Mã nguồn của phần mềm AI DeepSeek hé lộ nhiều điều bất ngờ

Điểm đặc biệt của DeepSeek là phần mềm được phát triển dưới dạng mã nguồn mở, cho phép cộng đồng cùng tham gia đóng góp cũng như các nhà phát triển có thể nhúng công cụ AI này vào các sản phẩm của họ.

Trong bối cảnh DeepSeek đang "gây sốt" trên toàn cầu, các chuyên gia của công ty bảo mật Wiz (Mỹ) đã tiến hành xem xét kỹ lưỡng mã nguồn mở của công cụ AI này.

Các chuyên gia đã phát hiện ra công cụ này để lộ nhiều cơ sở dữ liệu quan trọng của mình, bao gồm nhật ký hệ thống, nội dung câu lệnh của người dùng và thậm chí các mã token xác thực API (mã bảo mật xác thực để truy cập vào các giao diện lập trình của DeepSeek)…

Tổng cộng hơn 1 triệu bản ghi các dữ liệu quan trọng của DeepSeek có thể được người ngoài truy cập mà không bị hạn chế. Đáng chú ý, các dữ liệu này có thể được tìm thấy thông qua một vài kỹ thuật nhỏ khi tiến hành khai thác mã nguồn, thay vì phải tìm kiếm sâu và khai thác một cách khó khăn.

"Đây là một sai lầm nghiêm trọng của DeepSeek bởi vì mức độ bảo mật rất thấp và chúng tôi có khả năng truy cập rất cao mà không bị hạn chế nào về quyền hạn", Ami Luttwak, Giám đốc Công nghệ của Wiz, cho biết.

"Điều này cho thấy DeepSeek chưa đủ an toàn để người dùng có thể cung cấp bất kỳ dữ liệu nhạy cảm và quan trọng của mình", Luttwak cho biết thêm.

Các chuyên gia bảo mật cũng lo ngại rằng kẻ xấu có thể lợi dụng những cơ sở dữ liệu bị rò rỉ này để xâm nhập sâu hơn vào hệ thống của DeepSeek, thực thi các đoạn mã độc để chiếm đoạt thông tin người dùng hoặc định hướng các câu trả lời do công cụ AI này cung cấp cho người dùng.

"Thật sốc khi xây dựng một mô hình AI và để cửa sau mở toang từ góc độ bảo mật", Jeremiah Fowler, một nhà nghiên cứu bảo mật độc lập, đưa ra bình luận sau khi đọc báo cáo do Wiz công bố.

"Điều này đồng nghĩa với việc bất kỳ ai có kết nối internet cũng có thể truy cập và sau đó thao túng công cụ AI này, sẽ gây ra rủi ro rất lớn với tổ chức và người dùng", Fowler chia sẻ thêm.

Hiện vẫn chưa rõ đã có kẻ xấu nào lợi dụng các dữ liệu nhạy cảm bị rò rỉ của DeepSeek để thực hiện các mưu đồ đen tối hay chưa.

Các chuyên gia bảo mật của Wiz đã cố gắng liên lạc với DeepSeek để cảnh báo về những phát hiện của mình.

Phía DeepSeek đã giữ im lặng và không đưa ra phản hồi nào. Tuy nhiên, hơn nửa giờ sau khi báo cáo được gửi đi thông qua email, các chuyên gia của Wiz nhận thấy những dữ liệu bị rò rỉ trong mã nguồn của DeepSeek hiện đã không còn truy cập được, nghĩa là phía DeepSeek đã có sự can thiệp để xử lý vấn đề.

DeepSeek là công ty khởi nghiệp được thành lập vào năm 2023 bởi Lương Văn Phong. Công ty có trụ sở tại thành phố Hàng Châu, Trung Quốc.

Ngày 20/1 vừa qua, DeepSeek phát hành công cụ AI mang tên gọi R1 đến người dùng. Công cụ này lập tức "gây sốt" trên toàn cầu nhờ khả năng phản hồi nhanh và ấn tượng.

Nhiều người dùng còn đánh giá DeepSeek R1 đưa ra câu trả lời thông minh, chính xác và nhanh hơn so với các công cụ AI khác như ChatGPT, Gemini hay Llama…

Điểm khiến DeepSeek gây kinh ngạc nhất đó là mô hình AI này chỉ mất 5,6 triệu USD để xây dựng và vận hành, trong khi các hãng công nghệ của Mỹ đang chi ra hàng trăm, thậm chí hàng tỷ đô la để phát triển và vận hành mô hình AI của riêng họ.

Một điểm khác khiến DeepSeek thu hút sự chú ý của giới công nghệ đó là công cụ AI này được ra đời và phát triển vào thời điểm chính phủ Mỹ đang áp dụng các lệnh trừng phạt, ngăn chặn nguồn cung cấp chip AI hiệu suất cao cho các công ty Trung Quốc.

Điều đó có nghĩa là DeepSeek được phát triển và hoạt động dựa trên các chip AI hiệu suất thấp, nhưng vẫn thể hiện được sức mạnh đáng nể.

Sự xuất hiện của DeepSeek hứa hẹn sẽ tạo nên một cuộc đua gay cấn về phát triển AI giữa 2 cường quốc là Mỹ và Trung Quốc.

Tuy nhiên, bên cạnh những sự đánh giá cao, nhiều người lo ngại DeepSeek là một công cụ của chính quyền Bắc Kinh để thu thập thông tin người dùng thông qua các câu hỏi hoặc đưa ra các câu trả lời có lợi cho chính sách của Trung Quốc.