Kod sumber perisian DeepSeek AI mendedahkan banyak kejutan.

Apa yang menjadikan DeepSeek istimewa ialah perisian ini dibangunkan sebagai sumber terbuka, yang membolehkan komuniti untuk menyertai dan pembangun menerapkan alat AI ini ke dalam produk mereka.

Di tengah-tengah sensasi global yang menyelubungi DeepSeek, pakar dari firma keselamatan AS Wiz telah menjalankan kajian menyeluruh terhadap kod sumber terbuka alat AI ini.

Pakar mendapati bahawa alat ini mendedahkan banyak pangkalan data kritikal mereka, termasuk log sistem, kandungan arahan pengguna dan juga token pengesahan API (kod keselamatan yang digunakan untuk mengakses antara muka pengaturcaraan DeepSeek)...

Secara keseluruhan, lebih 1 juta rekod data DeepSeek kritikal boleh diakses oleh pihak luar tanpa sekatan. Terutamanya, data ini boleh ditemui melalui beberapa teknik mudah apabila mengeksploitasi kod sumber, dan bukannya memerlukan carian mendalam dan eksploitasi yang sukar.

"Ini merupakan kesilapan serius oleh DeepSeek kerana tahap keselamatannya sangat rendah dan kami mempunyai akses yang sangat tinggi tanpa sebarang sekatan ke atas keistimewaan," kata Ami Luttwak, Ketua Pegawai Teknologi Wiz.

"Ini menunjukkan bahawa DeepSeek tidak cukup selamat untuk pengguna memberikan sebarang data sensitif dan penting mereka," tambah Luttwak.

Pakar keselamatan juga bimbang pelaku jahat boleh mengeksploitasi pangkalan data yang bocor ini untuk mendapatkan akses yang lebih mendalam ke sistem DeepSeek, melaksanakan kod jahat untuk mencuri maklumat pengguna atau memanipulasi jawapan yang diberikan oleh alat AI kepada pengguna.

"Sungguh mengejutkan untuk membina model AI dan membiarkan pintu belakang terbuka luas dari perspektif keselamatan," ulas Jeremiah Fowler, seorang penyelidik keselamatan bebas, selepas membaca laporan yang diterbitkan oleh Wiz.

"Ini bermakna sesiapa sahaja yang mempunyai sambungan internet boleh mengakses dan kemudian memanipulasi alat AI ini, yang menimbulkan risiko yang ketara kepada organisasi dan pengguna," tambah Fowler.

Masih belum jelas sama ada mana-mana pelaku jahat telah mengeksploitasi data sensitif yang bocor daripada DeepSeek untuk menjalankan skim jahat.

Pakar keselamatan Wiz cuba menghubungi DeepSeek untuk memberi amaran kepada mereka tentang penemuan mereka.

DeepSeek kekal diam dan tidak memberikan sebarang respons. Walau bagaimanapun, lebih setengah jam selepas laporan itu dihantar melalui e-mel, pakar Wiz mendapati bahawa data yang bocor dalam kod sumber DeepSeek tidak lagi boleh diakses, bermakna DeepSeek telah campur tangan untuk menangani isu tersebut.

DeepSeek ialah sebuah syarikat permulaan yang ditubuhkan pada tahun 2023 oleh Luong Van Phong. Syarikat ini berpangkalan di Hangzhou, China.

Pada 20 Januari, DeepSeek melancarkan alat AI yang dipanggil R1 kepada pengguna. Alat ini serta-merta menjadi sensasi global kerana keupayaan tindak balasnya yang pantas dan mengagumkan.

Ramai pengguna juga menilai DeepSeek R1 sebagai memberikan jawapan yang lebih pintar, lebih tepat dan pantas berbanding alat AI lain seperti ChatGPT, Gemini atau Llama…

Apa yang paling mengejutkan ialah model AI ini hanya menelan belanja $5.6 juta untuk dibina dan dikendalikan, manakala syarikat teknologi Amerika membelanjakan ratusan juta, malah berbilion dolar, untuk membangun dan mengendalikan model AI mereka sendiri.

Satu lagi sebab DeepSeek menarik perhatian dunia teknologi adalah kerana alat AI ini dicipta dan dibangunkan pada masa kerajaan AS mengenakan sekatan, menyekat bekalan cip AI berprestasi tinggi kepada syarikat China.

Ini bermakna DeepSeek dibangunkan dan beroperasi pada cip AI berprestasi rendah, tetapi masih menunjukkan kuasa yang mengagumkan.

Kemunculan DeepSeek menjanjikan persaingan sengit dalam pembangunan AI antara dua kuasa besar, Amerika Syarikat dan China.

Walau bagaimanapun, di samping pujian itu, ramai orang bimbang bahawa DeepSeek merupakan alat yang digunakan oleh kerajaan Beijing untuk mengumpul maklumat pengguna melalui soalan atau memberikan jawapan yang memberi manfaat kepada dasar China.