Phantom Pulse ใช้ knowledge vault เป็นทางเข้า — AI workflow ต้องระวัง plugin มากขึ้น

Phantom Pulse เป็นเคสโจมตีที่ใช้ knowledge vault เป็นส่วนหนึ่งของ delivery chain เป้าหมายคือกลุ่ม finance และ crypto โดยผู้โจมตีเริ่มจากการปลอมตัวเป็น VC จากนั้นพาเหยื่อไปคุยต่อ แล้วแชร์ vault ที่ดูเหมือนเอกสารทำงานปกติ

จุดอันตรายอยู่ที่ community plugin และการ sync plugin เมื่อเหยื่อเปิดใช้งาน plugin ที่ฝังมา มันสามารถรัน shell command ได้ ฝั่ง Windows มี chain ที่ดาวน์โหลด loader ปลอมเป็นเครื่องมือ sync แล้วโหลด payload ใน memory

สิ่งนี้ทำให้ note app, vault, plugin และ sync กลายเป็นพื้นที่เสี่ยง ไม่ใช่แค่ที่เก็บ markdown ธรรมดาอีกต่อไป

หลายทีมเริ่มใช้ knowledge vault เป็นสมองของ AI workflow เช่นให้ agent อ่านเอกสาร project, policy, meeting note หรือ technical spec เพื่อช่วยตอบและลงมือทำงาน ถ้า vault มี plugin แปลกหรือไฟล์ที่ถูกเตรียมมาเพื่อโจมตี agent ความเสี่ยงจะเพิ่มขึ้น

ยิ่ง agent มีสิทธิ์อ่านไฟล์ รัน command หรือแก้ repo ได้ ความเสียหายจาก vault ที่ปน malware จะไม่ได้หยุดแค่ note app แต่ลามไปเครื่อง dev, credential, CI token หรือ repository ได้

ดังนั้นการใช้ AI กับ knowledge base ต้องไม่ใช่แค่ถามว่า context ครบไหม ต้องถามด้วยว่า context มาจากที่ไหน ใครแก้ได้ และ plugin ที่อยู่ใน workspace มีสิทธิ์ทำอะไรบ้าง

ฟันธง: เคสนี้ควรเอาไปเป็น security checklist ของทีมที่ใช้ AI กับเอกสารทันที เพราะมันชนกับนิสัยใหม่ของคนทำงานที่ชอบโยน knowledge base ทั้งก้อนให้ AI อ่าน

เริ่มง่าย ๆ คือแยก vault ภายนอกออกจาก vault บริษัท ห้าม sync plugin จากแหล่งที่ไม่รู้จัก และกำหนดว่า agent อ่านเอกสารได้แต่รัน command ไม่ได้จนกว่าคนจะอนุมัติ

AI ทำงานเก่งขึ้นเมื่อมี context ดี แต่ context ที่ดีต้องปลอดภัยด้วย Human Gate ในกรณีนี้คือคนที่ตรวจที่มา plugin และสิทธิ์ของ workspace ก่อนให้ AI หรือเครื่องมือใด ๆ แตะงานจริง