ChatGPT เพิ่ม Lockdown Mode จำกัดการทำงานป้องกัน Prompt Injection

By arjin Writer on Tag: ChatGPT, OpenAI, Security
ChatGPT

OpenAI เพิ่มตัวเลือกเปิดการทำงานโหมดความปลอดภัยขั้นสูงของ ChatGPT เรียกชื่อว่า Lockdown Mode สำหรับการลดความเสี่ยงจากการถูก Prompt Injection และการรั่วไหลของข้อมูล โดยการทำงานของ ChatGPT เมื่อเปิดโหมดนี้ การค้นหาข้อมูลก็จะถูกจำกัดไว้เฉพาะข้อมูลที่แคชไว้เท่านั้น ไม่เชื่อมต่อค้นหาข้อมูลเพิ่มเติมภายนอก จึงทำให้การทำงานหลายฟังก์ชันใช้งานไม่ได้ตามด้วยเช่น Deep Research หรือ Agent

สิ่งที่ผู้ใช้งานในโหมด Lockdown ยังทำได้ เช่น การอัปโหลดไฟล์ให้วิเคราะห์เอง การสั่งสร้างรูปภาพ หรือการดึงข้อมูลจาก Memory

Read more

แฮกเกอร์เจาะบัญชี Instagram โดยใช้ซัพพอร์ต AI ของ Meta ช่วยเปลี่ยนอีเมลของบัญชี

By arjin Writer on Tag: Instagram, Meta AI, Meta, Security
Instagram

มีรายงานเกี่ยวกับการแฮกบัญชีผู้ใช้งาน Instagram จำนวนมาก โดยที่เป็นข่าวมีบัญชีใหญ่ เช่น บัญชีทำเนียบขาวสมัยประธานาธิบดีโอบามา (ซึ่งไม่ active แล้ว) รวมถึง Jane Manchun Wong นักแกะโค้ดแอปย้อนกลับคนดังซึ่งเคยทำงานที่ Meta ด้วย

ช่องโหว่ที่แฮกเกอร์ใช้นั้นเริ่มจากตั้งค่า VPN ให้พิกัดอยู่ในตำแหน่งตามบัญชีเป้าหมาย เพื่อหลบเลี่ยงการตรวจจับของระบบอัตโนมัติ จากนั้นก็ติดต่อไปซัพพอร์ตของ Meta ซึ่งเป็นระบบแชทบอตแล้ว prompt injection เพื่อให้ AI ทำตามคำร้องขอเช่น เปลี่ยนอีเมลที่เชื่อมโยงกับบัญชีที่ระบุ ซึ่งพบว่า AI ก็ทำให้ตามคำขอโดยไม่ถาม 2FA ซึ่งเป็นการข้ามขั้นตอน แฮกเกอร์จึงดำเนินการเปลี่ยนรหัสผ่านโดยให้ส่งลิงก์ไปยังอีเมลใหม่และเข้าถึงบัญชีได้

Read more

Red Hat ถูกแฮก GitHub คนร้ายปล่อยแพ็กเกจฝังมัลแวร์เข้า npm

By lew Founder on Tag: Red Hat, Security, Hacking, GitHub, NPM
Red Hat

Wiz บริษัทความปลอดภัยซอฟต์แวร์รายงานแพ็กเกจ npm ของ Red Hat ในกลุ่ม @redhat-cloud-services จำนวน 32 แพ็กเกจถูกฝังมัลแวร์ โดยล่าสุดทีมงาน Red Hat ถอนแพ็กเกจเหล่านี้ออกเกือบหมดแล้ว

มัลแวร์ที่ฝังมาเป็นกลุ่ม Shai-Hulud ที่มุ่งขโมยกุญแจ API ของเหยื่อ เช่น กุญแจ Google Cloud, Azure

Read more

นำบัตรเครดิต MasterCard หมดอายุ มายืนยันตัวตนแบบปลอดภัยกว่า ด้วย Public-Private Key ในบัตร

By lew Founder on Tag: Security, Mastercard
Security

แนวทางการยืนยันตัวตนทุกวันนี้สำนักงานและสถานที่ต่างๆ มักใช้บัตร RFID เพื่อยืนยันตัวตนและใช้เข้าออกอาคารต่างๆ กันเป็นเรื่องปกติ แม้บัตรเหล่านี้จะมีความปลอดภัยมากขึ้นกว่าบัตร barcode หรือ QR ที่ไม่มีใครสามารถมองเห็นข้อมูลบนตัวบัตร แต่ในความเป็นจริงแล้วบัตรเหล่านี้มักเป็นการแสดงหมายเลขคงที่ให้กับเครื่องอ่านบัตรเท่านั้น หากคนร้ายรู้หมายเลขนี้ไปได้ไม่ว่าจะเป็นการแอบอ่านบัตรผู้อื่น หรือกระทั่งผู้ถือบัตรเองส่งอ่านข้อมูลในบัตรอย่างจงใจ ก็จะสำเนาบัตรได้โดยง่าย ไม่ว่าจะเป็นบัตร RFID แบบ 125 kHz ที่ได้รับความนิยมมานาน หรือบัตรแบบ NFC 13.56MHz ก็ตาม

Read more

Claude Mythos ค้นเจอช่องโหว่ 23,019 ตัว ตรวจสอบยืนยันพบอัตราความแม่นยำ 90%

By mk Founder on Tag: Claude, Anthropic, Security
Claude

Anthropic เผยความคืบหน้าของ Project Glasswing การนำโมเดล Claude Mythos ไปช่วยหาช่องโหว่ของซอฟต์แวร์โอเพนซอร์สต่างๆ จำนวนมากกว่า 1,000 โครงการ พบว่าค้นพบ "ว่าที่" ช่องโหว่ความปลอดภัย 23,019 ตัว ในจำนวนนี้มีประมาณ 6,202 ตัวที่ Mythos ประเมินความรุนแรงระดับ high หรือ critical

Anthropic ร่วมมือกับบริษัทความปลอดภัย 6 แห่ง กระจายกันตรวจสอบยืนยันว่าที่ช่องโหว่ 1,752 ตัว พบว่า 90.6% เป็นช่องโหว่จริงๆ และ 62.4% มีความรุนแรงระดับ high หรือ critical จริง (แปลว่าส่วนที่เหลือเป็นช่องโหว่จริง แต่ความรุนแรงอาจน้อยกว่าที่ Mythos ประเมิน)

Read more

GitHub โดนแฮ็กข้อมูลภายใน เพราะพนักงานติดตั้งส่วนขยาย VS Code ที่โดนวางยา

By mk Founder on Tag: GitHub, Visual Studio Code, Extension, Security, Hacking
GitHub

GitHub เปิดเผยว่าโดนเจาะ repository ที่ใช้งานภายในบริษัท โดยกลุ่มแฮ็กเกอร์อ้างว่าได้ข้อมูลไปประมาณ 3,800 repo

สาเหตุของการแฮ็กรอบนี้มาจากพนักงานของ GitHub รายหนึ่ง ติดตั้งส่วนขยายของ VS Code ชื่อว่า Nx Console ซึ่งตัว Nx Console เองก็โดนเจาะมาก่อนหน้าจาก กรณีแพ็กเกจ TanStack ในระบบ npm โดนเจาะ จึงถูกวางยา (poisoning) เอาไว้ให้ขโมยข้อมูลล็อกอินจากเครื่องของผู้ใช้ (สรุปคือเจาะกัน 3 ชั้นเป็น supply chain attack ต่อเนื่อง)

แก๊งแฮ็กเกอร์ TeamPCP ออกมาเคลมผลงานการเจาะครั้งนี้ และประกาศขายข้อมูลที่ขโมยออกมาได้ในเว็บบอร์ดใต้ดิน

Read more

Cloudflare ทดลอง Claude Mythos ระบุทำงานได้ระดับเดียวกับนักวิจัยซีเนียร์, ชี้อนาคตโลกไอทีแพตช์กันไม่ทัน

By lew Founder on Tag: Claude, Security, Cloudflare
Claude

Cloudflare รายงานถึงผลการทดสอบ Claude Mythos โมเดลปัญญาประดิษฐ์รุ่นสูงสุดของ Anthropic ที่เป็นข่าวจากการเปิดตัวด้วยการพบช่องโหว่ซอฟต์แวร์จำนวนมาก โดยพบว่าการทำงานเหนือกว่าโมเดลปัญญาประดิษฐ์อื่นๆ เพราะมีความสามารถวิเคราะห์ช่องโหว่ระดับต่ำๆ จำนวนมากว่าหากนำมาร้อยเข้าด้วยกันแล้วจะกลายเป็นการโจมตีระดับสูงได้ พร้อมความสามารถในการเขียนโปรแกรมทดสอบได้ในตัวว่าช่องโหว่ใช้เจาะได้จริงหรือไม่

Read more

Grafana Labs โดนแฮ็กบัญชี GitHub แฮ็กเกอร์ได้ซอร์สโค้ดมาเรียกค่าไถ่ แต่ไม่ยอมจ่าย

By mk Founder on Tag: Grafana, Hacking, Security
Grafana

Grafana Labs บริษัทผู้พัฒนาซอฟต์แวร์ Grafana ออกมายอมรับว่าโดนแฮ็กบัญชี GitHub และแฮ็กเกอร์อ้างว่าขโมยซอร์สโค้ดของบริษัทไปได้ทั้งหมด พร้อมเรียกค่าไถ่แลกกับการไม่ต้องเปิดเผยซอร์สโค้ดเหล่านี้ แต่ Grafana Labs ยืนยันว่าจะไม่จ่าย

Grafana Labs อธิบายว่าการแฮ็กครั้งนี้เกิดจาก credential หลุดออกไป แต่ไม่ได้บอกรายละเอียด ตอนนี้บริษัทได้อุดช่องโหว่เหล่านี้เรียบร้อยแล้ว และยืนยันว่าไม่มีข้อมูลของลูกค้า หรือข้อมูลส่วนบุคคลหลุดออกไปด้วย

Read more

Android เพิ่มฟีเจอร์ล็อคเครื่อง 2 ชั้นจากระยะไกล โจรต้องใช้ทั้ง PIN และ Biometric ปลดล็อค

By mk Founder on Tag: Android, Find Hub, Google, Security, Android 17
Android

Android มีฟีเจอร์ช่วยป้องกันการโจรกรรมเครื่อง หรือ Theft Protection มาตั้งแต่ปี 2024 และ ขยาย เพิ่มเติม อยู่เรื่อยๆ

ล่าสุดกูเกิลขยายฟีเจอร์สั่งล็อคเครื่องที่ถูกขโมยจากระยะไกล ให้โจรต้องปลดล็อคเครื่อง 2 ชั้นคือ password/PIN กับ biometric เรียกว่าต่อให้โจรได้เครื่องเราไป ได้รหัสเข้าเครื่องไป ก็จะไม่สามารถปลดล็อคเครื่อง หรือปิดเครื่องได้

Read more

Android 17 เพิ่มฟีเจอร์ตรวจสอบได้ว่า Build ของ OS เป็นของจริงจากกูเกิลหรือไม่

By mk Founder on Tag: Android 17, Operating System, Android, Google, Security
Android 17

กูเกิลประกาศฟีเจอร์ใหม่ด้านความปลอดภัยของ Android 17 เรียกว่า Android OS verification เป็นการตรวจสอบว่าตัว build ของระบบปฏิบัติการเป็น build ที่น่าเชื่อถือหรือไม่ เพื่อป้องกันการโดนยัดไส้ OS เวอร์ชันดัดแปลงที่แอบใส่ช่องโหว่หรือมัลแวร์

กูเกิลบอกว่าเริ่มเจอปัญหาการแจกจ่ายไฟล์ Android OS แบบไม่เป็นทางการ แล้วยัดไส้ช่องโหว่มาด้วย โดยไม่ให้ผู้ใช้รู้ จึงพัฒนาฟีเจอร์นี้ขึ้นมาเพื่อให้ผู้ใช้ตรวจสอบได้ว่า build นั้นถูกต้อง ฟีเจอร์นี้จะเริ่มใช้กับอุปกรณ์ตระกูล Pixel ก่อน

Read more

สิงคโปร์สั่งหน่วยงานรัฐ ห้ามติดตั้ง OpenClaw ในเครื่องสำคัญ, ตรวจคำสั่งก่อนปล่อยรัน, แยกเครื่องรันเพื่อความปลอดภัย

By lew Founder on Tag: Singapore, OpenClaw, Security
Singapore

Infocomm Media Development Authority (IMDA) หน่วยงานกำกับโทรคมนาคมสิงคโปร์ภายใต้กระทรวงดิจิทัล ออกประกาศแนวทางการติดตั้งและใช้งาน OpenClaw ในหน่วยงานรัฐ โดยประกาศนี้ไม่ใช่กฎใหม่โดยตรง แต่เป็นการขยายความกรอบการใช้งาน Agentic AI ในหน่วยงานรัฐที่ประกาศออกมาก่อนหน้านี้แล้ว

ประกาศนี้ยอมรับว่า OpenClaw มีประโยชน์อย่างมากเพราะช่วยทำงานต่างๆ โดยอัตโนมัติ แต่ก็มีความเสี่ยงจำนวนมาก เช่น แนวทางการพัฒนาเน้นความเร็วโดยไม่มีการตรวจสอบความปลอดภัย, การควบคุมยังไม่ดีนัก ไม่สามารถกำหนดสิทธิ์อย่างละเอียด, การแจกจ่าย skill ทำได้ง่าย ไม่มีการตรวจสอบที่ดีพอว่า skill ใดมุ่งร้าย

Read more

Android เพิ่มฟีเจอร์ป้องกันสแกมเมอร์ เช็คกับแอพธนาคารว่าโทรมาจริงหรือไม่ ตัดสายทิ้งทันที

By mk Founder on Tag: Android, Fraud, Scam, Security
Android

กูเกิลประกาศฟีเจอร์ใหม่ Android สู้สงครามสแกมเมอร์ ที่โทรมาหลอกลวงคนว่ามาจากธนาคารหรือสถาบันการเงิน

เมื่อเราได้รับโทรศัพท์ที่ดูเหมือนมาจากธนาคารหรือสถาบันการเงิน ระหว่างนั้น Android จะตรวจสอบกับแอพธนาคารที่เป็นพาร์ทเนอร์กันว่าโทรมาจริงหรือไม่ ถ้าแอพยืนยันว่าไม่ได้โทรหาลูกค้า ระบบปฏิบัติการจะตัดสายทิ้งให้ทันที พร้อมข้อความแจ้งว่าน่าจะเป็นสแกม

นอกจากนี้ ธนาคารอาจยังมีเบอร์โทรที่ใช้รับสายเข้าเท่านั้น จะไม่มีวันใช้โทรออกไปหาลูกค้า ดังนั้นถ้ามีสายเข้าจากเบอร์เหล่านี้จะถูก Android บล็อคทิ้งเช่นกัน

Read more

แพ็กเกจ npm และ PyPI หลายตัวถูกฝังมัลแวร์ Mini Shai-Hulud ผ่าน GitHub Actions

By mk Founder on Tag: Security, NPM, PyPy, Mistral, UiPath, OpenSearch, Hacking, GitHub
Security

บริษัทความปลอดภัย Socket ประกาศตรวจพบว่าแพ็กเกจซอฟต์แวร์ชื่อดังหลายตัวในระบบ npm และ PyPI โดนฝัง มัลแวร์กลุ่ม Mini Shai-Hulud ที่เคยอาละวาดช่วงปลายปี 2025 (ตั้งชื่อตามหนอนยักษ์ในเรื่อง Dune) และก่อนหน้านี้เพิ่งเคยเจาะแพ็กเกจ npm ตัวอื่นคือ SAP, Intercom กับแพ็กเกจ PyPI lightning เมื่อช่วงปลายเดือนเมษายน 2026

แพ็กเกจที่พบมัลแวร์ เป็นซอฟต์แวร์จากหลายบริษัท ดังนี้

Read more

ผู้สร้าง curl ระบุ Claude Mythos ดีกว่าโมเดลอื่นไม่มาก เจอเพียงช่องโหว่ระดับต่ำช่องเดียว

By lew Founder on Tag: Curl, Claude, Security
Curl

หลัง Anthropic เปิดตัว Claude Mythos โมเดลปัญญาประดิษฐ์ขนาดใหญ่ (และสุดแพง) โดยโชว์ความสามารถในการหาช่องโหว่ซอฟต์แวร์ วันนี้ Daniel Stenberg ผู้สร้าง curl ก็ออกมาเล่าประสบการณ์ที่ได้ร่วมโครงการทดสอบ Mythos

Read more

DigiCert ถูกแฮกหลังลืมติดตั้ง EDR จนคนร้ายเจาะทะลุเครื่องซัพพอร์ต วางมัลแวร์สำเร็จ

By lew Founder on Tag: Security, Digital Certificate
Security

DigiCert ผู้ให้บริการออกใบรับรองเข้ารหัสรายงานเหตุหลังจากมีการแจ้งจากลูกค้าว่ามีใบรับรองสำหรับการเซ็นรับรองโค้ดถูกออกในชื่อขององค์กรต่างๆ จำนวน 60 รายการโดยไม่ได้รับอนุญาต ผลการตรวจสอบพบว่าเครื่องซัพพอร์ตถูกแฮก

Read more

ช่องโหว่ Copy.Fail เปิดทางผู้ใช้ลินุกซ์ยกสิทธิ์เป็น root ได้โดยง่าย กระทบลินุกซ์จำนวนมาก

By lew Founder on Tag: Linux, Security
Linux

Xint Code บริการสแกนโค้ดด้วยปัญญาประดิษฐ์ รายงานช่องโหว่ Copy.Fail หรือ CVE-2026-31431 เป็นช่องโหว่ยกระดับสิทธิ์ นั่นคือผู้ใช้ที่เข้าถึงลินุกซ์ได้สามารถยกสิทธิ์ตัวเองเป็น root ได้โดยง่าย

ช่องโหว่ local privilege escalation (LPE) จะได้รับผลกระทบหากคนร้ายสามารถเข้าถึงระบบในบางระดับอยู่ก่อนแล้ว ทำให้กลุ่มที่ได้รับผลกระทบ เช่น เซิร์ฟเวอร์ที่รันบริการนอกสิทธิ์ root อยู่แล้ว หากคนร้ายเจาะตัวบริการได้ก็จะเข้าถึง root ได้ทันที หรือบริการรูปแบบอื่น เช่น continuous integration อย่าง GitHub Actions หรือ GitLab ที่ต้องรับโค้ดจากผู้ใช้จำนวนมากมารันบนเซิร์ฟเวอร์

Read more

Firefox 150 แก้ไขช่องโหว่ความปลอดภัยถึง 271 รายการ เพราะการตรวจสอบด้วย Claude Mythos

By arjin Writer on Tag: Firefox, Mozilla, Security, Claude
Firefox

Mozilla เปิดเผยว่าหลังความร่วมมือกับ Anthropic ในการใช้งาน Claude Mythos เพื่อสแกนหาช่องโหว่ของ Firefox ทำให้อัปเดตล่าสุด Firefox 150 มีการแก้ไขช่องโหว่ความปลอดภัยมากถึง 271 รายการ ซึ่งทั้งหมดถูกตรวจสอบยืนยันแล้ว

Mozilla บอกว่าความสามารถของ Mythos ทำให้ทีมต้องปรับวิธีการทำงาน เพราะเหมือนมีการรายงานช่องโหว่ความปลอดภัยระดับร้ายแรงจำนวนมากพร้อมกัน ที่ผ่านมาแนวทางของ Firefox คือการออกแบบการทำงานเชิงลึก เพื่อทำให้การโจมตีช่องโหว่ทำได้ยากและไม่คุ้มที่จะทำ ซึ่งกระบวนการนี้เมื่อต้องการหาช่องโหว่จริง ๆ ด้วยคนจะซับซ้อนมาก ซึ่ง Mythos มีความสามารถค้นเจอช่องโหว่เหล่านี้

Read more

Vercel ถูกแฮกผ่านระบบซัพพอร์ต คนร้ายขโมยรหัสผ่านลูกค้าได้บางส่วน

By lew Founder on Tag: Vercel, Security, Cloud
Vercel

Vercel ผู้สร้างเฟรมเวิร์ค Next.js รายงานว่าบริษัทถูกแฮกหลังจากคนร้ายเจาะระบบซัพพอร์ตลูกค้า Context.ai ที่ทาง Vercel ใช้งานอยู่ ส่งผลต่อเนื่องให้คนร้ายเข้ายึดบัญชี Google Workspace และเข้าถึงระบบของ Vercel ได้ในที่สุด

รายงานระบุว่าคนร้ายมีความสามารถสูงที่เข้าใจสถาปัตยกรรมระบบของ Vercel และยังเจาะระบบได้อย่างรวดเร็ว แต่ตอนนี้ยังเชื่อว่าคนร้ายอ่านข้อมูลระดับ sensitive ไม่ได้

ตอนนี้ทาง Vercel กำลังติดต่อลูกค้าที่คนร้ายเข้าถึงระบบได้ และแนะนำให้ลูกค้าเหล่านั้นเปลี่ยนกุญแจ API ต่างๆ เสีย และกำลังตรวจสอบว่ามีการนำข้อมูลออกจากระบบหรือไม่

Read more

นักวิจัยสาธิตขโมยเงิน MKBHD ทีเดียว 10,000 ดอลลาร์ ผ่าน Apple Pay ผ่านบัตรวีซ่าด้วยช่องโหว่เก่า 5 ปี, วีซ่าระบุหากลูกค้าถูกโจมตีสามารถขอเงินคืนภายหลังได้

By lew Founder on Tag: Visa, Security, Apple Pay
Visa

ทีมวิจัยจากมหาวิทยาลัย Surrey และมหาวิทยาลัย Birmingham สาธิตขโมยเงิน 10,000 ดอลลาร์จาก MKBHD ยูทูบเบอร์ชื่อดัง ผ่านช่อง Veritasium ช่องสารคดีบนยูทูบที่มีผู้ติดตามกว่า 20 ล้านคน โดยทีมวิจัยสามารถสั่งจ่ายเงินผ่าน Apple Pay ที่ล็อกหน้าจอโทรศัพท์อยู่ และโทรศัพท์อนุมัติการจ่ายเงิน 10,000 ดอลลาร์โดยไม่ขอคำยืนยันจากผู้ใช้โทรศัพท์แต่อย่างใด

Read more

เธอมีฉันก็มี - OpenAI เปิดตัว GPT-5.4-Cyber โมเดล AI สำหรับค้นหาช่องโหว่ความปลอดภัย

By arjin Writer on Tag: OpenAI, Artificial Intelligence, Cybersecurity, ChatGPT, Security
OpenAI

OpenAI เปิดตัว GPT-5.4-Cyber โมเดลปัญญาประดิษฐ์สำหรับค้นหาช่องโหว่ความปลอดภัยในซอฟต์แวร์เหมือน Claude Mythos ตามที่บริษัทเคยบอกก่อนหน้านี้

การเผยแพร่โมเดล GPT-5.4-Cyber นี้ ทำแบบเดียวกับ Mythos คือเผยแพร่ในวงจำกัดเท่านั้น แต่แตกต่างในรายละเอียด โดย OpenAI ร่วมมือกับองค์กรหน่วยงานต่าง ๆ ตอนนี้หลายร้อยแห่ง และมีแผนขยายไปยังพันธมิตรอื่นเพิ่มเติมในหลักพันภายในไม่กี่สัปดาห์ข้างหน้า บนแนวคิดให้ความเท่าเทียมกันในการเข้าถึง มีระบบที่ช่วยตัดสินใจว่าใครควรมีสิทธิเข้าถึงโมเดลเหล่านี้ผ่านโครงการ Trusted Access for Cyber

Read more
Subscribe to Security