Kod sumber perisian AI DeepSeek mendedahkan banyak kejutan

Apa yang istimewa tentang DeepSeek ialah perisian itu dibangunkan sebagai sumber terbuka, membolehkan komuniti menyumbang dan pembangun membenamkan alat AI ini ke dalam produk mereka.

Dalam konteks DeepSeek yang "menyebabkan demam" secara global, pakar dari syarikat keselamatan Wiz (AS) telah menyemak dengan teliti kod sumber terbuka alat AI ini.

Pakar telah mendapati bahawa alat ini mendedahkan banyak pangkalan data pentingnya, termasuk log sistem, kandungan arahan pengguna, dan juga token pengesahan API (token keselamatan untuk mengesahkan akses kepada antara muka pengaturcaraan DeepSeek)…

Secara keseluruhan, lebih daripada 1 juta rekod data penting DeepSeek boleh diakses oleh orang luar tanpa sekatan. Terutama, data ini boleh didapati melalui beberapa teknik kecil apabila mengeksploitasi kod sumber, dan bukannya perlu mencari secara mendalam dan mengeksploitasinya dengan cara yang sukar.

"Ini adalah kesilapan serius oleh DeepSeek kerana tahap keselamatan adalah sangat rendah dan kami mempunyai akses yang sangat tinggi tanpa sebarang sekatan ke atas kebenaran," kata Ami Luttwak, CTO Wiz.

"Ini menunjukkan bahawa DeepSeek tidak cukup selamat untuk pengguna memberikan mana-mana data sensitif dan penting mereka," tambah Luttwak.

Pakar keselamatan juga bimbang bahawa pelaku jahat boleh mengeksploitasi pangkalan data yang bocor ini untuk menembusi lebih dalam ke dalam sistem DeepSeek, melaksanakan kod berniat jahat untuk mencuri maklumat pengguna atau memanipulasi jawapan yang diberikan oleh alat AI ini kepada pengguna.

"Ia mengejutkan dari perspektif keselamatan untuk membina model AI dan membiarkan pintu belakang terbuka luas," Jeremiah Fowler, seorang penyelidik keselamatan bebas, mengulas selepas membaca laporan yang diterbitkan oleh Wiz.

"Ini bermakna sesiapa sahaja yang mempunyai sambungan internet boleh mengakses dan kemudian memanipulasi alat AI ini, yang menimbulkan risiko besar kepada organisasi dan pengguna," tambah Fowler.

Masih tidak jelas sama ada mana-mana pelakon jahat telah mengambil kesempatan daripada data sensitif DeepSeek yang bocor untuk menjalankan skim gelap.

Pakar keselamatan Wiz cuba menghubungi DeepSeek untuk memaklumkan mereka tentang penemuan mereka.

DeepSeek berdiam diri dan tidak bertindak balas. Bagaimanapun, lebih setengah jam selepas laporan dihantar melalui e-mel, pakar Wiz mendapati data yang bocor dalam kod sumber DeepSeek tidak lagi boleh diakses, bermakna DeepSeek telah campur tangan untuk menangani masalah tersebut.

DeepSeek ialah syarikat permulaan yang diasaskan pada 2023 oleh Luong Van Phong. Syarikat itu beribu pejabat di Hangzhou, China.

Pada 20 Januari, DeepSeek mengeluarkan alat AI yang dipanggil R1 kepada pengguna. Alat ini serta-merta "menyebabkan demam" di seluruh dunia berkat keupayaan tindak balas yang mengagumkan dan pantas.

Ramai pengguna juga menilai DeepSeek R1 sebagai menyediakan jawapan yang lebih bijak, lebih tepat dan lebih pantas daripada alatan AI lain seperti ChatGPT, Gemini atau Llama...

Apa yang membuatkan DeepSeek paling mengejutkan ialah model AI ini hanya berharga 5.6 juta USD untuk membina dan beroperasi, manakala syarikat teknologi AS membelanjakan ratusan, malah berbilion dolar untuk membangunkan dan mengendalikan model AI mereka sendiri.

Satu lagi perkara yang membuatkan DeepSeek menarik perhatian dunia teknologi ialah alat AI ini dilahirkan dan dibangunkan pada masa kerajaan AS mengenakan sekatan, menghalang pembekalan cip AI berprestasi tinggi kepada syarikat China.

Ini bermakna DeepSeek telah dibangunkan dan berjalan pada cip AI berprestasi rendah, tetapi masih menunjukkan kuasa yang mengagumkan.

Kemunculan DeepSeek menjanjikan untuk mewujudkan perlumbaan sengit dalam pembangunan AI antara dua kuasa besar, AS dan China.

Walau bagaimanapun, selain penghargaan yang tinggi, ramai orang bimbang DeepSeek adalah alat kerajaan Beijing untuk mengumpul maklumat pengguna melalui soalan atau memberi jawapan yang memihak kepada dasar China.