ETIndonesia. Perusahaan AI asal Tiongkok, DeepSeek, baru-baru ini menjadi viral setelah meluncurkan model AI terbarunya. Namun, di tengah dampaknya terhadap pasar AI Barat, muncul kekhawatiran di dunia teknologi terkait keamanannya.
Sebuah perusahaan keamanan siber AS menemukan lebih dari satu juta data DeepSeek bocor, termasuk kunci API dan rekaman percakapan pengguna. Beberapa negara terpaksa mengambil langkah untuk menghadapi risiko keamanan siber ini.
DeepSeek Mengalami Kebocoran Data, Lebih dari Satu Juta Informasi Terbuka
Setelah DeepSeek mengguncang dunia AI, tim Wiz Research, sebuah perusahaan keamanan siber berbasis di New York, mulai mengevaluasi potensi kerentanannya.
Dalam laporan terbaru mereka, ditemukan bahwa lebih dari 1 juta data tidak terlindungi, termasuk log sistem, kredensial API, serta riwayat percakapan pengguna, yang dapat diakses secara terbuka.
Para peneliti Wiz Research menemukan bahwa data tersebut tampaknya tersimpan dalam database ClickHouse, sebuah sistem database open-source. Karena database ini dapat diakses secara publik, siapa pun yang menemukannya bisa mengakses data tersebut tanpa hambatan.
Menurut Wiz Research, peretas dapat mengeksploitasi celah ini untuk menyusup ke sistem DeepSeek lainnya atau bahkan melakukan serangan eksekusi kode jarak jauh.
Setelah menemukan celah keamanan ini, Wiz segera memperingatkan DeepSeek. Ami Luttwak, Co-founder dan CTO Wiz, mengungkapkan bahwa DeepSeek menghapus data tersebut dalam waktu kurang dari satu jam. Namun, ia menambahkan, “Data ini begitu mudah ditemukan sehingga kemungkinan besar kami bukan satu-satunya yang menemukannya.”
Nir Ohfeld, kepala penelitian keamanan Wiz, menyatakan bahwa meskipun kebocoran data adalah tantangan umum bagi perusahaan dan penyedia layanan cloud, umumnya celah semacam ini tersembunyi di layanan yang kurang mendapat perhatian dan membutuhkan waktu berjam-jam untuk ditemukan. Namun, dalam kasus DeepSeek, kebocoran ini sangat mencolok.
“Menemukan celah ini sangat mudah,” ujar Ohfeld, “Celah ini benar-benar berada di depan pintu rumah mereka.”
Ami Luttwak juga menambahkan bahwa kesalahan adalah hal yang wajar, tetapi kesalahan DeepSeek kali ini sangat serius karena memungkinkan siapapun mengakses data sensitif dengan mudah. Ini menunjukkan bahwa layanan DeepSeek belum cukup matang untuk menangani data yang bersifat sensitif.
Yang lebih mengkhawatirkan, DeepSeek tidak memiliki mekanisme autentikasi atau pertahanan apa pun untuk melindungi databasenya, sehingga data dapat diakses oleh siapa saja.
Menurut Jeremiah Fowler, seorang peneliti keamanan independen, membangun model AI dengan sistem yang tidak aman seperti ini adalah tindakan yang mengejutkan. Ia menjelaskan bahwa jika semua orang yang terhubung ke internet bisa mengakses dan memanipulasi data ini, maka risiko bagi organisasi dan pengguna menjadi sangat besar.
Khawatir Risiko Keamanan, Banyak Negara Ambil Tindakan
Dalam sepekan terakhir, DeepSeek telah menarik jutaan pengguna untuk menggunakan layanan AI-nya. Dengan skala penggunaan yang begitu besar, kerentanan keamanan siber ini dapat menimbulkan konsekuensi serius, sehingga para pakar AI di berbagai negara merasa sangat khawatir.
Sejumlah pembuat kebijakan dan lembaga pengawas mulai meninjau kebijakan privasi DeepSeek, dampaknya terhadap regulasi sensor, serta potensi risikonya terhadap keamanan nasional. Beberapa negara bahkan telah mengambil langkah darurat untuk mengatasi ancaman ini.
Angkatan Laut Amerika Serikat telah mengeluarkan peringatan kepada seluruh personelnya. Karena adanya “potensi masalah keamanan dan etika”, mereka dilarang mengunduh, menginstal, atau menggunakan model AI dari DeepSeek, baik untuk keperluan pekerjaan maupun pribadi.
- Otoritas Perlindungan Data Jerman berencana menyelidiki DeepSeek. Seorang pejabat perlindungan data di Jerman menyatakan, “Dari sudut pandang regulasi perlindungan data pribadi, langkah-langkah keamanan DeepSeek sangat tidak memadai.”
- Italia telah meminta DeepSeek untuk menjelaskan bagaimana data pengguna digunakan. Setelah itu, pemerintah Italia memerintahkan penghapusan aplikasi DeepSeek dari Apple App Store dan Google Play Store di Italia. Otoritas Perlindungan Data Italia (GARANTE) juga mengumumkan pembatasan akses DeepSeek terhadap data pribadi pengguna di Italia sebagai tindakan darurat.
- Pada 1 Februari, Badan Pengawas Privasi Belanda mengeluarkan pernyataan yang menyatakan akan menyelidiki praktik pengumpulan data DeepSeek. Mereka juga memperingatkan warga Belanda agar berhati-hati dalam menggunakan layanan AI tersebut. Dalam pernyataannya, mereka mengatakan, “Kami mengeluarkan peringatan ini karena kebijakan privasi DeepSeek dan cara mereka menggunakan data pribadi menimbulkan keprihatinan serius.”
- Kementerian Digital Taiwan menyatakan kepada media bahwa, demi keamanan siber nasional, pemerintah telah mengeluarkan peringatan kepada instansi pemerintah dan infrastruktur penting untuk membatasi penggunaan produk DeepSeek. Hal ini dilakukan guna menghindari potensi kebocoran data atau informasi sensitif ke platform yang memiliki risiko keamanan siber.
(hui)
