ในยุคที่องค์กรเร่งใช้ระบบอัตโนมัติแบบ no-code/low-code มากขึ้น พื้นผิวการโจมตีด้านไซเบอร์ไม่ได้อยู่ที่ซอร์สโค้ดของนักพัฒนาเป็นหลักอีกต่อไป แต่อยู่ที่เวิร์กโฟลว์ที่พนักงานสายธุรกิจสร้างขึ้นเองโดยขาดการกำกับจากไอทีและทีมความปลอดภัย องค์กรจำนวนมากเพิ่งค้นพบว่ามีเวิร์กโฟลว์ลับนับพันรันอยู่จริง ทั้งที่เดิมคาดว่าอยู่ในระดับไม่กี่สิบหรือไม่กี่ร้อย และบางคนที่ไม่ใช่วิศวกรกลับสร้างอัตโนมัติมากกว่า 150 ชิ้นด้วยตนเอง เวิร์กโฟลว์เหล่านี้เชื่อมต่อระบบ SaaS และฐานข้อมูลหลายตัว เข้าถึงข้อมูลสำคัญ เรียกใช้ API และบางครั้งฝังรหัสผ่านหรือ token ไว้ในตัวงานอัตโนมัติ โดยไม่เคยผ่านการตรวจโค้ด การทำ threat modeling หรือการเก็บล็อกแบบที่เครื่องมือ SIEM ใช้งานได้ ตัวอย่างเช่น พบเวิร์กโฟลว์ที่ส่งต่ออีเมลองค์กรไปยังบัญชี Gmail ส่วนตัวแบบอัตโนมัติโดยไม่มีใครรู้ เมื่อ AI และ AI agent เข้ามาช่วยสร้างเวิร์กโฟลว์จากคำสั่งภาษาธรรมชาติ ปัญหาเรื่อง “เจ้าของ” ยิ่งรุนแรงขึ้น หลายงานรันด้วย service account ที่ผูกอัตโนมัตินับร้อย หรือเป็นของพนักงานที่ลาออกไปแล้ว ทำให้ตอบยากว่าใครเข้าใจตรรกะ ใครอนุมัติสิทธิ์ และพฤติกรรมที่เห็นผิดปกติหรือไม่ ในสถานการณ์ incident จริง ทีมรักษาความปลอดภัยจึงมักจำเป็นต้องปิดเวิร์กโฟลว์ชุดใหญ่รวดเดียว เสี่ยงกระทบกระบวนการธุรกิจสำคัญ เครื่องมือ AppSec แบบเดิมอย่าง SAST, DAST, IAST หรือ pentest ก็ไม่สามารถจัดการความเสี่ยงนี้ได้ดี เพราะ no-code มักไม่สร้างโค้ดให้สแกน ไม่รันในสภาพแวดล้อมที่เครื่องมือทดสอบได้ และมี data lineage ที่ไม่ชัดเจน เกิดเป็น “ชั้นเงา” ของ business logic ที่อยู่นอกขอบเขต DevSecOps และโปรแกรมบริหารอัตลักษณ์แบบดั้งเดิม ทำให้หนี้ทางความปลอดภัยสะสมต่อเนื่อง ผู้เขียนเสนอว่าทางออกไม่ใช่การห้าม citizen developer แต่ต้องสร้างการมองเห็นและธรรมาภิบาลใหม่ โดยเริ่มจาก 5 ขั้นตอน ได้แก่ การทำ discovery อย่างต่อเนื่องบนทุกแพลตฟอร์ม no-code, กำหนดเจ้าของชัดเจนให้ทุกเวิร์กโฟลว์, วางกติกา lifecycle ตั้งแต่เปลี่ยนแปลงจนเลิกใช้, เฝ้าระวังพฤติกรรมขณะรันเพื่อจับสิทธิ์เกินจำเป็นหรือการเข้าถึงข้อมูลผิดปกติ และบูรณาการการกำกับอัตโนมัติของผู้ใช้ธุรกิจเข้าในเฟรมเวิร์กความปลอดภัยหลักขององค์กร สารสำคัญคือองค์กรต้องเร่งค้นหาและจัดการกับ “อสังหาริมทรัพย์ no-code ที่มองไม่เห็น” เหล่านี้ ก่อนที่มันจะกลายเป็นช่องโหว่หลักของโครงสร้างพื้นฐานดิจิทัลในระยะยาว Post navigation เดิมพันครั้งใหญ่ของ Apple กับ Gemini: ฮันนีมูนที่อาจจบด้วยการหย่าร้าง
