ระวัง อาจมีคนช่วยใช้ AI ที่คุณจ่ายเงิน

[humandroy]

บริษัทรักษาความปลอดภัยไซเบอร์ Aikido Security ได้ตรวจพบแคมเปญมัลแวร์แบบร่วมมือกัน (Coordinated Malware Campaign) บน JetBrains Marketplace โดยมีปลั๊กอิน (Plugins) สำหรับ IDE อย่างน้อย 15 ตัว ที่แฝงโค้ดอันตรายเพื่อขโมย API Key สำหรับบริการ AI ของผู้พัฒนาโปรแกรม (เช่น OpenAI, DeepSeek, และ SiliconFlow) ปลั๊กอินเหล่านี้มียอดดาวน์โหลดรวมกันแล้วเกือบ 70,000 ครั้ง

? รูปแบบการหลอกลวงและทำงานของมัลแวร์
ปลอมตัวเป็นเครื่องมือช่วยเขียนโค้ด: ปลั๊กอินทั้งหมดจะแอบอ้างว่าเป็นเครื่องมือ AI Coding Assistant (เช่น ช่วยเขียนแชท, ตรวจสอบโค้ด, สร้างข้อความ Commit, หาบั๊ก หรือช่วยเขียน Unit Test)

ทำงานได้จริงตามคำคุย: จุดที่น่ากลัวคือปลั๊กอินเหล่านี้ทำงานได้จริงตามที่โฆษณาไว้ ทำให้ผู้ใช้งานไม่เอะใจ

แอบขโมยข้อมูลในเบื้องหลัง: ทันทีที่ผู้พัฒนากดวาง API Key ในหน้าตั้งค่า (Settings) และกด 'Apply' ตัวปลั๊กอินจะส่งคีย์นั้นออกไปยังเซิร์ฟเวอร์ของผู้โจมตี (ผ่าน HTTP ที่ไม่ได้เข้ารหัสและส่งเป็นข้อความธรรมดา) โดยไม่มีการแจ้งเตือนหรือขอความยินยอมใด ๆ

? โมเดลธุรกิจสุดแปลก: "ขโมยมาเพื่อเอาไปขายต่อ"
ความน่าสนใจของการโจมตีครั้งนี้คือ ตัวปลั๊กอินมีระบบ Paid Tier (แบบเสียเงินค่าธรรมเนียมเล็กน้อย) ซึ่งเมื่อผู้ใช้ยอมจ่ายเงินผ่านระบบบริจาค (Donation Wall) ในปลั๊กอิน เซิร์ฟเวอร์ของคนร้ายจะส่ง API คีย์กลับมาให้ผู้ใช้รายนั้นนำไปสลับใช้ฟรี

นักวิจัยคาดเดาว่า คนร้ายใช้วิธีการ "หมุนเวียนคีย์" นั่นคือขโมย API Key จากเหยื่อกลุ่มแรก แล้วเอาคีย์เหล่านั้นมาปล่อยให้กลุ่มผู้ใช้ที่ยอมจ่ายเงินเอาไปใช้เปิดระบบ AI ทำให้คนร้ายได้ทั้งเงินค่าธรรมเนียมและคีย์ฟรี ส่วนเจ้าของคีย์ตัวจริงกลับต้องเป็นคนแบกรับค่าใช้จ่ายทั้งหมด (Bill) ที่เกิดขึ้น

⚠️ คำแนะนำสำหรับนักพัฒนา
ตรวจสอบและลบปลั๊กอิน: ให้รีบตรวจสอบปลั๊กอินสาย AI ที่ติดตั้งในช่วงตั้งแต่ปลายเดือนตุลาคม 2025 จนถึงมิถุนายน 2026 โดยเฉพาะปลั๊กอินที่มีชื่อแนว ๆ CodeGPT AI Assistant หรือ DeepSeek AI Assist

เปลี่ยน API Key ทันที: หากเคยติดตั้งหรือใช้งานปลั๊กอินกลุ่มนี้ ให้ทำการ Revoke (ยกเลิก) และสร้าง API Key ของ OpenAI, DeepSeek หรือ SiliconFlow ใหม่ทันที

ระมัดระวังสิ่งแปลกปลอม: แม้ว่าระบบของ JetBrains จะมีกระบวนการตรวจสอบ (Manual Review) ก่อนนำปลั๊กอินขึ้น Marketplace แต่แคมเปญนี้พิสูจน์ให้เห็นว่าโค้ดสอดไส้ขนาดเล็กยังคงสามารถหลุดรอดการตรวจสอบไปได้

• Tweet

[sariora123]

ผมก็บอกแล้วว่า คุณเขียนโปรแกรม แต่ อ่านโค๊ดไม้เป็น ไม่รู้โครงสร้าง


แล้วจะตรวจสอบแก้ไข เวลาเจอปัญหายังไง

[wanit000]

ยุคซีเนียร ประสบการ์ณสูงครองโลก พวกเด็กจบใหม่ แพ้ AI ทุกราย เพราะเเก้ปัญหาไม่ได้นี้เเหละ มันต้องใช้ประสบการ์ณ อนาคตไม่รับเด็กใหม่ พอไม่มีเด็กใหม่ ซีเนียรก้อไม่เกิด ต้องไปรื้อระบบการศึกษา ไม่ต้องเรียนให้เขียนเป็น แต่ต้องเรียนให้จบมาเป็นซีเนียรได้ อ่านโค๊ดเป็น แก้ปัญหาเป็น เขียนไม่เป็นช่างมัน 

[humandroy]

ยุคซีเนียร ประสบการ์ณสูงครองโลก พวกเด็กจบใหม่ แพ้ AI ทุกราย เพราะเเก้ปัญหาไม่ได้นี้เเหละ มันต้องใช้ประสบการ์ณ อนาคตไม่รับเด็กใหม่ พอไม่มีเด็กใหม่ ซีเนียรก้อไม่เกิด ต้องไปรื้อระบบการศึกษา ไม่ต้องเรียนให้เขียนเป็น แต่ต้องเรียนให้จบมาเป็นซีเนียรได้ อ่านโค๊ดเป็น แก้ปัญหาเป็น เขียนไม่เป็นช่างมัน 

เหอๆๆ แค่ฟังก็ปวดหัวแล้ว ไม่ต้องเขียนเป็น แต่ต้องแกะโค้ดได้ แล้ววิเคราะห์ถูกเนี่ยะนะ เหอๆๆ

[KAGUYA]

ยุคซีเนียร ประสบการ์ณสูงครองโลก พวกเด็กจบใหม่ แพ้ AI ทุกราย เพราะเเก้ปัญหาไม่ได้นี้เเหละ มันต้องใช้ประสบการ์ณ อนาคตไม่รับเด็กใหม่ พอไม่มีเด็กใหม่ ซีเนียรก้อไม่เกิด ต้องไปรื้อระบบการศึกษา ไม่ต้องเรียนให้เขียนเป็น แต่ต้องเรียนให้จบมาเป็นซีเนียรได้ อ่านโค๊ดเป็น แก้ปัญหาเป็น เขียนไม่เป็นช่างมัน 

เป็นยุคที่ไม่เหมาะกับตาแก่อย่างผมที่สุดเลย

[humandroy]

ผมเคยเอาโค้ดที่ผมเขียน ไปให้ น้องจิ๊มิ๊9 อ่านนะ
คือมันจิเคราะห์แต่ส่วนที่มันเข้าใจนะ แล้วจะข้ามส่วนที่ไม่เข้าใจหรือไม่เคยเห็นแบบเนียนๆ 555
คนที่เขียนเป็นอ่านเจอโค้ดที่ไม่เคยเห็น ยังค่อยๆแกะได้
แต่ตนเขียนไม่เป้นแล้ว AI มันข้ามเนียนๆ 555