DeepSeek สตาร์ทอัพด้านปัญญาประดิษฐ์ (AI) ของจีนที่กำลังมาแรง ได้เผชิญกับปัญหาความปลอดภัย หลังจากพบว่าหนึ่งในฐานข้อมูลของบริษัท สามารถเข้าถึงได้ผ่านอินเทอร์เน็ต ซึ่งอาจเปิดช่องให้ผู้ไม่หวังดีเข้าถึงข้อมูลสำคัญได้
นักวิจัยด้านความปลอดภัยจาก Wiz ชื่อ Gal Nagli เปิดเผยว่าฐานข้อมูล ClickHouse ซึ่งโฮสต์อยู่ที่ oauth2callback.deepseek[.]com:9000 และ dev.deepseek[.]com:9000 สามารถถูกควบคุมได้อย่างสมบูรณ์โดยไม่ต้องมีการตรวจสอบสิทธิ นอกจากนี้ยังสามารถใช้ประโยชน์จากอินเทอร์เฟซ HTTP ของ ClickHouse เพื่อรันคำสั่ง SQL ผ่านเว็บเบราว์เซอร์โดยตรง ซึ่งทำให้เกิดความเสี่ยงอย่างมากต่อความปลอดภัยของข้อมูลภายในองค์กร
การรั่วไหลของข้อมูลในครั้งนี้ยังรวมถึงบันทึกการใช้งานมากกว่าหนึ่งล้านบรรทัด ซึ่งประกอบไปด้วย ประวัติการสนทนา, คีย์ลับ, รายละเอียดของระบบหลังบ้าน, ข้อมูล API Secrets ตลอดจนข้อมูลเมตาดาต้าสำหรับการดำเนินงาน
อย่างไรก็ตาม DeepSeek ได้ทำการปิดช่องโหว่ด้านความปลอดภัยดังกล่าว หลังจากที่ทีมรักษาความปลอดภัยบนคลาวด์ของ Wiz ได้พยายามติดต่อบริษัท แม้ขณะนี้ยังไม่มีข้อมูลยืนยันว่าผู้ไม่หวังดีรายอื่นสามารถเข้าถึงหรือดาวน์โหลดข้อมูลที่รั่วไหลออกไปหรือไม่ แต่เหตุการณ์ครั้งนี้ชี้ให้เห็นถึงความเสี่ยงที่เกิดจากการนำเทคโนโลยี AI มาใช้อย่างรวดเร็วโดยไม่มีมาตรการรักษาความปลอดภัยที่เพียงพอ
Nagli กล่าวเพิ่มเติมว่า “การปกป้องข้อมูลของลูกค้าต้องเป็นสิ่งสำคัญสูงสุดสำหรับทีมรักษาความปลอดภัย และเป็นสิ่งจำเป็นอย่างยิ่งที่ทีมรักษาความปลอดภัยจะต้องทำงานร่วมกับวิศวกร AI อย่างใกล้ชิด เพื่อปกป้องข้อมูลและป้องกันการรั่วไหล” พร้อมเตือนว่าภัยคุกคามด้านความปลอดภัยของ AI ไม่ได้มาจากอนาคตเพียงอย่างเดียว แต่ยังรวมถึงความผิดพลาดพื้นฐาน เช่น การเปิดเผยฐานข้อมูลต่อสาธารณะโดยไม่ได้ตั้งใจ ซึ่งอาจนำไปสู่ความเสียหายร้ายแรงได้
เหตุการณ์ครั้งนี้ถือเป็นบทเรียนสำคัญสำหรับองค์กรที่พัฒนา AI ในการให้ความสำคัญกับมาตรการรักษาความปลอดภัยของข้อมูลควบคู่ไปกับการพัฒนาเทคโนโลยี เพื่อป้องกันการละเมิดข้อมูลและลดความเสี่ยงที่อาจเกิดขึ้นในอนาคต
อ่านเพิ่มเติมที่นี่ – THN
