องค์กรยังคงปล่อยโค้ด AI ที่เต็มไปด้วยช่องโหว่สู่การผลิต

การสำรวจของบริษัทด้านความปลอดภัยซอฟต์แวร์ Checkmarx เผยให้เห็นว่า แม้โค้ดที่สร้างด้วย AI จะเต็มไปด้วยช่องโหว่ด้านความปลอดภัย แต่หลายองค์กรยังคงปล่อยโค้ดเหล่านี้สู่การผลิตโดยไม่มีการตรวจสอบที่เพียงพอ รายงานดังกล่าวอ้างอิงผลสำรวจจากผู้บริหารด้านความปลอดภัย 2,350 รายใน 14 ประเทศ ซึ่งแสดงให้เห็นถึงช่องว่างระหว่างความเชื่อมั่นขององค์กรกับความเสี่ยงที่แท้จริงในยุค AI‑agentic

Overview

การสำรวจของ Checkmarx มุ่งเน้นที่ระดับการใช้โค้ดที่สร้างโดย AI ในกระบวนการพัฒนาซอฟต์แวร์ ความเป็นจริงคือ เกือบครึ่งหนึ่งของโค้ดที่อยู่ในสภาพแวดล้อมการผลิต มีต้นกำเนิดจาก AI ทั้งนี้ยังพบว่ามากกว่าครึ่งหนึ่งของฐานโค้ดขององค์กรประกอบด้วยส่วนประกอบแบบ open‑source ที่อาจเพิ่มความซับซ้อนของการจัดการความเสี่ยงได้ ผู้ตอบแบบสอบถามส่วนใหญ่เป็นผู้รับผิดชอบด้านความปลอดภัย (CISOs) ผู้จัดการ AppSec และนักพัฒนาซอฟต์แวร์

Key Findings

ผลสำรวจเปิดเผยหลายตัวเลขที่น่ากังวล ได้แก่

• 81 % – 100 % ของโค้ดที่สร้างด้วย AI ส่งผลให้พบช่องโหว่บ่อยกว่า 3.4 เท่า เมื่อเทียบกับองค์กรที่ใช้ AI ไม่เกิน 20 % ของโค้ด
• **70 % ของนักพัฒนากล่าวว่าโค้ดที่สร้างโดย AI ทำให้เกิดช่องโหว่ในปีถัดไป
• **93 % ขององค์กรที่สำรวจเคยประสบการละเมิดความปลอดภัยโดยตรงจากแอปพลิเคชันที่พัฒนาขึ้นภายในบริษัท

นอกจากนี้ 75 % ขององค์กรยอมรับว่าตนเองปล่อยโค้ดที่มีช่องโหว่โดยตระหนักเต็มที่ เนื่องจากแรงกดดันด้านผลตอบแทนการลงทุน (ROI) และ 30 % ของผู้ตอบยอมรับว่าพวกเขาปล่อยโค้ดที่อาจถูกโจมตีโดยหวังว่าจะไม่ถูกค้นพบ

Risks & Challenges

แม้ว่าจะมีเครื่องมือวิเคราะห์ความปลอดภัยหลายประเภทที่พร้อมใช้งาน แต่รายงานชี้ให้เห็นว่าปัญหาหลักไม่ได้อยู่ที่การตรวจจับแต่เป็น การตัดสินใจของมนุษย์ ที่เลือกปล่อยโค้ดต่อไป การทำงานของทีม AppSec จึงมักอยู่ในโหมดตอบสนองต่อเหตุการณ์ (reactive) แทนที่จะเป็นการป้องกันล่วงหน้า อีกทั้งนักพัฒนาสามารถทำการตรวจสอบความปลอดภัยต่อเนื่องได้เพียง **18 % ของเวลา แม้ว่าพวกเขาจะมีเครื่องมือความปลอดภัยครบครันแล้วก็ตาม

ปัญหาเพิ่มเติมคือ ความเชื่อมั่นเกินระดับ ขององค์กรที่มองตนเองเป็น “องค์กร AI ที่มีความพร้อมสูง” แต่จากข้อมูลพบว่า 42 % ขององค์กรดังกล่าวยังคงปล่อยโค้ดที่อ่อนแอที่สุดและอัตราการละเมิดความปลอดภัยไม่แตกต่างจากองค์กรทั่วไป การขาด AI governance อย่างเป็นระบบ (มีเพียง 22 % ขององค์กรที่มีการกำหนดแนวปฏิบัติอย่างเป็นทางการ) ทำให้กระบวนการตรวจสอบและการปฏิบัติตามข้อกำหนดยังคงอาศัยการตรวจสอบด้วยมือซึ่งช้าและอาจล้มเหลว

Industry Response

เมื่อ Anthropic เปิดตัวโมเดล Mythos ที่สามารถค้นพบช่องโหว่ได้เร็วกว่าเครื่องมือมนุษย์หลายสิบเท่าและตามมาด้วยโครงการ Project Glasswing ที่เผยช่องโหว่หลายพันรายการ รายงานของ Checkmarx แสดงให้เห็นว่าองค์กรเริ่มตระหนักถึงความเสี่ยงและเริ่มลงทุนใน DevSecOps, ระบบอัตโนมัติ, และการฝึกอบรมนักพัฒนาอย่างจริงจัง แม้ว่าการสำรวจจะทำก่อนที่ Mythos จะเปิดตัว แต่ข้อมูลระบุว่ามีการเปลี่ยนแปลงทิศทางอย่างชัดเจนจากการปฏิบัติแบบ “หลังจากเสร็จแล้วจึงตรวจสอบ” ไปสู่การบูรณาการความปลอดภัยตั้งแต่ขั้นตอนเขียนโค้ด

Recommendations

เพื่อรับมือกับความเสี่ยงที่เพิ่มขึ้น รายงานเสนอแนวทางหลายประการที่ควรดำเนินการโดยองค์กร

• บูรณาการความปลอดภัยเข้าไปในกระบวนการพัฒนา ตั้งแต่ IDE, pipeline จนถึงการใช้ AI‑assisted workflow
• ลดการกระจายของเครื่องมือ (tool sprawl) โดยกำหนดความเป็นเจ้าของและมาตรฐานการใช้เครื่องมือ AI ในทุกทีม
• สร้างระบบ AI governance ที่เป็นทางการและอัตโนมัติ ลดขั้นตอนการตรวจสอบด้วยมือและการอนุมัติของมนุษย์ในแต่ละขั้นตอน
• ใช้ AI เพื่อสกัด AI โดยให้ระบบอัตโนมัติจัดลำดับความเสี่ยงและทำการแก้ไขโดยตรงโดยไม่ต้องรอการยืนยันจากผู้ใช้

การทำตามแนวทางเหล่านี้จะช่วยให้ความเร็วในการพัฒนาไม่ถูกขัดจังหวะโดยความเสี่ยงที่ซ่อนอยู่ และทำให้การจัดการช่องโหว่เป็นกระบวนการต่อเนื่องที่มีประสิทธิภาพ

Impact

หากองค์กรยังคงปล่อยโค้ด AI‑generated ที่มีช่องโหว่ต่อสาธารณะต่อไป ความเสียหายจากการละเมิดข้อมูลและการโจมตีทางไซเบอร์อาจเพิ่มขึ้นอย่างต่อเนื่อง การขาดการกำกับดูแลที่ชัดเจนและการพึ่งพาเครื่องมือแบบเดิม ๆ จะทำให้ความเร็วของการสร้างซอฟต์แวร์เกินกว่าความเร็วของการตรวจสอบและแก้ไขช่องโหว่ ส่งผลให้วงจรความเสี่ยงขององค์กรยาวนานและค่าใช้จ่ายในการฟื้นฟูเพิ่มขึ้นอย่างมาก

Summary

รายงานของ Checkmarx เผยว่าการใช้โค้ดที่สร้างด้วย AI อย่างกว้างขวางทำให้ความเสี่ยงด้านความปลอดภัยเพิ่มขึ้นอย่างชัดเจน แม้องค์กรหลายแห่งจะรับรู้ถึงปัญหา แต่การปล่อยโค้ดที่อ่อนแอยังคงเป็นเรื่องปกติ การบูรณาการความปลอดภัยในทุกขั้นตอนของการพัฒนาและการสร้างระบบ AI governance อย่างเป็นทางการเป็นกุญแจสำคัญที่จะลดช่องโหว่และปกป้องทรัพย์สินดิจิทัลในยุค AI‑agentic.