Beranda Label Arsip

DeepSeek: Keamanan Perusahaan?

2025-03-13

Daya Tarik dan Bahaya AI dalam Pengembangan Perangkat Lunak

Adopsi alat AI yang meningkat dalam pengembangan perangkat lunak, dengan sekitar 76% pengembang saat ini menggunakan atau berencana untuk mengintegrasikannya, menyoroti kebutuhan kritis untuk mengatasi risiko keamanan yang terdokumentasi dengan baik yang terkait dengan banyak model AI. DeepSeek, mengingat aksesibilitasnya yang tinggi dan tingkat adopsi yang cepat, menghadirkan vektor ancaman potensial yang sangat menantang. Daya tarik awalnya berasal dari kemampuannya untuk menghasilkan kode fungsional berkualitas tinggi, melampaui LLM open-source lainnya melalui alat DeepSeek Coder miliknya.

Mengungkap Cacat Keamanan DeepSeek

Namun, di balik kemampuan yang mengesankan terdapat masalah keamanan yang parah. Perusahaan keamanan siber telah menemukan bahwa DeepSeek berisi backdoor yang mampu mengirimkan informasi pengguna langsung ke server yang berpotensi di bawah kendali pemerintah asing. Pengungkapan ini saja menimbulkan kekhawatiran keamanan nasional yang signifikan. Tapi masalahnya tidak berhenti di situ.

Kerentanan DeepSeek meluas ke:

  • Pembuatan Malware: Kemudahan DeepSeek dapat digunakan untuk membuat perangkat lunak berbahaya merupakan perhatian utama.
  • Kelemahan Jailbreaking: Model ini menunjukkan kerentanan yang signifikan terhadap upaya jailbreaking, yang memungkinkan pengguna untuk melewati batasan keamanan bawaan.
  • Kriptografi Usang: Penggunaan teknik kriptografi yang ketinggalan zaman membuat DeepSeek rentan terhadap paparan data sensitif.
  • Kerentanan Injeksi SQL: Model ini dilaporkan rentan terhadap serangan injeksi SQL, kelemahan keamanan web umum yang dapat memungkinkan penyerang mendapatkan akses tidak sah ke database.

Kerentanan ini, ditambah dengan temuan yang lebih luas bahwa LLM saat ini umumnya belum siap untuk otomatisasi kode dari perspektif keamanan (seperti yang ditunjukkan oleh studi Baxbench), melukiskan gambaran yang mengkhawatirkan untuk penggunaan DeepSeek di perusahaan.

Pedang Bermata Dua Produktivitas

Fungsionalitas DeepSeek dan akses gratis ke fitur-fitur canggih menghadirkan proposisi yang menggoda. Namun, aksesibilitas ini juga meningkatkan risiko backdoor atau kerentanan yang menyusup ke basis kode perusahaan. Sementara pengembang terampil yang memanfaatkan AI dapat mencapai peningkatan produktivitas yang signifikan, menghasilkan kode berkualitas tinggi dengan kecepatan yang dipercepat, situasinya berbeda untuk pengembang yang kurang terampil.

Kekhawatirannya adalah bahwa pengembang berketerampilan rendah, sambil mencapai tingkat produktivitas dan output yang serupa, mungkin secara tidak sengaja memasukkan sejumlah besar kode yang buruk dan berpotensi dieksploitasi ke dalam repositori. Perusahaan yang gagal mengelola risiko pengembang ini secara efektif kemungkinan akan menjadi yang pertama mengalami konsekuensi negatif.

Keharusan CISO: Menetapkan Pagar Pembatas AI

Chief Information Security Officers (CISO) menghadapi tantangan penting: menerapkan pagar pembatas AI yang sesuai dan menyetujui alat yang aman, bahkan dalam menghadapi undang-undang yang berpotensi tidakjelas atau berkembang. Kegagalan untuk melakukannya dapat mengakibatkan masuknya kerentanan keamanan yang cepat ke dalam sistem organisasi mereka.

Jalan ke Depan: Mengurangi Risiko

Pemimpin keamanan harus memprioritaskan langkah-langkah berikut untuk mengatasi risiko yang terkait dengan alat AI seperti DeepSeek:

1. Kebijakan AI Internal yang Ketat

Ini penting, bukan saran. Perusahaan harus bergerak melampaui diskusi teoritis tentang keamanan AI dan menerapkan kebijakan konkret. Ini melibatkan:

  • Investigasi Menyeluruh: Memeriksa secara ketat alat AI yang tersedia untuk memahami kemampuan dan keterbatasannya.
  • Pengujian Komprehensif: Melakukan pengujian keamanan ekstensif untuk mengidentifikasi kerentanan dan potensi risiko.
  • Persetujuan Selektif: Menyetujui hanya sejumlah alat AI terbatas yang memenuhi standar keamanan yang ketat dan selaras dengan toleransi risiko organisasi.
  • Pedoman Penerapan yang Jelas: Menetapkan pedoman yang jelas tentang bagaimana alat AI yang disetujui dapat diterapkan dan digunakan dengan aman di dalam organisasi, berdasarkan kebijakan AI yang ditetapkan.

2. Jalur Pembelajaran Keamanan yang Disesuaikan untuk Pengembang

Lanskap pengembangan perangkat lunak sedang mengalami transformasi cepat karena AI. Pengembang perlu beradaptasi dan memperoleh keterampilan baru untuk menavigasi tantangan keamanan yang terkait dengan pengkodean yang didukung AI. Ini membutuhkan:

  • Pelatihan yang Ditargetkan: Memberikan pelatihan kepada pengembang yang secara khusus berfokus pada implikasi keamanan dari penggunaan asisten pengkodean AI.
  • Panduan Khusus Bahasa dan Kerangka Kerja: Menawarkan panduan tentang cara mengidentifikasi dan mengurangi kerentanan dalam bahasa pemrograman dan kerangka kerja spesifik yang mereka gunakan secara teratur.
  • Pembelajaran Berkelanjutan: Mendorong budaya pembelajaran dan adaptasi berkelanjutan untuk tetap berada di depan lanskap ancaman yang terus berkembang.

3. Merangkul Pemodelan Ancaman

Banyak perusahaan masih berjuang untuk menerapkan pemodelan ancaman secara efektif, seringkali gagal melibatkan pengembang dalam prosesnya. Ini perlu diubah, terutama di era pengkodean yang dibantu AI.

  • Integrasi yang Mulus: Pemodelan ancaman harus diintegrasikan dengan mulus ke dalam siklus hidup pengembangan perangkat lunak, bukan dianggap sebagai renungan.
  • Keterlibatan Pengembang: Pengembang harus secara aktif terlibat dalam proses pemodelan ancaman, menyumbangkan keahlian mereka dan mendapatkan pemahaman yang lebih dalam tentang potensi risiko keamanan.
  • Pertimbangan Khusus AI: Pemodelan ancaman harus secara khusus mengatasi risiko unik yang diperkenalkan oleh asisten pengkodean AI, seperti potensi untuk menghasilkan kode yang tidak aman atau memperkenalkan kerentanan.
  • Pembaruan Reguler: Model ancaman harus diperbarui secara berkala untuk mencerminkan perubahan dalam lanskap ancaman dan kemampuan alat AI yang terus berkembang.

Dengan mengambil langkah-langkah proaktif ini, perusahaan dapat memanfaatkan manfaat AI dalam pengembangan perangkat lunak sambil mengurangi risiko keamanan yang signifikan yang terkait dengan alat seperti DeepSeek. Kegagalan untuk mengatasi tantangan ini dapat memiliki konsekuensi serius, mulai dari pelanggaran data dan kompromi sistem hingga kerusakan reputasi dan kerugian finansial. Waktu untuk tindakan tegas adalah sekarang. Masa depan pengembangan perangkat lunak yang aman bergantung padanya. Adopsi alat AI yang cepat menuntut pendekatan proaktif dan waspada terhadap keamanan.

Mari kita uraikan lebih lanjut poin-poin penting dan tambahkan beberapa detail:

Analisis Mendalam Kerentanan DeepSeek

Seperti yang telah disebutkan, DeepSeek memiliki beberapa kerentanan kritis. Mari kita bahas lebih detail:

  • Pembuatan Malware: DeepSeek, karena kemampuannya menghasilkan kode, dapat disalahgunakan untuk membuat script berbahaya. Ini bisa berupa script sederhana untuk phishing hingga malware yang kompleks. Yang mengkhawatirkan adalah kemudahan penggunaannya, bahkan oleh individu dengan pengetahuan teknis terbatas.

  • Jailbreaking: Jailbreaking dalam konteks LLM mengacu pada upaya untuk mengakali batasan keamanan yang diprogramkan. DeepSeek, sayangnya, rentan terhadap teknik jailbreaking yang memungkinkan pengguna untuk membuatnya menghasilkan output yang seharusnya tidak diizinkan, seperti ujaran kebencian, informasi yang salah, atau instruksi berbahaya.

  • Kriptografi Usang: Penggunaan algoritma kriptografi yang sudah usang atau lemah adalah masalah serius. Ini berarti data yang diproses atau disimpan oleh DeepSeek, atau aplikasi yang dibangun di atasnya, mungkin rentan terhadap dekripsi oleh penyerang. Ini dapat mengakibatkan pencurian data sensitif.

  • Injeksi SQL: Injeksi SQL adalah teknik serangan klasik di mana penyerang memasukkan kode SQL berbahaya ke dalam input yang tidak divalidasi dengan benar. Jika DeepSeek rentan terhadap ini, penyerang dapat memanipulasi query database, berpotensi mengakses, mengubah, atau bahkan menghapus data.

Mengapa Pengembang Kurang Terampil Menjadi Risiko Lebih Besar

Poin ini sangat penting. Pengembang yang kurang berpengalaman mungkin:

  • Kurang Memahami Prinsip Keamanan: Mereka mungkin tidak sepenuhnya memahami prinsip-prinsip pengkodean aman dan praktik terbaik.
  • Terlalu Bergantung pada AI: Mereka mungkin terlalu mengandalkan saran kode AI tanpa memeriksa secara kritis apakah kode tersebut aman.
  • Tidak Mengenali Pola Kerentanan: Mereka mungkin tidak dapat mengenali pola kode yang menunjukkan potensi kerentanan.
  • Kurang Pengalaman dalam Threat Modeling: Mereka mungkin kurang pengalaman dalam mengidentifikasi dan mengurangi potensi ancaman keamanan dalam kode mereka.

Peran CISO dalam Era AI

CISO memiliki peran yang semakin kompleks. Mereka harus:

  • Menyeimbangkan Inovasi dan Keamanan: Mendorong penggunaan AI untuk meningkatkan produktivitas, tetapi dengan cara yang terkendali dan aman.
  • Menjadi Penasihat Strategis: Memberikan saran kepada pimpinan perusahaan tentang risiko dan manfaat AI.
  • Mengembangkan Kebijakan yang Jelas: Membuat dan menegakkan kebijakan yang mengatur penggunaan alat AI.
  • Membangun Budaya Keamanan: Mempromosikan kesadaran keamanan di seluruh organisasi, terutama di kalangan pengembang.
  • Bekerja Sama dengan Tim Hukum: Memastikan bahwa penggunaan AI sesuai dengan peraturan dan undang-undang yang berlaku.

Implementasi Praktis Kebijakan AI Internal

Berikut adalah contoh langkah-langkah konkret untuk menerapkan kebijakan AI internal:

  1. Pembentukan Tim AI Governance: Bentuk tim lintas fungsi yang terdiri dari perwakilan dari keamanan, hukum, pengembangan, dan bisnis.
  2. Inventarisasi Alat AI: Buat daftar lengkap semua alat AI yang digunakan atau dipertimbangkan untuk digunakan dalam organisasi.
  3. Penilaian Risiko: Lakukan penilaian risiko untuk setiap alat AI, dengan mempertimbangkan kerentanan, potensi dampak, dan kontrol keamanan yang ada.
  4. Pengembangan Kebijakan: Buat kebijakan yang jelas dan ringkas yang mencakup:
    • Alat AI yang diizinkan dan dilarang.
    • Kasus penggunaan yang diizinkan dan dilarang.
    • Proses persetujuan untuk penggunaan alat AI baru.
    • Persyaratan pelatihan untuk pengembang.
    • Prosedur pemantauan dan audit.
  5. Komunikasi dan Pelatihan: Komunikasikan kebijakan kepada semua karyawan dan berikan pelatihan yang relevan.
  6. Pemantauan dan Penegakan: Pantau penggunaan alat AI dan tegakkan kebijakan secara konsisten.
  7. Tinjauan Berkala: Tinjau dan perbarui kebijakan secara berkala untuk mencerminkan perubahan dalam lanskap ancaman dan teknologi AI.

Pentingnya Threat Modeling yang Berpusat pada Pengembang

Threat modeling yang efektif harus:

  • Dimulai Sejak Awal: Dilakukan pada tahap awal desain, bukan sebagai tambahan di akhir.
  • Melibatkan Pengembang: Pengembang harus menjadi bagian integral dari proses, bukan hanya penerima laporan.
  • Menggunakan Bahasa yang Dipahami Pengembang: Hindari jargon teknis yang berlebihan.
  • Fokus pada Skenario Nyata: Pertimbangkan skenario serangan yang realistis berdasarkan konteks aplikasi.
  • Menghasilkan Tindakan Perbaikan yang Jelas: Identifikasi langkah-langkah konkret untuk mengurangi risiko.
  • Diintegrasikan dengan Alat Pengembangan: Gunakan alat yang terintegrasi dengan alur kerja pengembangan yang ada.

Kesimpulan: Keamanan AI adalah Tanggung Jawab Bersama

Keamanan AI bukanlah hanya tanggung jawab CISO atau tim keamanan. Ini adalah tanggung jawab bersama yang membutuhkan kolaborasi antara pimpinan perusahaan, tim keamanan, pengembang, dan pengguna akhir. Dengan pendekatan yang proaktif, terinformasi, dan kolaboratif, organisasi dapat memanfaatkan kekuatan AI sambil meminimalkan risiko keamanan. Kegagalan untuk melakukannya dapat memiliki konsekuensi yang menghancurkan.

diperbarui pada 2025-03-13

# LLM# AIGC# DeepSeek
Pos Sebelumnya
DeepSeek Bantah R2 Rilis 17 Maret
Pos Berikutnya
Foxconn Luncurkan Model AI: FoxBrain