แนวคิดเรื่อง “Shadow AI” ในอดีตมักหมายถึงการที่พนักงานนำข้อมูลละเอียดอ่อนไปวางใน ChatGPT แต่ในปัจจุบันปัญหาได้ขยายตัวใหญ่ขึ้นอย่างมาก เมื่อพนักงานสามารถใช้ AI สร้างแอปพลิเคชันเต็มรูปแบบได้ด้วยตัวเอง (หรือที่เรียกว่า Vibe-Coded) และเชื่อมต่อเข้ากับระบบหลัก (Production Systems) ขององค์กร ก่อนนำเผยแพร่บนอินเทอร์เน็ตสาธารณะ โดยทั้งหมดนี้เกิดขึ้นโดยไม่มีทีมไอทีหรือทีมรักษาความปลอดภัยเข้ามาตรวจสอบเลยแม้แต่น้อย

รายงาน “The Shadow Builders” ได้ทำการวิเคราะห์แอปพลิเคชันจำนวน 2,000 แอปที่ถูกสร้างขึ้นจากพรอมต์ของ AI และเปิดเผยโค้ดออกสู่สาธารณะ ผลการวิเคราะห์เผยให้เห็นว่าอาร์ติแฟกต์ (Artifact) เหล่านี้ได้พัฒนาจากเพียงข้อความพรอมต์ธรรมดากลายเป็นซอฟต์แวร์ที่ใช้งานจริงได้ ซึ่งส่งผลให้พื้นที่เสี่ยง (Risk Surface) ขององค์กรได้ขยายตัวตามไปด้วยในอัตราที่น่าตกใจ

สิ่งที่น่ากังวลที่สุดคือการค้นพบนี้เป็นเครื่องพิสูจน์ว่าชุดเครื่องมือรักษาความปลอดภัย (Security Stacks) ที่องค์กรต่างๆ ใช้อยู่ในปัจจุบัน มีขีดจำกัดอย่างมากในการตรวจจับและป้องกันภัยคุกคามรูปแบบใหม่ที่เกิดจากพฤติกรรมการพัฒนาซอฟต์แวร์แบบกระจายอำนาจผ่าน AI ทำให้เกิดช่องโหว่ด้านความปลอดภัยที่แทบจะมองไม่เห็นจนกว่าจะเกิดความเสียหาย

คำศัพท์เทคนิคที่น่าสนใจ

• Vibe-Coded – การเขียนโค้ดแบบไร้โครงสร้างที่พึ่งพา AI เพื่อสร้างแอปพลิเคชันจากคำสั่งง่ายๆ โดยไม่มีการวางแผนด้านสถาปัตยกรรมหรือความปลอดภัย
• Shadow AI – การใช้เครื่องมือหรือพัฒนาแอปพลิเคชันด้วย AI โดยที่ทีมไอทีและทีมรักษาความปลอดภัยขององค์กรไม่ทราบหรือไม่ได้ให้การอนุมัติ
• Risk Surface – พื้นที่หรือจุดที่องค์กรอาจเผชิญกับภัยคุกคามทางไซเบอร์ ซึ่งจะขยายใหญ่ขึ้นเมื่อมีระบบใหม่ๆ เข้ามาเชื่อมต่อโดยไม่ได้รับการควบคุม
• Security Stacks – ชุดของเครื่องมือและเทคโนโลยีด้านความปลอดภัยที่องค์กรนำมาซ้อนกันใช้งานเพื่อป้องกัน ตรวจจับ และตอบสนองต่อภัยคุกคาม

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/what-2000-exposed-vibe-coded-apps.html