Kebocoran data di server LLM: Risiko besar bagi perusahaan

Ratusan server yang digunakan untuk membangun model bahasa besar (LLM) dan puluhan database vektor dilaporkan membocorkan informasi sensitif ke internet. Tentu saja, ini harus mendapatkan perhatian yang besar agar tidak menimbulkan masalah lebih besar lagi.

Dalam investigasi yang dilakukan oleh peneliti keamanan dari Legit, Naphtali Deutsch, ditemukan bahwa banyak perusahaan yang terburu-buru mengintegrasikan kecerdasan buatan (AI) tanpa memperhatikan keamanan alat-alat tersebut. 

“Banyak programmer yang melihat alat-alat ini di internet, lalu mencoba menggunakannya tanpa memikirkan aspek keamanannya,” ujar Deutsch, seperti dilansir dari laman Darkreader (2/9).

Investigasi tersebut mengungkap bahwa ada 438 server Flowise, sebuah alat low-code untuk membangun aplikasi LLM, yang rentan dan dapat diakses oleh pihak yang tidak berwenang. Beberapa data sensitif yang ditemukan termasuk token akses GitHub, kunci API OpenAI, dan informasi konfigurasi lainnya. 

“Dengan token API GitHub, Anda bisa mengakses private repository,” jelas Deutsch. Dia juga menyoroti potensi serangan lanjutan yang bisa dilakukan dengan data yang terekspos ini.

Selain itu, ditemukan juga sekitar 30 server database vektor yang tidak dilindungi dengan baik, mengandung data sensitif seperti percakapan email privat, dokumen perusahaan, hingga informasi keuangan pelanggan. Database vektor ini sangat berbahaya karena dapat diakses dan dimanipulasi tanpa sepengetahuan pengguna. 

“Seorang hacker bisa menanamkan malware di database tersebut, yang nantinya bisa diserap oleh program LLM yang mengaksesnya,” tambah Deutsch.

Lalu, apa implikasi dari temuan ini? Kebocoran data ini menyoroti kebutuhan mendesak bagi perusahaan untuk lebih serius dalam melindungi data mereka saat mengadopsi teknologi AI. Risiko ini bukan hanya tentang kehilangan data, tetapi juga potensi manipulasi data yang bisa berdampak besar pada operasi bisnis. 

Deutsch merekomendasikan agar organisasi segera memperketat akses ke layanan AI yang mereka gunakan dan memastikan semua aktivitas dipantau dengan ketat.

Dengan semakin cepatnya adopsi AI, tantangan keamanan yang menyertainya juga semakin besar. Jika perusahaan tidak memperhatikan keamanan, mereka tidak hanya berisiko kehilangan data, tetapi juga menghadapi potensi serangan yang bisa merusak integritas dan kepercayaan terhadap teknologi yang mereka gunakan.