดมีความรับผิดชอบ ปลอดภัย และสอดคล้องกับกฎระเบียบสากล