ในยุคปัจจุบัน นิยามของคำว่า Digital Moment หรือช่วงเวลาแห่งการปฏิสัมพันธ์บนโลกดิจิทัล ได้ถูกยกระดับไปอีกขั้น มันไม่ได้จำกัดอยู่เพียงแค่การทำธุรกรรมของมนุษย์ การโอนเงินผ่านสมาร์ทโฟน หรือการล็อกอินเข้าสู่ระบบของพนักงานอีกต่อไป
โลกกำลังก้าวผ่านยุคของ Chatbot ที่ทำหน้าที่เพียงตอบคำถามตามคีย์เวิร์ด ไปสู่ยุคของ Agentic AI เทคโนโลยีปัญญาประดิษฐ์ที่สามารถวิเคราะห์ ตัดสินใจ และลงมือทำสิ่งต่างๆ แทนมนุษย์ได้อย่างสมบูรณ์แบบ
คำถามสำคัญที่ตามมาคือ ในเมื่อ AI สามารถทำงานและทำธุรกรรมแทนเราได้ องค์กรจะรู้ได้อย่างไรว่า AI ที่กำลังเชื่อมต่อเข้ามานั้นคือตัวจริง ที่ได้รับอนุญาต หรือเป็นตัวปลอมที่ผู้ไม่หวังดีส่งเข้ามา นี่จึงเป็นที่มาของแนวคิดสำคัญที่ภาคธุรกิจไทยต้องเริ่มตระหนัก นั่นคือความจำเป็นในการสร้างบัตรประชาชนให้กับ AI ครับ
ทำความรู้จัก Agentic AI พนักงานใหม่ที่ทำงาน 24/7
หากจะเปรียบเทียบให้เห็นภาพ Chatbot ในอดีตเปรียบเสมือนพนักงานตอบรับโทรศัพท์ที่ทำงานตามบทพูด หากเจอคำถามนอกเหนือจากสคริปต์ก็จะไม่สามารถดำเนินการต่อได้ แต่ Agentic AI ก้าวข้ามข้อจำกัดนั้นไปไกลด้วยทักษะหลัก 3 ข้อหลักคือ
1.วิเคราะห์ เข้าใจบริบท ข้อมูล พฤติกรรม และแนวโน้มต่างๆ ภายในองค์กร
2.ตัดสินใจ โดยประมวลผลและเลือกทางเลือกที่ดีที่สุดจากข้อมูลที่มี
3.ดำเนินการโดยสามารถดำเนินการขั้นตอนต่างๆ แทนมนุษย์ได้จนจบกระบวนการโดยไม่ต้องรอคำสั่ง
ด้วยความสามารถเหล่านี้ องค์กรจึงต้องเริ่มมอง Agentic AI ในฐานะ Digital Workforce หรือพนักงานดิจิทัลคนหนึ่ง ที่สามารถทำงานได้ตลอด 24 ชั่วโมงไม่มีวันหยุด ซึ่งมาพร้อมกับความท้าทายในการบริหารจัดการที่ซับซ้อนกว่าเดิม แล้วทีนี้ จะตรวจสอบการทำงานของพนักงานดิจิทัลคนนี้ อย่างไร ?
ความแตกต่างระหว่างตัวตนของมนุษย์ และ Agentic AI
เมื่อเรายอมรับ AI เข้ามาเป็นพนักงาน คำถามคือเราจะตรวจสอบและจัดการสิทธิ์ของพวกเขาอย่างไร? ในประเด็นนี้ คุณ Jasie Fon รองประธานประจำภูมิภาคเอเชียบริษัท Ping Identity ได้ให้มุมมองที่น่าสนใจว่า การจัดการสิทธิ์และตัวตนของ AI นั้นมีความซับซ้อนและต้องการมาตรฐานที่เข้มงวดกว่ามนุษย์หลายเท่าตัว โดยมีจุดแตกต่างที่สำคัญ 5 ประการคือ
- จุดเริ่มต้นการเข้าถึง การระบุตัวตนของมนุษย์จะใช้การล็อกอินครั้งเดียวเพื่อเข้าใช้งาน ในขณะที่ AI จำเป็นต้องมี ID เฉพาะตัวตั้งแต่ขั้นตอนการลงทะเบียน
- ขั้นการตรวจสอบสิทธิ์ โดยมนุษย์มักถูกตรวจสอบสิทธิ์เฉพาะตอนเริ่มต้นเข้าสู่ระบบ แต่สำหรับ AI ต้องใช้หลักการ Continuous Verification หรือการตรวจสอบสิทธิ์อย่างต่อเนื่องตลอดเวลาที่ระบบกำลังทำงาน
- ระดับของสิทธิ์ มนุษย์มักได้รับสิทธิ์ที่ค่อนข้างกว้างตามบทบาทหน้าที่ แต่ AI จะถูกควบคุมด้วย Least Privilege Access ซึ่งเป็นการให้สิทธิ์เข้าถึงข้อมูลที่ต่ำที่สุดและสั้นที่สุด เฉพาะช่วงที่กำลังทำธุรกรรมเท่านั้น
- พฤติกรรมที่ต้องจับตา ระบบมักจะจับตาการเข้าใช้งานที่ผิดปกติของมนุษย์จากช่วงเวลาหรือสถานที่ล็อกอิน แต่สำหรับ AI ระบบจะต้องตรวจจับความผิดปกติเชิงลึก เช่น การพยายามดึงข้อมูลมหาศาลที่เกินขอบเขตคำสั่ง
- เครื่องมือยืนยันตัวตน มนุษย์ใช้รหัสผ่าน ระบบ OTP หรือข้อมูลชีวมิติ ส่วน AI จะต้องอาศัยใบรับรองดิจิทัล กุญแจเข้ารหัส และระบบการตรวจจับพฤติกรรม Runtime แบบเรียลไทม์
First-class Identity กลยุทธ์การออกบัตรประชาชนให้ AI
จากความแตกต่างข้างต้น เมื่อ AI คือพนักงานคนหนึ่ง แนวคิด First-class Identity จึงถูกนำมาใช้เพื่อมอบอัตลักษณ์หรือ ID เฉพาะตัว ให้กับ AI แต่ละตัวอย่างชัดเจน สิ่งนี้ช่วยให้องค์กรสามารถแยกแยะบอตที่ดีออกจากบอตประสงค์ร้ายได้อย่างแม่นยำ
นอกจากนี้ การมีตัวตนของ AI ยังเกี่ยวข้องโดยตรงกับเรื่อง ธรรมาภิบาลเพราะท้ายที่สุดแล้ว องค์กรจะต้องเป็นผู้รับผิดชอบต่อการกระทำของ AI ของตนแบบ 100% การจัดการ Identity ในยุคนี้จึงไม่ใช่หน้าที่ของแผนกไอทีเพียงอย่างเดียวอีกต่อไป แต่ผู้บริหารระดับสูง (C-Level) ต้องมองว่าสิ่งนี้คือ การลงทุนเชิงกลยุทธ์ ที่จะปกป้องธุรกิจและสร้างความเชื่อมั่นให้กับลูกค้า
ความเสี่ยงที่คนไทยต้องรู้ Shadow AI, AI-to-AI และช่องโหว่จากคู่ค้า
แม้จะมีระบบจัดการตัวตนที่ดี แต่การก้าวเข้าสู่ยุค AI อย่างเต็มตัวก็ยังมาพร้อมกับความเสี่ยงใหม่ที่องค์กรต้องเตรียมรับมือรอบด้าน ทั้งจากภายในและภายนอกองค์กร ไม่ว่าจะเป็น
Shadow AI (ความเสี่ยงจากภายใน) ปัญหาเกิดขึ้นเมื่อพนักงานแอบนำเครื่องมือ AI ภายนอกมาใช้งานกับข้อมูลของบริษัทโดยไม่ผ่านการอนุมัติ ซึ่งถือเป็นช่องโหว่ขนาดใหญ่ที่อาจนำไปสู่ปัญหาข้อมูลรั่วไหล องค์กรจึงต้องมีระบบตรวจจับพฤติกรรมที่ผิดปกติเพื่อระงับเหตุการณ์เหล่านี้ให้ทันท่วงที
ยุคสมัยของ AI-to-AI ในอนาคตอันใกล้ ธุรกรรมหลายอย่างจะเกิดขึ้นโดยไม่มีมนุษย์เข้ามาแทรกแซง เช่น AI ของแผนกจัดซื้อทำการเจรจาและทำธุรกรรมกับ AI ของแผนกขายโดยตรง เมื่อไม่มีคนคอยตรวจสอบ ความปลอดภัยเดียวที่จะเชื่อถือได้จึงตกไปอยู่ที่ตัวตนและสิทธิ์ ของ AI ทั้งสองฝั่ง
Supply Chain Risk โดยในกรณีที่องค์กรของเรามีระบบตรวจสอบตัวตนของ AI อย่างเข้มงวด แต่คู่ค้าทางธุรกิจกลับไม่ได้ใช้โซลูชันระดับเดียวกัน ความเสี่ยงจะเกิดขึ้นเมื่อ AI ของคู่ค้าต้องเชื่อมต่อเข้ามาในระบบของเรา หาก AI ของคู่ค้าถูกแฮ็กหรือทำงานผิดพลาด มันอาจกลายเป็นช่องโหว่ที่ดึงข้อมูลสำคัญของเราออกไป
ฉะนั้นองค์กรต้องสร้างระบบควบคุมภายในบ้านของตนเองให้แข็งแกร่งที่สุดด้วยหลัก Continuous Verification และ Least Privilege เพื่อจำกัดสิทธิ์ AI ของคู่ค้าได้แบบเรียลไทม์ ป้องกันไม่ให้ AI ภายนอกเข้ามาสร้างความเสียหายได้แม้ระบบของต้นทางจะหละหลวมก็ตาม
บทบาทมนุษย์ที่เปลี่ยนไปในวันที่ AI มีบัตรประชาชน
การมาถึงของ Agentic AI ไม่ได้หมายความว่ามนุษย์จะหมดความสำคัญ แต่รูปแบบการทำงานจะถูกยกระดับขึ้น บทบาทของมนุษย์จะเปลี่ยนจากการเป็นผู้ปฏิบัติงาน ที่ต้องคอยทำซ้ำๆ ไปสู่การเป็น ผู้กำกับดูแล” (Oversight) ที่คอยวางกลยุทธ์ ตรวจสอบการตัดสินใจ และควบคุมทิศทางของพนักงานดิจิทัลเหล่านี้
ในวันที่เทคโนโลยีพัฒนาไปอย่างก้าวกระโดด “Identity” หรือ การระบุตัวตน จะกลายเป็นรากฐานด้านความปลอดภัยที่สำคัญที่สุด การเตรียมความพร้อมเรื่อง “บัตรประชาชน AI” ตั้งแต่วันนี้ คือก้าวสำคัญที่จะช่วยให้ภาคธุรกิจและประเทศไทยสามารถใช้ประโยชน์จากเทคโนโลยีปัญญาประดิษฐ์ได้อย่างมั่นคง ปลอดภัย และยั่งยืนต่อไป
ที่มา
บทสัมภาษณ์ Jasie Fon รองประธานประจำภูมิภาคเอเชียบริษัท Ping Identity
