DeepSeek គឺជាការចាប់ផ្តើមនៃបច្ចេកទេសសប្បនិម្មិត AI ដែលគេស្គាល់ថាជាជំនាន់ DeepSeek-R1 LLM model ហើយត្រូវបានលាតត្រដាងមូលដ្ឋានទិន្នន័យចំនួន២ ដែលមានផ្ទុកព័ត៌មានសម្ងាត់អ្នកប្រើប្រាស់ និងព័ត៌មានអំពីប្រតិបត្តិការអាជីវកម្ម។
ប្រព័ន្ធគ្រប់គ្រងមូលដ្ឋានទិន្នន័យ ClickHouse ដែលគ្មានសុវត្ថិភាពបានបណ្តាលឱ្យកំណត់ត្រាមិនតិចជាង ១លាន (log entries) ដែលមានផ្ទុកប្រវត្តិជជែករបស់អ្នកប្រើប្រាស់នៅក្នុងទម្រង់អត្ថបទធម្មតា API Keys ព័ត៌មានលម្អិត Backend និងទិន្នន័យប្រតិបត្តិការអំពីអាជីវកម្ម (Matadata)។ ការស្រាវជ្រាវនៅក្រុមហ៊ុន Wiz បានរកឃើញការលាតត្រដាងនេះ នៅពេលវាយតម្លៃអំពីសុវត្ថិភាពនៃរចនាសម្ព័ន្ធខាងក្រៅរបស់ DeepSeek។
ក្រុមហ៊ុនសុវត្ថិភាពបានរកឃើញមូលដ្ឋានទិន្នន័យដែលអាចចូលប្រើជាសាធារណៈនៅ oauth2callback.deepseek.com:9000 និង dev.deepseek.com:9000 ដែលអនុញ្ញាតឱ្យមានការបំពាន SQL Queries តាមរយៈ Web Interface ដោយមិនទាមទារការផ្ទៀងផ្ទាត់។ មូលដ្ឋានទិន្នន័យមានផ្ទុកតារាង ‘log_stream’ ដែលបានរក្សាកំណត់ត្រាផ្ទៃក្នុងសម្ងាត់ចាប់ពីថ្ងៃទី៦ ខែមករា ឆ្នាំ២០២៥ ដោយមានផ្ទុកទិន្នន័យដូចជា៖
– សំណួរអ្នកប្រើសួរទៅកាន់ Chatbot របស់ DeepSeek
– Keys ដែលបានប្រើដោយប្រព័ន្ធ Backend សម្រាប់ផ្ទៀងផ្ទាត់ API Calls
– ព័ត៌មានរចនាសម្ព័ន្ធ និងសេវាផ្ទៃក្នុង
– និងបណ្តុំទិន្នន័យនៃប្រតិបត្តិការអាជីវកម្មផ្សេងៗ
ក្រុមហ៊ុនកម្មវិធី Wiz បានបញ្ជាក់ថា កម្រិតនៃការចូលប្រើនេះបានបង្កឱ្យមានហានិភ័យធ្ងន់ធ្ងរដល់សុវត្ថិភាពរបស់ DeepSeek និងអ្នកប្រើប្រាស់របស់កម្មវិធីនេះ។ មិនត្រឹមតែហេគឃ័រទេដែលអាចទាញយកកំណត់ត្រា (logs) និងសារជជែកក្នុងទម្រង់ជាអត្ថបទធម្មតាបាននោះ ប៉ុន្តែពួកគេក៏អាចច្រោះយកលេខសម្ងាត់ដែលរក្សាទុកក្នុងទម្រង់អត្ថបទធម្មតា និងឯកសារមូលដ្ឋានជាមួយនឹងព័ត៌មានដោយផ្ទាល់ពីម៉ាស៊ីនមេ ដោយគ្រាន់តែប្រើសំណួរដូចជា SELECT* FROM file (‘Filename’) ដែលអាស្រ័យលើការកំណត់នៃរចនាសម្ព័ន្ធ ClickHouse របស់ពួកគេ។
ក្រុមហ៊ុន Wiz ថ្លែងថា ខ្លួនអាចប្រតិបត្តិការ SQL Queries ជាច្រើន ប៉ុន្តែបានកម្រិតចំពោះការស្វែងរករបស់ខ្លួន ដើម្បីរក្សាការស្រាវជ្រាវក្នុងកម្រិតក្រមសីលធម៌។ វាមិនដឹងថាតើ អ្នកស្រាវជ្រាវក្រុមហ៊ុន Wiz គឺជាអ្នករកឃើញដំបូងចំពោះការលាតត្រដាងនេះឬហេគឃ័រមិនល្អបានកេងចំណេញលើបញ្ហានេះហើយទេដឹង (misconfiguration)។ ទោះជាយ៉ាងណា ក្រុមហ៊ុន Wiz បានជូនដំណឹងដល់ DeepSeek ពីបញ្ហានេះ ហើយក្រុមហ៊ុនបានដោះស្រាយបញ្ហានៃការលាតត្រដាងនេះ ដូច្នេះមូលដ្ឋានទិន្នន័យលែងមានជាសាធារណៈទៀតហើយ។
បញ្ហាសុវត្ថិភាពរបស់ DeepSeek: ក្រៅពីការព្រួយបារម្ភដែលបានកើតឡើងពី DeepSeek ដែលជាក្រុមហ៊ុនបច្ចេកវិទ្យាពឹងផ្អែកលើចិន ហើយមានន័យថា វាត្រូវតែអនុលោមតាមសំណើចូលប្រើទិន្នន័យពីរដ្ឋាភិបាលចិននោះ ក្រុមហ៊ុនហាក់ដូចជាមិនបានបង្កើតជំហរសុវត្ថិភាពរឹងមាំទេ ដោយដាក់ទិន្នន័យសម្ងាត់ក្នុងហានិភ័យ។ ការលាតត្រដាងរបស់កំណត់ត្រាអ្នកប្រើប្រាស់គឺជាការបំពានឯកជនភាពដែលជាការព្រួយបារម្ភដល់អង្គភាព និងប្រើបចេ្ចកវិទ្យា AI នោះក្នុងប្រតិបត្តិការអាជីវកម្មសម្ងាត់របស់ខ្លួន។ ជាងនេះទៀត ការលាតត្រដាងនៃព័ត៌មានលម្អិត Backend និង API keys អាចបើកឱ្យហេគឃ័រចូលទៅក្នុងបណ្តាញណិតវើកខាងក្នុងរបស់ DeepSeek បង្កើនសិទ្ធិ និងបង្កការបំពានកាន់តែធំ។ កាលពីដើមសប្តាហ៍នេះ ផ្លេតហ្វមចិនបានក្លាយជាគោលដៅនៃការវាយប្រហារសាយប័រឥតឈប់ឈរ ដែលហាក់ដូចជាមិនអាចទប់ស្កាត់បាន ព្រមទាំងបានបង្ខំឱ្យផ្អាកការចុះឈ្មោះសម្រាប់អ្នកប្រើប្រាស់ថ្មី អស់រយៈពេលជិត ២៤ម៉ោង។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី៣០ ខែមករា ឆ្នាំ២០២៥
