นักเthreat ที่ยังไม่ระบุตัวตนถูกพบว่าใช้ Large Language Model (LLM) Agent ในการดำเนินกิจกรรมหลังจากบุกรุกระบบเรียบร้อยแล้ว (Post-Exploitation) โดยพวกเขาเริ่มต้นจากการใช้ช่องโหว่ CVE-2026-39987 ที่เพิ่งถูกเปิดเผยเพื่อเจาะเข้าไปยังเซิร์ฟเวอร์ Marimo Notebook ที่เชื่อมต่อกับอินเทอร์เน็ต

การใช้ LLM Agent ในขั้นตอนนี้ถือเป็นจุดเด่นที่แสดงให้เห็นถึงวิวัฒนาการของเทคนิคของผู้โจมตี โดย Agent ดังกล่าวถูกนำมาใช้ช่วยในการวิเคราะห์ระบบ ค้นหาข้อมูลสำคัญ และดำเนินการต่างๆ บนเซิร์ฟเวอร์ที่ถูกบุกรุกแบบอัตโนมัติ ซึ่งแตกต่างจากการโจมตีแบบดั้งเดิมที่ผู้โจมตีต้องใช้เวลาและความพยายามในการสั่งการด้วยตนเอง ทำให้การโจมตีมีความรวดเร็วและซับซ้อนมากยิ่งขึ้น

จากเหตุการณ์นี้ ผู้โจมตีสามารถดึงข้อมูล Cloud Credentials ที่สำคัญจากภายในระบบที่ถูกบุกรุกออกไปได้ ซึ่งอาจนำไปสู่การเข้าถึงทรัพยากรบนคลาวด์เพิ่มเติมและก่อให้เกิดความเสียหายที่กว้างขวางยิ่งขึ้น กรณีนี้จึงเป็นอีกหนึ่งตัวอย่างที่ยืนยันว่า AI ถูกนำมาใช้เป็นอาวุธทางไซเบอร์อย่างจริงจัง และองค์กรต้องเร่งปรับปรุงมาตรการรักษาความปลอดภัยให้ทันกับภัยคุกคามรูปแบบใหม่นี้

คำศัพท์เทคนิคที่น่าสนใจ

• LLM Agent – เอเจนต์ที่พัฒนาจากโมเดลภาษาขนาดใหญ่ ซึ่งสามารถตัดสินใจและดำเนินการทางคอมพิวเตอร์ได้ด้วยตนเอง
• Post-Exploitation – ขั้นตอนหลังการเจาะระบบเรียบร้อยแล้ว โดยผู้โจมตีจะทำการรักษาสิทธิ์การเข้าถึง รวบรวมข้อมูล หรือเคลื่อนย้ายไปยังระบบอื่น
• CVE (Common Vulnerabilities and Exposures) – ระบบการตั้งชื่อมาตรฐานสำหรับช่องโหว่ด้านความปลอดภัยที่ถูกเปิดเผยต่อสาธารณะ
• Cloud Credentials – ข้อมูลรับรองความถูกต้อง เช่น รหัสผ่าน กุญแจ API หรือ Token ที่ใช้ในการยืนยันตัวตนเพื่อเข้าถึงบริการคลาวด์

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/attackers-use-llm-agent-for-post.html