บริษัท AI สุดล้ำอย่าง Deepseek สร้างความฮือฮา ประสิทธิภาพของโมเดลที่ดี, ยอดใช้งานและความสนใจเป็นอย่างมาก กลับมาเป็นประเด็นร้อน ถูกพบว่า เจอฐานข้อมูลหลุดบน Internet ที่เปิดให้คนนอกเข้าถึงได้ง่าย ๆ ทำให้รู้สึกไม่ปลอดภัย ส่งผลให้ข้อมูลผู้ใช้และระบบจำนวนมากตกอยู่ในความเสี่ยงร้ายแรง

เส้นเวลาของการรั่วไหลของข้อมูล

เรื่องราวเกิดขึ้น เมื่อ 30 มกราคม 2025 ทีมนักวิจัยด้านความปลอดภัยของ Wiz พยายามตรวจสอบช่องโหว่ของบริษัท Deepseek พบว่า ได้เจอฐานข้อมูลขนาดใหญ่ Clickhouse Database มี host ดังนี้

  1. http://oauth2callback.deepseek.com:8123  
  2. http://dev.deepseek.com:8123  
  3. http://oauth2callback.deepseek.com:9000  
  4. http://dev.deepseek.com:9000 

เปิดอยู่บนอินเทอร์เน็ต แบบสาธารณะ โดยไม่มีการป้องกันใด ๆ เลย

ฐานข้อมูลขนาดใหญ่ Clickhouse Database ของ DeepSeek อยู่ที่ dev.deepseek.com:9000

ข้อมูลที่รั่วไหลออกมาประกอบด้วย:

  1. ประวัติการแชทของผู้ใช้: อาจทำให้ข้อมูลส่วนตัวหรือข้อมูลของผู้ใช้งานที่สำคัญ หลุดเผยแพร่สู่สาธารณะ
  2. คีย์ API: รหัสการยืนยันตัวคนของผู้ใช้งาน หากหลุดออกไป ก็สามารถเข้าถึงระบบการใช้งานของผู้อื่น
  3. รายละเอียดโครงสร้างระบบเบื้องหลัง: อาจทำให้ผู้ไม่หวังดี เข้ามาควบคุมระบบได้
  4. log streams: อาจทำให้ทราบถึงข้อมูลการทำธุรกรรม ทั้งการบันทึก เปลี่ยนแปลงข้อมูล ต่าง ๆ ที่เราทำกิจกรรม

ซึ่งรวมกันมีมากกว่า 1 ล้านรายการ

สิ่งที่น่าประหลาดใจ คือ นักวิจัยสามารถเข้าถึงข้อมูลนี้ได้ง่ายมาก เพียงสแกนเครือข่ายเล็กน้อย ทำให้มีความเป็นไปได้สูงว่าอาจมีคนอื่น ไม่ว่าจะเป็นนักวิจัยหรือผู้ไม่หวังดีอย่างมิจฉาชีพ, แฮ็คเกอร์ สามารถเข้าถึงข้อมูลเหล่านี้มาก่อนหน้า

ข้อมูลเรื่อง จรวดเชื้อเพลิงแข็ง ทั้งหมด ถูกเปิดเผยต่อสาธารณะ

ผลกระทบจากการรั่วไหล

เหตุการณ์นี้ส่งผลกระทบทั้งต่อผู้ใช้และวงการบริษัท AI เช่น

  1. ผู้ใช้ : ใครที่เคยใช้บริการของ DeepSeek อาจเผชิญกับความเสี่ยงด้านความเป็นส่วนตัว เช่น การถูกปลอมแปลงตัวตน, การเปิดเผยข้อมูลที่ไม่จำเป็น (PDPA) หรือการโจมตีระบบอื่นที่เชื่อมโยงกับคีย์ API
  2. DeepSeek : ชื่อเสียง, ภาพลักษณ์และความน่าเชื่อถือของบริษัทได้รับผลกระทบอย่างหนัก หลายคนเริ่มสงสัยว่า บริษัทนี้มีความพร้อมด้านการดูแลข้อมูลสำคัญของผู้ใช้หรือองค์กรจริงหรือไม่
  3. อุตสาหกรรม AI : เหตุการณ์นี้เป็นสัญญาณเตือนสำหรับบริษัท AI ทั่วโลก ว่าความปลอดภัยทางไซเบอร์ควรเป็นลำดับแรกในการพัฒนาเทคโนโลยี
ข้อมูลส่วนตัว, บริการและ API ถูกเปิดเผยต่อสาธารณะ

ปฏิกิริยาจากฝั่ง DeepSeek

DeepSeek ไม่ออกมาแก้ไขเหตุการณ์นี้เลยในช่วงแรก นักวิจัยจาก Wiz บอกว่า พวกเขาติดต่อบริษัท ผ่านหลายช่องทาง เช่น อีเมลและ LinkedIn แต่ไม่ได้รับคำตอบ จากนั้นภายในครึ่งชั่วโมง หลังจากส่งข้อความออกไป ฐานข้อมูลที่เปิดเผยก็ถูกล็อกและไม่สามารถเข้าถึงได้อีก

ความเห็นจากผู้เชี่ยวชาญ

ผู้เชี่ยวชาญด้านความปลอดภัยอย่าง อามี ลัตต์วัค CTO ของ Wiz ระบุว่า “นี่เป็นข้อผิดพลาดที่ร้ายแรง ระดับการป้องกันมีน้อยมาก แต่ระดับการเข้าถึงกลับสูงมาก บริการของ Deepseek นี้อาจยังไม่พร้อมสำหรับการใช้งานกับข้อมูลที่มีความสำคัญ”

ขณะเดียวกัน เจเรมายาห์ โฟว์เลอร์ นักวิจัยด้านความปลอดภัยอิสระ ก็แสดงความเห็นว่า “ฐานข้อมูลที่เปราะบางแบบนี้ มักจะถูกพบเจออย่างรวดเร็ว หากยังคงเปิดเผยไว้แบบนี้”

มาตรการป้องกันสำหรับผู้ใช้

หากคุณเคยใช้บริการของ DeepSeek หรือกำลังใช้อยู่ สิ่งที่คุณจะต้องทำ:

  1. ตรวจสอบข้อมูลที่ถูกเปิดเผย : ติดต่อ DeepSeek เพื่อสอบถามว่าข้อมูลของคุณถูกเปิดเผยหรือไม่
  2. เปลี่ยนรหัสผ่าน : ไม่ใช่แค่บัญชี DeepSeek แต่รวมถึงบัญชีอื่น ๆ ที่อาจใช้รหัสผ่านเดียวกัน
  3. เปิดใช้งาน 2FA : เพิ่มความปลอดภัยด้วยการยืนยันตัวตน 2 ขั้นตอน และคอยดูข่าวสาร เพื่อรับมือความปลอดภัยอยู่เสมอ
  4. จำกัดการแชร์ข้อมูล : อย่าใส่ข้อมูลส่วนตัวหรือข้อมูลสำคัญลงในระบบ AI
  5. ใช้ VPN : ปกปิดตำแหน่งและข้อมูลส่วนตัวของคุณ

มาตรการเหล่านี้ จะช่วยให้ผู้ใช้งานปกป้องความเป้นส่วนตัวของข้อมูลมากขึ้น

ตารางข้อมูลการส่งออกจาก ClickHouse Web UI

อนาคตของ DeepSeek และวงการ AI

หลังจากเหตุการณ์นี้ DeepSeek ได้จำกัดการลงทะเบียนผู้ใช้ชั่วคราว และคาดว่าจะมีแผนการปรับปรุงความปลอดภัยในอนาคต แต่คำถามใหญ่และสำคัญคือ คนทั่วโลกจะยังไว้วางใจบริษัท AI จากจีนได้มากแค่ไหน?

ความกังวลระหว่างประเทศต่อการใช้งาน Deepseek

  1. กองทัพเรือสหรัฐฯ ยังออกคำเตือนไม่ให้พนักงานใช้บริการของ DeepSeek เพราะกังวลเรื่องความปลอดภัยและจริยธรรม
  2. หน่วยงานคุ้มครองข้อมูลของอิตาลีก็เริ่มสอบสวนแหล่งที่มาของข้อมูลที่ใช้ฝึกโมเดล AI ของบริษัท
  3. กระทรวงดิจิทัลของไต้หวัน บอกว่า ไม่ให้ใช้ Deepseek เพราะอาจเป็นภัยต่อความมั่นคงของไต้หวัน กลัวข้อมูลหลุดไปยังจีน จึงต้องปกป้องข้อมูลสำคัญในประเทศอย่างเต็มที่

การตอบสนองของ ทีมงาน Deepseek

ผ่านไป 1 ชั่วโมง หลังได้รับการแจ้งเตือนจาก นักวิจัยของ Wiz

Deepseek ก็แก้ไขข้อมูลเรียบร้อย แม้การตอบสนองครั้งนี้เป็นสิ่งสำคัญการปกป้องข้อมูลในยุคดิจิทัล

ข้อสรุป:

กรณีของ Deepseek สาเหตุมาจากโครงสร้างพื้นฐาน และเครื่องมือที่รองรับ Deepseek เป็นบทเรียนสำคัญสำหรับวงการ AI ทั่วโลก เกี่ยวกับการพัฒนาเทคโนโลยีต้องมาพร้อมกับความปลอดภัยและป้องกันข้อมูลส่วนตัว การป้องกันไว้ก่อนย่อมดีกว่าแก้ไขภายหลัง หวังว่าเหตุการณ์นี้จะทำให้บริษัทต่าง ๆ ตระหนักถึงความสำคัญกับความปลอดภัย เพื่อสร้างความไว้วางใจและความยั่งยืนในระยะยาว

Source:

Wiz, Wired, Infoquest