- Kebocoran data AI terjadi karena kelemahan keamanan server Flowise.
- Server Flowise dan basis data vektor rentan terhadap serangan keamanan.
- Perusahaan harus memperbarui keamanan server AI dan basis data vektor.
pibitek.biz -Bayangkan sebuah dunia di mana AI menjadi asisten yang sangat pintar, membantu kita menyelesaikan tugas dengan cepat dan efisien. AI mampu mengolah data dengan kecepatan tinggi dan menghasilkan informasi yang bermanfaat, bahkan membantu kita dalam menulis, menerjemahkan, dan menciptakan konten baru. Namun, di balik kemudahan dan potensi yang ditawarkan oleh teknologi AI, terdapat bahaya tersembunyi yang mengintai. Salah satu risikonya adalah kebocoran data yang terjadi akibat kelemahan dalam sistem keamanan AI.
2 – AI: Ancaman Baru bagi Keamanan Siber 2 – AI: Ancaman Baru bagi Keamanan Siber
3 – Pemerintah AS Perkuat Keamanan Digital dengan RPKI dan Bahasa Aman 3 – Pemerintah AS Perkuat Keamanan Digital dengan RPKI dan Bahasa Aman
Sebuah laporan terbaru dari peneliti keamanan siber menunjukkan bahwa ratusan server yang digunakan untuk membangun LLM dan basis data vektor terbuka dan mudah diakses oleh siapa saja. Server-server ini menyimpan data sensitif, termasuk informasi pribadi, data korporasi, dan data kesehatan. Data-data penting ini bisa dengan mudah dicuri oleh pihak-pihak yang tidak bertanggung jawab. Mengapa hal ini bisa terjadi? Teknologi AI memang sedang marak diadopsi oleh berbagai perusahaan dan organisasi. Mereka berlomba-lomba untuk memanfaatkan AI guna meningkatkan efisiensi dan produktivitas.
Sayangnya, dalam proses integrasi AI ini, aspek keamanan seringkali terabaikan. Penggunaan alat bantu AI seperti basis data vektor dan platform pengembangan LLM, seperti Flowise, yang umumnya mudah diakses dan dikonfigurasi, justru menjadi celah yang mudah dieksploitasi. Platform Flowise, yang didukung oleh Y Combinator dan memiliki ribuan pengguna di GitHub, dirancang untuk membantu pengembang dalam membangun aplikasi AI dengan mudah. Sayangnya, keamanan platform ini masih memiliki kekurangan. Pada awal tahun ini, ditemukan sebuah kerentanan keamanan yang memungkinkan penyerang untuk mengakses server Flowise dengan mudah tanpa perlu memasukkan kata sandi.
Kerentanan ini dikenal sebagai CVE-2024-31621 dan telah diidentifikasi sebagai kelemahan yang serius. Peneliti keamanan, Naphtali Deutsch, berhasil mengungkap 438 server Flowise yang rentan terhadap serangan ini. Data sensitif yang tersimpan di server-server ini mencakup token akses GitHub, kunci API OpenAI, kata sandi Flowise, konfigurasi aplikasi Flowise, dan prompt yang digunakan dalam aplikasi AI. Token akses GitHub memungkinkan penyerang untuk mengakses repository privat di GitHub, yang bisa berisi kode sumber, data rahasia, dan informasi penting lainnya.
Kunci API OpenAI memungkinkan penyerang untuk mengakses layanan AI OpenAI, termasuk layanan pembangkitan teks, terjemahan bahasa, dan pengenalan gambar. Kata sandi Flowise dan konfigurasi aplikasi Flowise memungkinkan penyerang untuk mengontrol dan memanipulasi aplikasi AI yang dijalankan di server Flowise. Basis data vektor, yang merupakan salah satu komponen penting dalam teknologi AI, juga menjadi sasaran serangan. Basis data vektor berfungsi untuk menyimpan data yang digunakan oleh model AI dalam proses pembelajaran dan pengambilan keputusan.
Peneliti keamanan menemukan sekitar 30 server basis data vektor yang terbuka dan mudah diakses oleh publik. Server-server ini menyimpan data sensitif yang terkait dengan berbagai sektor, termasuk layanan teknik, industri fashion, peralatan industri, real estat, dokumen produk, dan informasi pasien. Misalnya, seorang hacker bisa mengakses dan mencuri data percakapan email pribadi dari vendor layanan teknik, dokumen dari perusahaan fashion, informasi pribadi dan keuangan pelanggan dari perusahaan peralatan industri, data real estat, dokumen produk dan lembar data, dan informasi pasien yang digunakan oleh chatbot medis.
Data-data sensitif ini sangat berharga dan dapat disalahgunakan oleh pihak-pihak yang tidak bertanggung jawab. Yang lebih mengkhawatirkan, basis data vektor yang terpapar ini dapat dimanipulasi oleh hacker. Mereka dapat menghapus, merusak, atau bahkan menanamkan malware di dalam basis data vektor. Ketika model AI menggunakan data yang telah dimanipulasi atau terkontaminasi oleh malware, hasilnya bisa menjadi bias, tidak akurat, atau bahkan berbahaya. Data yang terkontaminasi oleh malware dapat menyebabkan model AI mengeluarkan output yang berbahaya, seperti menyebarkan informasi yang salah, mengarahkan pengguna ke situs web berbahaya, atau bahkan memanipulasi keputusan penting.
Untuk mencegah kebocoran data dan serangan terhadap teknologi AI, perusahaan dan organisasi harus mengambil langkah-langkah keamanan yang tepat. Mereka harus membatasi akses ke server AI, memantau aktivitas di server AI, melindungi data sensitif yang digunakan oleh aplikasi AI, dan selalu memperbarui software AI dengan patch keamanan terbaru. Perusahaan dan organisasi juga harus memastikan bahwa karyawan mereka memahami risiko keamanan yang terkait dengan teknologi AI dan bahwa mereka mengikuti kebijakan keamanan yang telah ditetapkan.
