จัดการสแปมภาษาไทยด้วยเอนจิน Client-side ที่เร็วที่สุด ฟรี

ปกป้องข้อมูลส่วนบุคคล (PII) มิดชิด ทุกการทำงานจบในเบราว์เซอร์ —

🛡️ ข้อมูลจะไม่ถูกส่งออกไปไหน จนกว่าคุณจะเป็นคนอนุญาตเอง

SpamWarden WP สำหรับ WordPress GitLab

ไม่ต้องพึ่งพา API ภายนอก
ความหน่วงต่ำกว่ามิลลิวินาที
ปกป้องความเป็นส่วนตัวขั้นสูงสุด

ขับเคลื่อนด้วย Bernoulli Naive Bayes

Interactive Diagnostics Console

Engine: v11.06 | 28106 Features

ป้อนข้อความเพื่อทดสอบ

ระบบ Mask ข้อมูลส่วนตัว (PII) และการดึงข้อมูล Actor ทำงานอยู่

Latency (ความเร็ว) -

Spam Prob. (ความแม่นยำ) 0%

Trigger Rule (กฎที่ตรวจพบ) -

วัดประสิทธิภาพ (Performance)

คลิกเพื่อทดสอบความเร็วในการประมวลผล

Raw SIEM Payload

// รอการป้อนข้อมูล...

สถานะข้อความ (Status): WAITING

พบข้อมูลส่วนตัว (sd): false

มีการคัดลอกวาง (paste): false

⚠️ ข้อจำกัดทางเทคโนโลยี

เราอยากอธิบายให้ชัดเจนว่า SpamWarden.js ทำอะไรได้และไม่ได้บ้าง

ตัวสคริปต์นี้เปรียบเสมือน "ด่านหน้า" ที่คอยสกรีนความผิดปกติ มันเก่งมากในการบล็อกพวกบอท สคริปต์อัตโนมัติ หรือสแปมมือใหม่ที่เน้นก๊อปปี้วาง เพื่อไม่ให้มากวนใจในฟอร์มของคุณ

แต่ในโลกความเป็นจริง...
การป้องกันด้วย JavaScript ฝั่ง Client ไม่สามารถกันแฮกเกอร์ที่ตั้งใจโจมตีระบบหลังบ้าน (Backend) ได้ คนที่มีความรู้ทางเทคนิคสักหน่อยสามารถดักดู Network Traffic แล้วยิง POST Request ตรงเข้า Server ของคุณได้เลยโดยไม่ต้องเปิดหน้าเว็บด้วยซ้ำ

ทำไมเราต้องทำ Obfuscation และ Active Defense แบบ "Brutal"? (ความโปร่งใสเรื่องความปลอดภัย)

ในเวอร์ชันการใช้งานจริง (min.js) เรามีการทำ JavaScript Obfuscation ขั้นสูง และใช้สถาปัตยกรรม Hostile Active Defense เหตุผลที่เราต้องทำแบบนี้คือ:

กับดักหลุมพราง (The Ghost Tarpit): หากบอทพยายามแทรกแซงหรือข้ามการทำงานของสคริปต์ ระบบจะดึงการโจมตีเข้าสู่ "เหยื่อล่อ" ที่ออกแบบมาเพื่อตอบโต้และทำให้โปรแกรมของแฮกเกอร์ค้างและพังลงทันที (Crash Headless Browsers)
ซ่อนเอนจินจริง (Build-Time Randomization): เอนจินตรวจจับของจริงจะถูกซ่อนไว้ใน Closure ที่ปิดตาย และเชื่อมต่อกับ DOM ด้วยคีย์แบบสุ่มที่เปลี่ยนไปทุกครั้งที่มีการปล่อยเวอร์ชันใหม่ ทำให้สคริปต์แฮ็กเกอร์ที่เขียนแบบตายตัวใช้งานไม่ได้
ปกป้องโมเดลไอพาส: โมเดลการตรวจจับถูกฝังอยู่ในสคริปต์ การทำ Obfuscation ชั้นสูงช่วยป้องกันไม่ให้คู่แข่งหรือผู้พัฒนาสแปมบอทดึงข้อมูลชุดคำศัพท์ (Vocabulary) ออกไปศึกษาได้โดยง่าย
เพิ่มต้นทุนในการโจมตี (Cost of Attack): แม้จะไม่มีระบบ Client-side ใดที่ปลอดภัย 100% แต่เทคนิคเหล่านี้จะเปลี่ยนงานแฮ็กที่เคยใช้เวลา 5 วินาที ให้กลายเป็นความน่ารำคาญขั้นสุด ซึ่งเพียงพอที่จะทำให้สแปมเมอร์ส่วนใหญ่เปลี่ยนไปหาเป้าหมายอื่นที่ "ง่ายกว่า"

💀 ลองของจริง: ทดสอบระบบ Active Defense (คำเตือน: เบราว์เซอร์อาจค้าง)

🛡️ ต้องการความปลอดภัยแบบ 100%?
หากระบบของคุณต้องการความปลอดภัยที่ห้ามมีข้อผิดพลาด คุณต้องตรวจสอบข้อมูลซ้ำที่ระบบหลังบ้าน (Backend Validation) เสมอ:

สำหรับ WordPress: แนะนำให้ใช้ SpamWarden WP Plugin (รุ่นเสียเงิน) เพื่อป้องกันระดับ PHP ก่อนลงฐานข้อมูล
สำหรับ Node.js / Custom Stack: คุณสามารถนำ Library นี้ไปรันฝั่ง Server ก่อนบันทึกข้อมูลได้ฟรีๆ โดยไม่ต้องผ่านเบราว์เซอร์

แล้วทำไมยังควรใช้เวอร์ชัน JS อยู่?

เพราะมันคือ เซ็นเซอร์ตรวจจับภัยคุกคามชั้นดี! การติดสคริปต์นี้จะช่วยให้เราเห็นรูปแบบการโจมตี (Attack Vectors) ที่เกิดขึ้นจริงบนหน้าเว็บ และดึงข้อมูล (Telemetry) เข้าไปวิเคราะห์ต่อใน SIEM หรือระบบหลังบ้านได้ ทำให้เราวางแผนรับมือล่วงหน้าได้ โดยที่ข้อมูลขยะพวกนั้นยังไม่ทันหลุดเข้าไปรกในฐานข้อมูลหลัก

Privacy-First: ระบบ Auto-DLP และการ Mask ข้อมูล

เพื่อให้เป็นไปตามมาตรฐานการรักษาข้อมูลส่วนบุคคล ข้อมูลที่ออกจากเบราว์เซอร์จะถูก Mask เสมอ เอนจินจะทำการตรวจจับและเซ็นเซอร์เลขบัตรเครดิต, อีเมล และเบอร์โทรศัพท์โดยอัตโนมัติก่อนส่งรายงาน

ตารางการทำงานของ `sdFlag`

โหมด (Mode)	เงื่อนไขของข้อความ	การดำเนินการ	การจัดการข้อมูล PII
0 (Spam Only)	ข้อความปกติ (ไม่มี PII)	เพิกเฉย	-
0 (Spam Only)	ข้อความปกติ + ข้อมูล PII	เพิกเฉย	-
0 (Spam Only)	ข้อความสแปม	ส่งรายงานผ่าน Beacon	Mask เสมอ
1 (DLP Audit)	ข้อความปกติ (ไม่มี PII)	เพิกเฉย	-
1 (DLP Audit)	ข้อความปกติ + ข้อมูล PII	รายงานสถานะ DLP Alert	Mask เสมอ
1 (DLP Audit)	ข้อความสแปม	ส่งรายงานผ่าน Beacon	Mask เสมอ

ตัวอย่างการใช้งาน: ตั้งค่า sdFlag = 1 หากคุณต้องการตรวจสอบว่ามีผู้ใช้พยายามส่งข้อมูลส่วนบุคคล เข้าไปในฟอร์มสาธารณะหรือไม่ (เพื่อการตรวจสอบความปลอดภัยและ Compliance)

🛡️ Zero-Code Webboard Integration (ระบบจำลอง)

วาง URL ของเว็บฟอร์ม/เว็บบอร์ดของคุณเพื่อวิเคราะห์โครงสร้าง DOM และสร้างสคริปต์กรองสแปมอัตโนมัติ (Auto-Blocking Drop-in Script) ที่ผูกกับโดเมนของคุณโดยเฉพาะ

PII / DLP Auditing (sdFlag)

SIEM Endpoint (Optional)

วิเคราะห์สำเร็จ! คัดลอกและนำสคริปต์นี้ไปวางก่อนแท็กปิด </body> ของโดเมน your site:

รับการป้องกันสูงสุดของ Wordpress

ตัวเลือกการติดตั้ง (Installation)

1. แบบ "No-Code" ผ่าน CDN (คัดลอกและใช้งานได้ทันที)

เพียงคัดลอกโค้ดด้านล่างไปวางในส่วน <head> ของเว็บไซต์คุณ ระบบจะเริ่มทำงานและปกป้องเว็บไซต์จากการสแปมและเนื้อหาที่ไม่เหมาะสมโดยอัตโนมัติ ตามมาตรฐาน NCSA

→ รับ Token การตั้งค่าขั้นสูง (Advanced Configuration) เพื่อส่ง Log ไปยัง SIEM ของคุณเอง

2. แบบ NPM Package สำหรับ Bundlers

npm install @redsocs/spam-warden

import spamwarden from '@redsocs/spam-warden';

spamwarden.configure({
  siemEndpoint: "https://api.yourdomain.com/v1/telemetry",
  autoReport: true,
  reportSD: true // เปิดใช้งานโหมด DLP Audit
});

const result = spamwarden.spamcheck("Thai spamming https://lin[dot]ee/abc");
console.log(result.isSpam); // true

🛡️ สอดคล้องกับมาตรฐาน NCSA Web Standard 1.0

⚠️ วันครบกำหนดตามข้อบังคับ: 16 กันยายน 2569 ()

อ้างอิง:
• NCSA_Website_Security_Standard_2568.pdf
• มาตรฐานเว็บไซต์ พ.ศ. 2568 (หน้า 47-69)
• แบบฟอร์มเพื่อใช้ในการตรวจสอบ ภาคผนวก ค

SpamWarden ถูกออกแบบมาเพื่อตอบสนองต่อข้อกำหนดด้านความมั่นคงปลอดภัยไซเบอร์แห่งชาติ โดยเฉพาะสำหรับหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) และเว็บไซต์ภาครัฐ:

1. Data Minimization (PDPA)

ประมวลผลบน Client-Side 100% ข้อมูลผู้ใช้ไม่ถูกส่งออกนอกเบราว์เซอร์ พร้อมระบบ Masking ข้อมูลส่วนบุคคล (PII) อัตโนมัติก่อนส่ง Log

2. Zero Dependencies

ลดความเสี่ยง Supply Chain Attack ด้วยสถาปัตยกรรมแบบ Standalone ไม่มี External Library หรือ API ภายนอกที่ต้องพึ่งพา

3. Defacement Protection

เป็นเกราะป้องกันหน้าบ้าน (Frontend Shield) สกัดกั้นบอทและสคริปต์อัตโนมัติที่พยายามฝังลิงก์การพนันหรือเปลี่ยนหน้าเว็บ

4. Native SIEM Telemetry

ส่งข้อมูลภัยคุกคามตรงเข้า SOC ของหน่วยงานได้ทันทีผ่าน siemEndpoint ช่วยให้ปฏิบัติตามกฎการเฝ้าระวังและตอบสนองเหตุการณ์ (Incident Response)

คำถามที่พบบ่อย (FAQ)

เครื่องมือนี้ช่วยให้เว็บไซต์ผ่านเกณฑ์ NCSA Web Standard หรือการประเมินสถานะความมั่นคงปลอดภัยสำหรับเว็บไซต์ภาครัฐหรือไม่?

ช่วยได้โดยตรงและตรงจุดมากครับ! สถาปัตยกรรมของ SpamWarden ถูกออกแบบมาเพื่อตอบรับกับแบบตรวจรายการความมั่นคงปลอดภัยฯ โดยเฉพาะในประเด็นต่อไปนี้:

GOV-SEC-04 ตอบโจทย์ข้อ 6.4 (ป้องกันภัยหน้าบ้าน)

โมเดลของเราที่ถูกฝึกด้วยข้อมูลสแปมกว่า 30 หมวดหมู่ครอบคลุมภัยคุกคามของปี 2026 จะช่วยสกัดกั้นและป้องกัน SEO Hijacking รวมถึงการฝังบทความเว็บพนัน บนหน้าเว็บรัฐได้อย่างเด็ดขาดตั้งแต่ระดับหน้าบ้าน

GOV-SEC-09 ตอบโจทย์ข้อ 6.9 (Data Minimization)

ระบบทำงานด้วยหลัก Data Minimization แบบ 100% ผ่านการเซ็นเซอร์ข้อมูลอ่อนไหว (PII Masking) ฝั่ง Client ก่อนส่ง Log เข้า SOC ทำให้การบริหารจัดการ Log ของคุณสะอาดและปลอดภัย

SUPPLY-CHAIN โปร่งใสระดับโครงสร้าง (Supply Chain Security)

สคริปต์ทำงานแบบ Standalone ไม่ดึงไลบรารีภายนอกมาโหลดให้เสี่ยงช่องโหว่ แถมยังเป็น Open Source 100% ทำให้ทีม Security Advisor ของคุณตรวจสอบซอร์สโค้ดได้อย่างโปร่งใส

คุณสามารถนำไปใช้ปกป้องเว็บไซต์หน่วยงานได้ทันที แบบไม่มีค่าใช้จ่ายครับ
ดูรายละเอียดเพิ่มเติม: แบบฟอร์มเพื่อใช้ในการตรวจสอบ ภาคผนวก ค

SpamWarden ส่งข้อมูลของฉันไปที่ Server ภายนอกหรือไม่?

ไม่ เอนจินหลักทำงานบน Client-side 100% ข้อมูลจะไม่ถูกส่งออกจากเครื่องของผู้ใช้ในขั้นตอนการวิเคราะห์ เพื่อรักษาความเป็นส่วนตัวตามมาตรฐาน PDPA และจะส่งไปที่อื่นต่อเมื่อคุณเพิ่ม SIEM endpoint ของคุณเองเท่านั้น

ทำไมต้องใช้ระบบการตรวจจับฝั่ง Client-side (เบราว์เซอร์) แทนที่จะไปตรวจจับที่ Server-side หรือใช้บริการอย่าง reCAPTCHA?

มีประโยชน์หลัก 4 ประการที่ตอบโจทย์ภารกิจความมั่นคงปลอดภัยและประสบการณ์ผู้ใช้งานเว็บไซต์ในปัจจุบัน:

• บล็อกก่อนถึงฐานข้อมูล (Resource Saving): การสกัดกั้นสแปมและบอทตั้งแต่เบราว์เซอร์ทำให้ไม่มีข้อมูลขยะถูกบันทึกหรือส่งคำขอที่เป็นอันตรายเข้าสู่ระบบหลังบ้าน ช่วยลดภาระฐานข้อมูลและ Bandwidth ของเซิร์ฟเวอร์หลักได้อย่างมหาศาล

• ความเป็นส่วนตัวสูงสุด (Privacy-First): การประมวลผลเกิดขึ้นภายในระบบจำลองฝั่งผู้ใช้ทั้งหมด 100% ไม่มีการส่งเนื้อหาข้อความหรือพฤติกรรมส่วนบุคคลของผู้ใช้งานไปยังบริการคลาวด์ภายนอก ช่วยให้องค์กรปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ได้อย่างไร้รอยต่อ

• ไม่มีผลกระทบด้านความเร็ว (Zero Latency): เอนจินทำงานเสร็จสิ้นภายในเสี้ยววินาที (< 1 มิลลิวินาที) ทันทีที่ผู้ใช้ป้อนข้อมูล โดยไม่ต้องรอการเชื่อมต่อเครือข่ายข้ามประเทศ (Round-trip)

• เป็นมิตรต่อผู้ใช้งาน (Zero Friction): แตกต่างจากบริการ reCAPTCHA/CAPTCHA ทั่วไปที่บังคับให้ผู้ใช้ต้องคลิกรูปภาพหรือตอบคำถามน่ารำคาญ ซึ่งทำให้ผู้เข้าชมเว็บไซต์ทั่วไปกรอกข้อมูลไม่สำเร็จหรือละทิ้งเว็บไป

โมเดลของ SpamWarden มีวิธีการอย่างไรในการแยกแยะสแปมภาษาไทย และป้องกันไม่ให้บล็อกข้อความปกติผิดพลาด (False Positives)?

โมเดล Machine Learning ของเราใช้แนวคิดแบบ Present-Only Naive Bayes ร่วมกับเทคนิคการประมวลผลภาษาธรรมชาติภาษาไทย (Thai NLP) โดยเฉพาะ:

• Thai Tokenizer & N-Grams: เนื่องจากภาษาไทยไม่มีการเว้นวรรคระหว่างคำ เอนจินจึงสร้างคำค้นหาแบบผสมผสานทั้ง Trigrams (กลุ่มคำ 3 ตัวอักษร) และ Quadgrams (กลุ่มคำ 4 ตัวอักษร) ช่วยตรวจจับคำหลบเลี่ยงคำหยาบคายและคำสแปม (เช่น "Thai spamming", "Thai gambling") ได้อย่างแม่นยำ

• ระบบวิเคราะห์ Present-Only: โมเดลจะวิเคราะห์เฉพาะคำที่ "ตรวจพบจริง" ในเนื้อหาเท่านั้น เพื่อป้องกันปัญหาความเอนเอียง (Bias) ที่คำปกติทั่วไปโดนจัดประเภทเป็นสแปมเพราะไม่เคยมีอยู่ในชุดข้อมูลฝึกฝน

• Length-Calibrated Offset: มีการปรับเกณฑ์การตัดสินใจแบบแปรผันตามความยาวของข้อความจริง ($5.5 + 0.49 \times N$ ของคำที่ตรงกับฟีเจอร์) เพื่อชดเชยค่าความมั่นใจ ส่งผลให้ข้อความยาวๆ เช่น การพิมพ์บทความหรือการเขียนคำร้องเรียนปกติทางภาครัฐไม่ถูกบล็อกโดยสิ้นเชิง ในขณะที่สแปมลิงก์สั้นๆ จะถูกคัดกรองออกทันที

"PII Masking" คืออะไร?

คือการเซ็นเซอร์ข้อมูลส่วนบุคคลโดยอัตโนมัติ เช่น เบอร์โทรศัพท์, อีเมล หรือเลขบัตรเครดิต โดยจะถูกแทนที่ด้วยข้อความเช่น [PHONE_MASKED] ก่อนจะบันทึกลง SIEM

เอนจินมีความเร็วแค่ไหน?

รวดเร็วมาก โดยปกติจะใช้เวลาประมวลผลน้อยกว่า 1 มิลลิวินาทีต่อข้อความ คุณสามารถทดสอบได้ผ่านปุ่ม Benchmark ด้านบน

สามารถปรับแต่งกฎ (Rules) เองได้ไหม?

ได้ โมเดล ML ทำงานร่วมกับชุดกฎที่กำหนดค่าได้ คุณสามารถเพิ่ม Domain Blacklist หรือปรับแต่งคำศัพท์ที่ต้องการเฝ้าระวังได้เอง

สามารถปรับขนาดข้อมูลที่ส่ง หรือเพิ่ม Blacklist ผ่านโค้ดได้ไหม?

ได้ คุณสามารถกำหนดขนาดสูงสุดของข้อความที่จะส่งไปวิเคราะห์ผ่าน payloadLimit ในเมธอด configure() (ค่าเริ่มต้น 250 ตัวอักษร) และสามารถใช้เมธอด addBlacklist() เพื่อเพิ่มโดเมนอันตรายใหม่เข้าสู่ระบบได้ทันทีในระหว่างที่โปรแกรมกำลังทำงาน

โมเดลนี้ถูกพัฒนาขึ้นอย่างไร?

โมเดล Machine Learning ของเราถูกเทรนด้วยข้อมูลสแปมภาษาไทยจริง ผ่านโปรเจกต์ spam-labeler เพื่อให้มั่นใจในความแม่นยำและประสิทธิภาพสูงสุดในการตรวจจับแพทเทิร์นการหลอกลวงในประเทศไทย

🏴‍☠️ เกี่ยวกับ RedSocs

ทีม RedSocs พัฒนา SpamWarden เพื่อหยุดยั้งสแปมและมัลแวร์บนเว็บไซต์ภาครัฐ ปกป้องภาษีประชาชนจากโฆษณาแอบแฝง หากเครื่องมือนี้เป็นประโยชน์ในการปกป้องฐานข้อมูลของคุณ ขอเชิญร่วมสนับสนุนทุนวิจัย security และค่าเซิร์ฟเวอร์ของเราได้ที่:

☕ เลี้ยงกาแฟทีมงาน / สนับสนุน (Sponsor)