แนวคิดเรื่อง “Shadow AI” หรือการใช้ AI โดยไม่ได้รับอนุมัติได้เปลี่ยนรูปแบบไปจากเดิม ซึ่งในอดีตหมายถึงเพียงการคัดลอกและวางข้อมูลลับเข้าไปใน ChatGPT แต่ปัจจุบันได้ลุกลามกลายเป็นการที่พนักงานสร้างแอปพลิเคชันอย่างเต็มรูปแบบด้วย AI ที่เรียกว่า “Vibe-Coded Apps” นำมาเชื่อมต่อกับระบบหลัก (Production Systems) ขององค์กร และเผยแพร่บนอินเทอร์เน็ต โดยที่ทีมไอทีหรือความปลอดภัยไม่มีส่วนร่วมหรือทราบเรื่องแม้แต่น้อย

ผลการวิจัยในรายงาน “The Shadow Builders” ได้ทำการวิเคราะห์แอปพลิเคชันกว่า 2,000 รายการที่ถูกเปิดเผยและเข้าถึงได้จากภายนอก พบว่าสิ่งเหล่านี้คือผลงานจากการที่พนักงานใช้พลังของ AI ในการเขียนโค้ดด้วยความรู้สึก (Vibe Coding) จนกลายเป็นผลิตภัณฑ์จริง สิ่งที่น่ากังวลคือพื้นที่เสี่ยง (Risk Surface) ขององค์กรได้ขยายตัวอย่างมหาศาลจากเพียงข้อความพร้อมท์ กลายเป็นซอฟต์แวร์ที่ทำงานจริงและเชื่อมโยงกับข้อมูลสำคัญของบริษัท

การค้นพบครั้งนี้เป็นเครื่องพิสูจน์ว่าชุดเครื่องมือรักษาความปลอดภัย (Security Stacks) แบบดั้งเดิมที่องค์กรต่างๆ ใช้อยู่นั้น ไม่สามารถตอบสนองหรือตรวจจับภัยคุกคามรูปแบบใหม่นี้ได้ จึงเป็นสัญญาณเตือนถึงความจำเป็นในการปรับเปลี่ยนแนวทางการดูแลความปลอดภัย เพื่อให้สามารถควบคุมและตรวจสอบการพัฒนาซอฟต์แวร์ผ่าน AI ที่เกิดขึ้นนอกกรอบของแผนกไอที

คำศัพท์เทคนิคที่น่าสนใจ

• Shadow AI – การใช้ปัญญาประดิษฐ์โดยพนักงานโดยไม่ได้รับอนุญาตหรือควบคุมโดยทีมไอทีและความปลอดภัยขององค์กร
• Vibe-Coded Apps – แอปพลิเคชันที่สร้างขึ้นจากการสั่งงาน AI เพื่อเขียนโค้ดตามความรู้สึกหรือความต้องการเบื้องต้น โดยไม่มีกระบวนการพัฒนาซอฟต์แวร์มาตรฐาน
• Security Stack – ชุดเครื่องมือและเทคโนโลยีด้านความปลอดภัยที่องค์กรนำมาซ้อนกันใช้งานเพื่อป้องกันและตรวจจับภัยคุกคามต่างๆ
• Production Systems – ระบบคอมพิวเตอร์และโครงสร้างพื้นฐานที่ใช้งานจริงในองค์กรเพื่อให้บริการแก่ผู้ใช้งานปลายทาง

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/what-2000-exposed-vibe-coded-apps.html