AI สร้างแอป: เมื่อความฉลาดทางปัญญาต่างกัน ความปลอดภัยก็ต่างกันลิบลับ

AI สร้างแอป: เมื่อความฉลาดทางปัญญาต่างกัน ความปลอดภัยก็ต่างกันลิบลับ

ในยุคที่ปัญญาประดิษฐ์เข้ามาเป็นผู้ช่วยสำคัญในการพัฒนาซอฟต์แวร์ การพึ่งพา AI เพื่อสร้างโค้ดและแอปพลิเคชันจึงเป็นเรื่องปกติ แต่เคยสงสัยไหมว่า AI แต่ละตัวมีความเข้าใจเรื่องความปลอดภัยมากน้อยแค่ไหน? การทดลองหนึ่งได้เผยให้เห็นความแตกต่างที่น่าตกใจระหว่าง AI สองเจ้า เมื่อใช้สร้างแอปบนแพลตฟอร์มแบ็กเอนด์เดียวกัน ผลลัพธ์ด้านความปลอดภัยกลับไม่ใกล้เคียงกันเลย

เมื่อ AI สองตัวสร้างแอปจากแพลตฟอร์มเดียวกัน

การทดลองนี้เริ่มต้นด้วยการมอบหมายให้ AI สองตัวที่มีชื่อเสียงอย่าง GPT-4 และ Google Gemini สร้างแอปพลิเคชันที่ทำหน้าที่คล้ายกัน โดยใช้แพลตฟอร์มแบ็กเอนด์ที่ชื่อว่า Supabase ซึ่งเป็นทางเลือกแบบโอเพ่นซอร์สของ Firebase ที่มาพร้อมฟีเจอร์ครบครัน ทั้งฐานข้อมูล, การยืนยันตัวตน, ที่เก็บไฟล์ และฟังก์ชันประมวลผล

เป้าหมายหลักคือการดูว่า AI เหล่านี้จะจัดการกับแง่มุมของ ความปลอดภัย อย่างไร โดยเฉพาะอย่างยิ่งฟังก์ชันสำคัญอย่าง Row Level Security (RLS) ของ Supabase ซึ่งทำหน้าที่กำหนดสิทธิ์ในการเข้าถึงข้อมูลแต่ละแถวในฐานข้อมูล เพื่อป้องกันไม่ให้ผู้ใช้ที่ไม่ได้รับอนุญาตเข้าถึงหรือแก้ไขข้อมูลที่ไม่ใช่ของตนเอง

ทำไมความปลอดภัยถึงต่างกันลิบลับ?

ผลลัพธ์จากการทดลองนี้ทำให้เห็นภาพชัดเจนถึงความแตกต่างของ AI ในการจัดการกับความปลอดภัย

สำหรับ GPT-4 ถือว่าทำได้น่าประทับใจมาก มันสามารถสร้างโค้ดแอปพลิเคชันที่ ปลอดภัยโดยค่าเริ่มต้น (secure-by-default) โดย AI ตัวนี้มีความเข้าใจเชิงลึกและสามารถสร้าง นโยบาย RLS (Row Level Security policies) ที่เหมาะสมได้เองโดยอัตโนมัติ นโยบายเหล่านี้ทำให้มั่นใจว่าผู้ใช้แต่ละคนสามารถเข้าถึงและจัดการได้เฉพาะข้อมูลที่ตนเองเป็นเจ้าของเท่านั้น การจัดการข้อมูลที่เป็นส่วนตัวจึงถูกจำกัดไว้อย่างมีประสิทธิภาพ ส่งผลให้แอปพลิเคชันที่สร้างขึ้นมีความปลอดภัยสูงตั้งแต่เริ่มต้น

แต่ในทางกลับกัน Google Gemini กลับล้มเหลวในการจัดการกับความปลอดภัยที่สำคัญนี้อย่างสิ้นเชิง แอปพลิเคชันที่ Gemini สร้างขึ้น ไม่มีการใช้นโยบาย RLS ใดๆ เลย นั่นหมายความว่า ผู้ใช้ทั่วไป หรือแม้แต่ผู้ใช้ที่ไม่ระบุตัวตน (anonymous users) สามารถเข้าถึงและลบข้อมูลทั้งหมดในระบบได้โดยง่ายดาย ซึ่งถือเป็นช่องโหว่ด้านความปลอดภัยที่ร้ายแรงอย่างยิ่ง ที่อาจนำไปสู่ความเสียหายของข้อมูลในระบบการผลิตทั้งหมด

บทเรียนสำคัญสำหรับนักพัฒนาและผู้ใช้งาน

ผลการทดลองนี้เป็นข้อเตือนใจที่สำคัญว่า แม้ AI จะช่วยให้การพัฒนาซอฟต์แวร์รวดเร็วขึ้นอย่างมหาศาล แต่ความสามารถในการสร้าง ความปลอดภัยโดยค่าเริ่มต้น ของ AI แต่ละตัวนั้นแตกต่างกันอย่างมาก และไม่ใช่ทุก AI จะมี “ความรู้สึก” ด้านความปลอดภัยเหมือนกัน

สำหรับนักพัฒนา การพึ่งพา AI เพียงอย่างเดียวโดยปราศจาก การตรวจสอบดูแลของมนุษย์ (human oversight) โดยเฉพาะอย่างยิ่งในเรื่องความปลอดภัย ถือเป็นความเสี่ยงที่ไม่ควรมองข้าม การ ตรวจสอบโค้ดที่ AI สร้างขึ้น (auditing AI-generated code) จึงเป็นสิ่งจำเป็นอย่างยิ่ง

การมีความเข้าใจในเทคโนโลยีพื้นฐานอย่าง Row Level Security (RLS) หรือกลไกความปลอดภัยอื่นๆ ของแพลตฟอร์มที่ใช้งาน ยังคงเป็นทักษะที่ขาดไม่ได้ แม้จะมี AI ช่วยเขียนโค้ดก็ตาม นักพัฒนาต้องรู้ว่าควรตั้งคำถามอะไรกับ AI และต้องตรวจสอบอะไรในโค้ด เพื่อให้มั่นใจว่าแอปพลิเคชันที่สร้างขึ้นนั้นมีความแข็งแกร่งและปลอดภัยอย่างแท้จริง

AI เป็นเครื่องมือที่ทรงพลัง แต่ไม่ใช่ยาวิเศษ การใช้งานอย่างชาญฉลาดและมีความรับผิดชอบ จะช่วยให้เราได้รับประโยชน์สูงสุดจากเทคโนโลยีนี้ โดยไม่ตกหลุมพรางความเสี่ยงที่อาจเกิดขึ้น