Trí tuệ nhân tạo tiếp tục phát triển vượt bậc, nhưng cũng không phải là không có thách thức. DeepSeek, một chatbot trí tuệ nhân tạo được phát triển tại Trung Quốc, được đặc trưng bởi mã nguồn mở và cạnh tranh với những gã khổng lồ như OpenAI và Google, đang ở trung tâm của một vụ bê bối sau khi tiết lộ một vụ vi phạm an ninh nghiêm trọng điều này đã gây nguy hiểm cho dữ liệu của hàng triệu người dùng trên toàn thế giới.
Các nhà nghiên cứu tại công ty bảo mật đám mây Wiz đã xác định được cơ sở dữ liệu DeepSeek công khai có thể truy cập mà không cần hạn chế xác thực. Cơ sở dữ liệu này, được lưu trữ trên một hệ thống quản lý có tên là ClickHouse, chứa thông tin nhạy cảm chẳng hạn như khóa API, tin nhắn trò chuyện văn bản thuần túy, nhật ký hệ thống nội bộ và yêu cầu của người dùng. Việc tiết lộ thông tin như vậy gây ra rủi ro đáng kể cho cả người dùng và công ty, mở ra cánh cửa cho các cuộc tấn công mạng và sử dụng sai mục đích dữ liệu cá nhân.
Lỗ hổng DeepSeek gây lo ngại
Báo cáo của Wiz nêu chi tiết cách truy cập vào cơ sở dữ liệu dễ dàng đến ngạc nhiên. Sau khi quét sơ qua, các nhà nghiên cứu đã tìm thấy đường dẫn truy cập thông qua giao diện HTTP của ClickHouse, cho phép thực hiện các truy vấn SQL trực tiếp từ trình duyệt. Mức độ khả năng truy cập này đáng báo động trong mọi bối cảnh, nhưng thậm chí còn đáng lo ngại hơn khi nói đến một chatbot xử lý thông tin bí mật.
Theo các bác sĩ chuyên khoa, Cơ sở dữ liệu chứa tin nhắn trò chuyện, phần lớn bằng tiếng Trung, mặc dù không loại trừ khả năng cũng có những tin nhắn bằng các ngôn ngữ khác. Ngoài ra, họ còn tìm thấy tuyến đường hệ thống nội bộ và khóa API được sử dụng để xác thực yêu cầu. Kẻ tấn công có thể sử dụng loại thông tin này để thao túng các hệ thống nội bộ của DeepSeek, truy cập vào dữ liệu quan trọng hơn hoặc xâm phạm toàn bộ cơ sở hạ tầng của công ty.
Để đáp lại, các nhà nghiên cứu đã cố gắng cảnh báo những người quản lý DeepSeek thông qua nhiều phương tiện khác nhau, bao gồm email và hồ sơ LinkedIn có liên quan đến công ty. Mặc dù ban đầu họ không nhận được phản hồi, Họ đã chặn cơ sở dữ liệu công cộng khoảng 30 phút sau những nỗ lực này, khiến nội dung của nó không thể truy cập được đối với người dùng bên ngoài.
Tác động đến niềm tin đối với các nền tảng AI tạo ra
Lỗ hổng bảo mật được phát hiện đặt ra những câu hỏi nghiêm trọng về mức độ trưởng thành và sẵn sàng xử lý của DeepSeek thông tin nhạy cảm. Theo Ami Luttwak, Giám đốc công nghệ của Wiz, Những loại lỗi này không thể chấp nhận được trong các hệ thống muốn giành được lòng tin của người dùng và các công ty trên toàn thế giới. Mặc dù Lỗi bảo mật không phải là hiếm trong lĩnh vực công nghệ, thực tế là khoảng cách này rất dễ tìm và khai thác nêu bật sự thiếu hụt các biện pháp an toàn cơ bản.
Sự cố này cũng làm dấy lên cuộc tranh luận về những rủi ro liên quan đến việc sử dụng các công nghệ AI được phát triển tại Trung Quốc. Cả Ireland và Ý, cùng với các quốc gia khác trong Liên minh Châu Âu, đã yêu cầu thông tin về cách DeepSeek xử lý dữ liệu người dùng và liệu dữ liệu đó có được lưu trữ trong Máy chủ Trung Quốc. Tập phim này gợi lại những trường hợp trước đó, chẳng hạn như ChatGPT tạm thời bị chặn ở Ý vào năm 2023 do những lo ngại tương tự.
Thế tiến thoái lưỡng nan của nguồn mở
Vì là mã nguồn mở, DeepSeek mang lại một số lợi thế nhất định như khả năng truy cập cho các nhà phát triển và công ty khởi nghiệp. Tuy nhiên, Tính năng này cũng làm tăng nguy cơ các công cụ độc hại khai thác lỗ hổng trong cơ sở hạ tầng của bạn, như đã xảy ra trong trường hợp này. Các chuyên gia bảo mật cảnh báo rằng các mô hình như DeepSeek phải được kiểm tra kỹ lưỡng và giám sát liên tục để ngăn chặn các vi phạm như vậy.
Khi ảnh hưởng của DeepSeek tiếp tục tăng lên, thì mối lo ngại về quyền riêng tư và an ninh mạng. Điều khoản dịch vụ của chatbot tiết lộ rằng công ty thu thập và lưu giữ dữ liệu người dùng vô thời hạn, một thực tế có thể gây ra nhiều chỉ trích và sự giám sát quốc tế hơn nữa.
Sự cố này làm nổi bật Tầm quan trọng của việc thiết lập các tiêu chuẩn toàn cầu chặt chẽ hơn để đảm bảo tính bảo mật và riêng tư của dữ liệu người dùng. Trong một thế giới ngày càng phụ thuộc vào các công nghệ này, các nhà phát triển phải ưu tiên sự tin cậy và minh bạch như những trụ cột cơ bản cho sự phát triển của họ.