CoSINT Framework, CRIS Framework, 4-Phase OSINT Workflow — ใช้ AI เพื่อการสืบสวนข้อมูลเปิด
OSINT ต้องใช้เฉพาะ ข้อมูลเปิดที่เข้าถึงได้อย่างถูกกฎหมาย — ห้ามแฮก ห้ามใช้ข้อมูลที่ได้มาโดยมิชอบ ห้ามละเมิดสิทธิส่วนบุคคล
CoSINT (Collaborative OSINT) คือการใช้ AI เป็น "คู่คิด" ในกระบวนการ OSINT — ไม่ใช่ให้ AI ทำเอง แต่ใช้ AI ช่วยตั้งสมมติฐาน วิเคราะห์ข้อมูล และหาความเชื่อมโยง
OSINT (Open Source Intelligence) = การรวบรวมและวิเคราะห์ข้อมูลจาก "แหล่งเปิด" ที่ทุกคนเข้าถึงได้ เช่น:
ข้อสำคัญ: OSINT ใช้เฉพาะข้อมูลที่เข้าถึงได้อย่างถูกกฎหมาย — ไม่ใช่การแฮกหรือขโมยข้อมูล!
| Human ทำ | AI ช่วย |
|---|---|
| ตัดสินใจ, กำหนดทิศทาง | ประมวลผลข้อมูลจำนวนมาก |
| ประเมินความน่าเชื่อถือ | หา pattern & anomaly |
| จริยธรรม & ถูกกฎหมาย | ตั้งสมมติฐาน & ทดสอบ |
| ยืนยันข้อเท็จจริง | Cross-reference ข้อมูล |
| เขียนรายงาน (final) | ร่างสรุป & timeline |
## CRIS Phase 1: Collect — กำหนดแผนการรวบรวมข้อมูล คุณคือนักวิเคราะห์ OSINT ผู้เชี่ยวชาญ ## เป้าหมายการสืบค้น ต้องการข้อมูลเกี่ยวกับ: [หัวข้อ/บุคคล/องค์กร — สมมติ] ## กำหนดแผน Collection Plan: 1. ระบุแหล่งข้อมูลเปิดที่เกี่ยวข้อง (จัดลำดับความสำคัญ) 2. สำหรับแต่ละแหล่ง ระบุ: - ข้อมูลอะไรที่คาดว่าจะได้ - วิธีเข้าถึง (ต้องถูกกฎหมาย) - ข้อจำกัด/ข้อควรระวัง 3. กำหนด Search Keywords & Boolean queries 4. ระบุ Indicators/Selectors ที่ต้องมองหา ## ข้อจำกัด - เฉพาะแหล่งข้อมูลเปิดเท่านั้น - ต้องถูกกฎหมายและจริยธรรม - ไม่ละเมิด privacy ของบุคคลที่ไม่เกี่ยวข้อง Format: ตาราง Collection Matrix
| Phase | กิจกรรม | AI ช่วยอย่างไร | Output |
|---|---|---|---|
| 1. Planning | กำหนดเป้าหมาย, ขอบเขต | ช่วยตั้ง research questions, ระบุแหล่งข้อมูล | Collection Plan |
| 2. Collection | รวบรวมข้อมูลจากแหล่งเปิด | จัดหมวดหมู่, OCR, แปลภาษา, summarize | Raw Data Set |
| 3. Analysis | วิเคราะห์ หาความเชื่อมโยง | Pattern recognition, timeline, link analysis | Intelligence Assessment |
| 4. Reporting | เขียนรายงาน, นำเสนอ | ร่างรายงาน, สร้าง visualization suggestions | Intelligence Report |
คุณคือนักวิเคราะห์ข่าวกรองเชี่ยวชาญด้าน Link Analysis ## ข้อมูลที่รวบรวมได้ (สมมติ) บุคคล A: - Facebook: โพสต์รูปที่ร้านอาหาร X, 15 ม.ค. 2569 - เบอร์โทร: 08X-XXX-1111 - ที่อยู่จดทะเบียนบริษัท: Y Co.,Ltd. บุคคล B: - เป็น Director ของ Y Co.,Ltd. - Facebook: Friend กับ A, check-in ร้านอาหาร X, 15 ม.ค. 2569 - เบอร์โทร: 08X-XXX-2222 (อยู่ใน CDR ของ A) บุคคล C: - เป็นผู้ถือหุ้น Z Co.,Ltd. (ที่อยู่เดียวกับ Y Co.,Ltd.) - ไม่มี social media - เบอร์โทร: 08X-XXX-3333 ## วิเคราะห์: 1. สร้าง Link Chart (describe relationships) 2. ระบุ Common Nodes (จุดเชื่อมโยงร่วม) 3. ระดับความเชื่อมโยง: Strong / Moderate / Weak 4. Intelligence Gaps — ข้อมูลอะไรที่ยังขาด? 5. แนะนำ Next Steps สำหรับการสืบค้นเพิ่มเติม หมายเหตุ: ข้อมูลทั้งหมดเป็นข้อมูลสมมติ
คุณคือผู้เชี่ยวชาญ Digital Forensics & OSINT ## Task: วิเคราะห์ Digital Footprint จากข้อมูลเปิด ## ข้อมูลที่มี (สมมติ) - Username: "cryptoking_th" (พบบน Twitter, Telegram, GitHub) - Email prefix: cryptoking.th (พบใน data breach — public) - Crypto wallet: 0xABC...DEF (public blockchain) - เว็บไซต์: cryptoking-th.com (WHOIS public) ## วิเคราะห์: 1. Cross-platform Correlation — username เดียวกันบนแพลตฟอร์มอื่น? 2. Activity Pattern — ช่วงเวลาที่ active บ่งบอกอะไร? 3. Network Analysis — ติดต่อกับใครบ่อย? (public interactions) 4. Technical Indicators — hosting, domain history, tech stack 5. Assessment — สรุปสิ่งที่ทราบ vs ไม่ทราบ (Intelligence Gaps) ## ข้อจำกัดจริยธรรม - ใช้เฉพาะข้อมูลสาธารณะ - ไม่ attempt เข้าถึงระบบ - ไม่ระบุตัวตนจริง (ใช้ข้อมูลสมมติ) - มุ่งเน้น methodology ไม่ใช่ผลลัพธ์จริง
| Tool | ประเภท | จุดแข็ง | หมายเหตุ 2026 |
|---|---|---|---|
| Maltego | Link Analysis | Visualize เครือข่ายความสัมพันธ์ | มี AI-assisted pattern discovery |
| OSINT Framework | Directory | รวม tools 200+ หมวดหมู่ | อัปเดตต่อเนื่อง osintframework.com |
| Shodan | Network/IoT | ค้นหา devices ที่เปิดเผย | ใช้สืบหา infrastructure คนร้าย |
| SpiderFoot | Automation | Auto OSINT หลายแหล่ง | มี HX (cloud) สำหรับทีม |
| Perplexity AI | AI Search | ค้นข้อมูลพร้อม citation | ลด hallucination มากกว่า Google |
| Claude/GPT-5.5 + Web | AI Analysis | สังเคราะห์ข้อมูลหลายแหล่ง | ใช้ Generated Knowledge + CoT |
AI วิเคราะห์ข้อมูล OSINT ผิดพลาดได้ โดยเฉพาะ entity disambiguation (คนชื่อเดียวกัน) → มนุษย์ต้อง verify ก่อน report
| ข้อ | คำถาม | เกณฑ์ผ่าน | ถ้า FAIL |
|---|---|---|---|
| 1 | ข้อมูลได้มาจากแหล่งที่เปิดเผยต่อสาธารณะจริงไหม? | ไม่มี private data/unauthorized access | ห้าม publish |
| 2 | ใช้ข้อมูลตามวัตถุประสงค์ที่ระบุในงานสืบสวนไหม? | มี mandate ชัดเจน | ขออนุมัติเพิ่มก่อน |
| 3 | ผ่าน PDPA: ไม่เก็บ/ใช้/เปิดเผย PII เกินความจำเป็น? | มี data minimization | Anonymize ก่อน |
| 4 | Human verify แล้วว่า entity ถูกต้อง? | ยืนยัน ≥ 2 แหล่งอิสระ | แก้ก่อน report |
| 5 | มี audit trail: บันทึกแหล่งข้อมูล วันที่ เวลา? | Log ครบ | เพิ่ม log ก่อน submit |
| ✅ ใช้ได้ | ❌ ห้ามใช้ |
|---|---|
| ค้นหาข้อมูล public domain | เข้าถึง private accounts/servers |
| สังเคราะห์ข้อมูลจากหลายแหล่ง | สมมติ/แต่งข้อมูลที่หาไม่พบ |
| ร่างรายงาน (มนุษย์ verify ก่อน) | ตัดสินใจจับกุมโดยไม่มีมนุษย์ approve |
| Visualize เครือข่ายความสัมพันธ์ | ใช้ AI-generated content เป็นหลักฐาน |
| # | ❌ ข้อผิดพลาด | ✅ วิธีที่ถูกต้อง |
|---|---|---|
| 1 | ใช้ข้อมูลจากแหล่งไม่ถูกกฎหมาย (แฮก, ขโมย) → ละเมิดกฎหมาย | ใช้เฉพาะข้อมูลสาธารณะ (public domain) ที่เข้าถึงได้ถูกกฎหมาย |
| 2 | AI สังเคราะห์แล้วไม่ verify → Entity disambiguation ผิด (คนชื่อเดียวกัน) | Human verify ≥ 2 แหล่งอิสระก่อน report ทุกครั้ง |
| 3 | Publish ผลงาน OSINT โดยไม่ผ่าน Compliance Checklist → ละเมิด PDPA | ผ่าน 5 ข้อ: แหล่งถูกกฎหมาย, mandate ชัด, PDPA, Human verify, Audit trail |
| 4 | ปล่อยให้ AI ทำงาน OSINT เองทั้งหมด → ผลลัพธ์ไม่น่าเชื่อถือ | ใช้ CoSINT: Human ตัดสินใจ + AI ช่วยประมวลผล/หา pattern |
| 5 | เก็บข้อมูลทั้งหมดที่หาเจอ → เกิน PDPA data minimization | รวบรวมเฉพาะที่จำเป็น ตามหลัก Proportional + Purpose clear |
| 6 | ข้าม Phase 1 Planning ทำ Collection ทันที → ได้ข้อมูลไม่ตรงจุด | ทำ CRIS ครบ: Collect (Plan ก่อน) → Research → Identify → Synthesize |
| 7 | ใช้ข้อมูลคดีจริงทดสอบ AI tools → รั่วไหลข้อมูลลับ | ใช้ Synthetic Data (ข้อมูลสมมติ) สำหรับฝึกปฏิบัติเท่านั้น |
โจทย์: AI สังเคราะห์ข้อมูล OSINT แล้วพบว่า "บุคคล A" เชื่อมโยงกับ 3 บัญชีต้องสงสัย — ก่อน report ต้องผ่าน Compliance Checklist ข้อใดบ้าง?