‘กรณ์’ ชี้ ‘TH-AI Passport’ เสี่ยงข้อมูลรั่วไหลสู่ ’มิจฉาชีพ‘ หลังคนไทยใช้ AI ‘ดูดวง’ อันดับหนึ่งของโลก สัดส่วนสูงถึง 3 ใน 4 ของผู้ใช้งาน AI ทั้งหมด ข้อมูลที่จะหลั่งไหลสู่ฐานข้อมูล ไม่ใช่เน้นวัตกรรม-การเพิ่ม Productivity ภาคธุรกิจ แต่เป็นข้อมูลส่วนบุคคลเชิงลึกที่ละเอียดอ่อน ใช้หลอกลวงเหยื่อ
เมื่อวันที่ 22 มิ.ย.69 นายกรณ์ จาติกวณิช รองหัวหน้าพรรคประชาธิปัตย์ ได้โพสต์ข้อความถึงกรณี TH-AI Passport โดยมีเนื้องหาว่า “ในขณะที่ประเทศพัฒนาแล้วอย่างเช่น Norway เขาเริ่มกังวลเรื่องการใช้ AI โดยผู้ใช้ขาดความเข้าใจ และมีมาตรการจำกัดการเข้าถึงและใช้งานในบางกรณี..
..แต่ภาครัฐของไทยเรากลับกำลังจะหว่านแจกสิทธิการใช้โดยไม่ระมัดระวังว่าอาจจะนำไปสู่ภัยอันตรายอะไร
การถกเถียงเรื่องนี้ในหลายอาทิตย์ที่ผ่านมาก็จะเน้นประเด็นดราม่า จนล่าสุดถึงกับมี DSI ออกมาแถลง
“ข้อมูลที่ไม่เป็นการกล่าวหา“ สส. พรรคฝ่ายค้านที่เป็นหนึ่งในผู้ที่ออกมาเปิดโปงนโยบายนี้
ข้อเท็จจริงเรื่องของ สส. ท่านนั้นเป็นอย่างไรเราคงต้องรอดู แต่หากจะบอกว่าการตั้งโต๊ะแถลงโดย DSI ไม่มีการเมืองเกี่ยงข้องคงมีน้อยคนที่เชื่อ
อย่างไรก็ตาม การตรวจสอบโครวการ AI Passport ยังคงต้องเดินหน้าอย่างเข้มข้นต่อไป
เพราะความเสี่ยงเรื่องนี้ไม่ใช่เพียงแค่เรื่องความคุ้มค่าหรือเรื่องกระบวนการจัดซื้อจัดจ้าง แต่ยังมีความเสี่ยงว่าโครงการนี้อาจจะเป็นประตูเชื่อมระหว่างประชาชน 5 ล้านคนกับกลุ่มมิจฉาชีพที่รอล้วงข้อมูลออกไปใช้ในการหลอกลวงเรา
นี่คือประเด็นความมั่นคงทางไซเบอร์ สิทธิการเป็นเจ้าของข้อมูลและอธิปไตยทางเทคโนโลยี หรือ AI Sovereignty
กระทรวงดีอีย้ำบ่อยครั้งว่าการให้สิทธิ์คนไทย 5 ล้านคนเข้าถึงระบบคือเป้าหมายหลักและเป็น KPI สำคัญ แต่หลักคิดในการผลักดันเทคโนโลยีระดับชาติ สิ่งสำคัญไม่ได้อยู่ที่การแจกสิทธิ์เพื่อให้คนกดรับพร่ำเพรื่อ แต่อยู่ที่ทำให้คนไทยใช้เป็นและมีภูมิคุ้มกันในการใช้งาน ไม่เช่นนั้นจะกลายเป็นผลักให้คนไทยรับความเสี่ยงมากกว่าการได้รับการสนับสนุนทางปัญญาและนวัตกรรม
เรามาดูตามจริงกันครับ ว่าที่ผ่านมาคนไทยใช้ AI ทำอะไร
ข้อมูลสถิติที่น่าสนใจและเป็นตลกร้ายคือ คนไทยใช้ AI ในการดูดวงเป็นอันดับหนึ่งของโลก และคิดเป็นสัดส่วนสูงถึง 3 ใน 4 ของผู้ใช้งานทั้งหมดในประเทศ!
เมื่อประชาชนที่ยังขาดความเข้าใจบวกกับความชอบเรื่องการดูดวง มองหน้าต่างแชท AI เป็นเหมือนร่างทรงดิจิทัลหรือเพื่อนปรับทุกข์ สิ่งที่จะหลั่งไหลเข้าสู่ฐานข้อมูลจึงไม่ใช่คำสั่งที่เน้นเรื่องนวัตกรรมหรือการเพิ่ม
Productivity ของภาคธุรกิจ แต่เป็นข้อมูลส่วนบุคคลเชิงลึกที่ละเอียดอ่อนมาก ไม่ว่าจะเป็นวันเดือนปีเกิด เวลาตกฟาก ความกังวล ปัญหาครอบครัว หรือแม้กระทั่งหนี้สินส่วนบุคคล ซึ่งข้อมูลประเภทนี้ไม่ควรหลุดเข้าไปในระบบอินเทอร์เน็ตตั้งแต่แรก
ข้อมูลพฤติกรรมเหล่านี้เปราะบางมาก หากระบบความปลอดภัยหละหลวมและรั่วไหลไปสู่มิจฉาชีพ ซึ่งปัญหาข้อมูลรั่วไหลของภาครัฐไทยก็เกิดขึ้นอย่างต่อเนื่องอยู่แล้วโดยไม่มีการดำเนินการแก้ไขที่เป็นกิจลักษณะ
ผมเกรงว่าหากแอปพลิเคชัน TH-AI Passport ที่สร้างด้วยความเร่งรีบ บีบกระบวนการให้ประมูลผ่านและทำระบบในเวลาเพียง 30 วัน สามารถเกิดปัญหารั่วไหลได้ และสิ่งที่มิจฉาชีพจะได้ไปรอบนี้ไม่ใช่แค่ชื่อหรือเบอร์โทรอีกต่อไป แต่คือประวัติการสนทนาและความลับในชีวิต แก๊งคอลเซ็นเตอร์จะสามารถอัปเกรดเครื่องมือไปสู่การทำ Hyper-Personalized AI Phishing โทรมาหลอกลวงโดยจี้ถูกจุดอ่อนทางจิตวิทยา ความเครียดเรื่องหนี้สิน หรือปัญหาครอบครัวที่คุณเคยพิมพ์คุยกับ AI ได้อย่างแม่นยำ ซึ่งเป็นเรื่องที่น่ากังวลอย่างยิ่ง
แม้กระทรวงดีอีจะพยายามชี้แจงว่าข้อมูลปลอดภัยเพราะตั้งอยู่ในเซิร์ฟเวอร์ไทย แต่ถ้าดูหลักโครงสร้างแล้ว ข้อมูลคำสั่งหรือ Prompt ทั้งหมดต้องถูกยิงผ่าน API ออกไปประมวลผลที่ในต่างประเทศอยู่ดี และข้อชี้แจงของภาครัฐใน TOR ก็ยังมีความย้อนแย้งไม่มีความชัดเจนว่าใครจะเป็นผู้บริหารจัดการคลังข้อมูลพฤติกรรมศาสตร์ขนาดใหญ่ หรือ Behavioral Big Data นี้ ซึ่งสุดท้ายแล้วสิทธิ์มักจะตกไปอยู่ในมือของบริษัทเอกชนตัวกลางในประเทศที่เป็นผู้รับงาน
สภาพการณ์แบบนี้เท่ากับเราใช้เงินภาษี 1,600 ล้านบาท ไปสร้างกลไกเก็บรวบรวมวิธีคิด ความลับ และพฤติกรรมความอ่อนแอของคนไทย 5 ล้านคน ไปกองไว้ในมือของเอกชนและบิ๊กเทคข้ามชาติ โดยที่ประเทศไม่ได้ถือกรรมสิทธิ์ในสินทรัพย์ถาวรหรือโครงสร้างพื้นฐาน AI ของตัวเองเลยหลังจบสัญญาเช่าใช้ 1 ปี
และที่หน้ากลัวที่สุด ระบบที่เปิดให้คนใช้งานในสเกลระดับล้านคนเช่นนี้ ย่อมเผชิญกับความเสี่ยงจากช่องโหว่ทางไซเบอร์ที่เรียกว่า Prompt Injection ซึ่งเป็นการถูกโจมตีด้วยการฝังคำสั่งลวงจากผู้ไม่หวังดี ลองนึกดูครับหากประชาชนไปกดรับลิงก์หรือคัดลอกข้อความที่มีการซ่อนสคริปต์ลวงมาวางในช่องแชท ตัวโมเดลจะถูกบิดเบือนให้ปฏิเสธคำสั่งระบบเดิม แล้วหันมาส่งข้อมูลปลอม ข้อความหลอกลวง หรือแม้กระทั่งลิงก์ดูดเงินให้แก่ผู้ใช้ทันที เมื่อประชาชนใช้งานโดยไม่มี AI Literacy และเลือกที่จะเชื่อใจคำแนะนำทั้งหมดเพราะคิดว่าเป็นแพลตฟอร์มที่รัฐจัดหาและรับรองให้ ความเสี่ยงทั้งหมดจะตกอยู่กับประชาชนทันที คำถามสำคัญที่รัฐต้องตอบคือ หากเกิดความเสียหายต่อชีวิตและทรัพย์สินของพี่น้องประชาชนบนแพลตฟอร์มนี้ ในทางกฎหมายใครจะเป็นผู้รับผิดชอบ?”
