“Pembangunan model AI dan meninggalkan pintu belakang terbuka dari perspektif keamanan cukup mengejutkan,” kata peneliti keamanan independen Jeremiah Fowler, yang tidak terlibat dalam penelitian Wiz tetapi mengkhususkan diri dalam menemukan basis data yang terbuka. “Jenis data operasional ini dan kemampuan siapa pun dengan koneksi internet untuk mengaksesnya dan kemudian memanipulasinya adalah risiko besar bagi organisasi dan pengguna.”
Sistem DeepSeek tampaknya dirancang untuk sangat mirip dengan OpenAI, kata para peneliti kepada WIRED pada hari Rabu, mungkin agar lebih mudah bagi pelanggan baru untuk beralih menggunakan DeepSeek tanpa kesulitan. Seluruh infrastruktur DeepSeek tampak meniru OpenAI, mereka mengatakan, sampai detail seperti format kunci API.
Peneliti Wiz mengatakan mereka tidak tahu apakah orang lain menemukan basis data yang terbuka sebelum mereka melakukannya, tetapi tidak akan mengejutkan, mengingat betapa mudahnya untuk menemukannya. Fowler, peneliti independen, juga mencatat bahwa basis data yang rentan pasti akan ditemukan dengan cepat – jika belum – baik oleh peneliti lain atau pelaku jahat.
“Ini adalah panggilan bangun bagi gelombang produk dan layanan AI yang akan kita lihat dalam waktu dekat dan seberapa serius mereka menganggap keamanan cyber,” katanya.
DeepSeek telah membuat dampak global selama seminggu terakhir, dengan jutaan orang berbondong-bondong ke layanan tersebut dan mendorongnya ke puncak toko aplikasi Apple dan Google. Gelombang kejut yang dihasilkan telah menghapus miliaran dari harga saham perusahaan AI berbasis AS dan membuat eksekutif di perusahaan-perusahaan di seluruh negara merasa khawatir. Pada hari Rabu, sumber di OpenAI mengatakan kepada Financial Times bahwa mereka sedang menyelidiki penggunaan yang diduga oleh DeepSeek terhadap keluaran ChatGPT untuk melatih model mereka.
Pada saat yang sama, DeepSeek semakin menarik perhatian para pembuat kebijakan dan regulator di seluruh dunia, yang telah mulai mengajukan pertanyaan tentang kebijakan privasi perusahaan, dampak sensor yang dilakukannya, dan apakah kepemilikan China-nya menimbulkan kekhawatiran keamanan nasional.
Otoritas perlindungan data Italia mengirim DeepSeek serangkaian pertanyaan yang menanyakan dari mana perusahaan tersebut mendapatkan data latihannya, apakah informasi pribadi orang termasuk di dalamnya, dan dasar hukum perusahaan untuk menggunakan informasi ini. Seperti dilaporkan WIRED Italia, aplikasi DeepSeek tampaknya tidak dapat diunduh di negara tersebut setelah pertanyaan dikirim.
Koneksi China DeepSeek juga tampaknya menimbulkan kekhawatiran keamanan. Pada akhir pekan lalu, menurut laporan CNBC, Angkatan Laut AS mengeluarkan peringatan kepada personelnya untuk tidak menggunakan layanan DeepSeek “dengan cara apa pun.” Email tersebut mengatakan anggota staf Angkatan Laut tidak boleh mengunduh, menginstal, atau menggunakan model tersebut, dan menimbulkan kekhawatiran tentang “potensi isu keamanan dan etika.”
Namun, meskipun hype, data yang terbuka menunjukkan bahwa hampir semua teknologi yang mengandalkan basis data yang dihosting di cloud dapat rentan melalui kelalaian keamanan sederhana. “AI adalah medan baru dalam segala hal yang berkaitan dengan teknologi dan keamanan cyber,” kata Ohfeld dari Wiz, “dan masih kita lihat kerentanan lama seperti basis data yang terbuka di internet.”