นักวิจัยด้านความปลอดภัยพบช่องโหว่ในฐานข้อมูลของ DeepSeek

DeepSeek บริษัทสตาร์ทอัพด้านปัญญาประดิษฐ์ของจีน ถูกนักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ ซึ่งเป็นข้อมูลการสนทนาและคีย์ลับ หรือ Secret Keys กว่า 1 ล้านรายการ สร้างความกังวลเกี่ยวกับความเป็นส่วนตัวและความปลอดภัยของข้อมูลผู้ใช้

นักวิจัยด้านความปลอดภัยจาก Wiz เปิดเผยว่าพวกเขาได้ค้นพบฐานข้อมูลสำคัญของ DeepSeek ที่เปิดเผยสู่สาธารณะโดยไม่มีการป้องกัน โดยข้อมูลที่พบประกอบไปด้วยประวัติการสนทนาของผู้ใช้งาน คีย์สำหรับยืนยันตัวตน API บันทึกระบบ และข้อมูลสำคัญอื่นๆ ซึ่งสามารถเข้าถึงได้โดยไม่มีข้อจำกัดใดๆ

ทีมวิจัยของ Wiz ระบุว่าพวกเขาสามารถค้นพบฐานข้อมูลนี้ได้ภายในไม่กี่นาที โดยไม่ต้องผ่านกระบวนการยืนยันตัวตน ข้อมูลดังกล่าวถูกเก็บอยู่ในระบบจัดการข้อมูลโอเพ่นซอร์สที่เรียกว่า ClickHouse และมีบันทึกมากกว่า 1 ล้านรายการ

Wiz ระบุว่าช่องโหว่นี้อาจทำให้แฮกเกอร์สามารถควบคุมฐานข้อมูลได้ทั้งหมด รวมถึงอาจเพิ่มสิทธิ์การเข้าถึงในระบบของ DeepSeek ได้ ซึ่งอาจนำไปสู่การโจมตีระบบภายในของบริษัท 

หลังจาก Wiz แจ้งเตือนเรื่องช่องโหว่ DeepSeek ได้ดำเนินการปิดฐานข้อมูลทันที อย่างไรก็ตาม ยังไม่มีข้อมูลแน่ชัดว่ามีใครเข้าถึงข้อมูลนี้ไปก่อนหน้าหรือไม่

นักวิจัยของ Wiz ให้สัมภาษณ์กับ Wired ว่าไม่แปลกใจเลยหากมีคนอื่นพบฐานข้อมูลนี้ก่อนพวกเขา เพราะมันถูกเปิดกว้างและค้นพบได้ง่ายมาก นอกจากนี้ พวกเขายังตั้งข้อสังเกตว่าระบบของ DeepSeek มีความคล้ายคลึงกับโอเพนเอไออย่างมาก แม้แต่รูปแบบของคีย์ API ซึ่งอาจสะท้อนถึงโครงสร้างระบบที่คล้ายกัน

กรณีนี้เกิดขึ้นหลังจากที่โอเพนเอไอ กล่าวหา DeepSeek ว่าใช้ข้อมูลของตนในการฝึก AI เมื่อต้นสัปดาห์ที่ผ่านมา ซึ่งทำให้ DeepSeek ถูกจับตามองมากขึ้นทั้งในเรื่องความโปร่งใสและความปลอดภัยของระบบ

ที่มา: Wired