LiteLLM ถูกพบว่าถูกฝังมัลแวร์ไว้อยู่ใน Depedency
AI ที่มีผู้ใช้งานนับล้านอย่าง LiteLLM ถูกพบว่าถูกฝังมัลแวร์ไว้อยู่ใน Depedency ที่ตัว AI ใช้งานอยู่
เครื่องมือปัญญาประดิษฐ์ หรือ AI (Artificial Intelligence) โดยเฉพาะประเภทโมเดลภาษาขนาดใหญ่ (LLM หรือ Large Language Model) ที่เข้ามาอำนวยความสะดวกในการงานต่าง ๆ มากมาย แต่ทว่าแฮกเกอร์กลับได้นำเอาเครื่องมือดังกล่าวนั้นมาใช้งานด้วยวิธีการที่หลายคนอาจค��าดไม่ถึง
จากรายงานโดยเว็บไซต์ Techcrunch ได้กล่าวถึงการตรวจพบสิ่งผิดปกติบนเครื่อง AI แบบ LLM ที่มีชื่อว่า LiteLLM ภายใต้การพัฒนาของบริษัท ซึ่งเป็นโปรเจ็คแบบเปิด (Open Source) ที่ช่วยให้ผู้ใช้งานสามารถเข้าถึงเครื่องมือ AI ได้มากถึง 100 โมเดล ทำให้ได้รับความนิยมอย่างมากจนมีผู้ใช้งานสูงถึง 3.4 ล้านรายต่อวัน ทั้งยังได้รับการรีวิวในรูปแบบดาวมากถึง 4 หมื่นดวงบน GitHub และยังมีผู้นำเอาไปพัฒนาต่อ (Fork) เป็นจำนวนนับพันรูปแบบ ถึงแม้จะมีข้อดีมากมาย แต่ทว่าก็ได้มีนักวิจัยรายหนึ่งจาก FutureSearch ซึ่งเป็นบริษัทที่ให้บริการ AI แบบอัจฉริยะ (AI Agent) เพื่อช่วยงานในด้านการค้นคว้าเว็บไซต์ (Web Research) ได้ตรวจพบว่าส่วนขยาย (Dependency) ของเครื่องมือ AI ตัวนี้ตัวหนึ่ง มีการแทรกโค้ดของมัลแวร์ไว้ และด้วยความที่เป็น Dependency นั้นก็หมายความว่าซอฟต์แวร์ต่าง ๆ ที่มีความเกี่ยวข้องกับ AI ตัวนี้ก็จะได้รับผลกระทบไปด้วย โดยมัลแวร์ตัวนี้นั้นมีการตรวจสอบแล้วพบว่ามีความสามารถในการขโมยรหัสล็อกอินต่าง ๆ จากทั้งตัว AI และซอฟต์แวร์ที่เกี่ยวข้องได้ ซึ่งถือได้ว่ามัลแวร์ตัวนี้นั้นมีความอันตรายอย่างมาก
แต่ก็ด้วยความบังเอิญ ที่นักวิจัยรายดังกล่าวสามารถตรวจพบมัลแวร์ตัวนี้ได้ เนื่องจากหลังการดาวน์โหลดตัวเครื่องมือ AI ดังกล่าวมาติดลงบนเครื่องนั้น มัลแวร์ดังกล่าวทำให้เครื่องของนักวิจัยถูกปิดลง (Shut Down) อย่างอัตโนมัติ เนื่องจากบั๊ก (Bug) ภายในตัวมัลแวร์ที่เป็นผลลัพธ์จากการเขียนโค้ดที่ย่ำแย่ของแฮกเกอร์ที่อยู่เบื้องหลัง โดยหลังจากที่เครื่องได้ถูกปิดลง นักวิจัยรายดังกล่าวก็ได้พยายามหาสาเหตุของเรื่องดังกล่าวจนนำไปสู่การตรวจพบมัลแวร์ในที่สุด
หลังจากที่ได้มีการตรวจพบมัลแวร์ดังกล่าวและทางนักวิจัยได้ทำการรายงานการตรวจพบกลับไปยังทางผู้พัฒนาเครื่องมือ AI ตัวนี้ ทางผู้พัฒนาก็ได้ทำการตรวจสอบและแก้ไขเพื่อแก้ปัญหานี้อย่างแข็งขัน ทว่าจากกรณีนี้ก็ได้มีผู้ที่สงสัยในความโปร่งใสของผู้พัฒนาเครื่องมือ AI ตัวนี้อย่างมากมาย เนื่องจากทางผู้พัฒนาได้มีการอวดอ้างบนเว็บไซต์ว่าได้รับใบรับรองที่มีมาตรฐานสูงอย่าง SOC2 และ ISO 27001 แต่ได้มีผู้ที่ตรวจพบมาได้ว่าทางผู้พัฒนานั้นใช้บริการบริษัทที่ออกใบรับรองดังกล่าวเป็นบริษัทสตาร์ทอัปที่มีชื่อว่า Delve ซึ่งมีประวัติการถูกกล่าวหาว่า ใช้ข้อมูลปลอมเพื่อโกหกลูกค้าในด้านความเชื่อถือของตัวบริษัท รวมทั้งจ้างผู้ตรวจสอบ (Auditor) มาเซ็นการตรวจสอบบริษัทของลูกค้าอย่างแค่พอเป็นพิธี (Rubber-Stamp) แล้วออกใบรับรองให้ทันที ทำให้ถูกมองว่าใบรับรองที่ออกให้นั้นเป็นของปลอม โดยทาง Delve ก็ได้ออกมาปฏิเสธข้อกล่าวหานี้ในทันที และทางผู้บริหารของโครงการ LiteLLM ก็ไม่ได้มีการออกมาให้ความเห็นเกี่ยวกับข้อกล่าวหานี้แต่อย่างใด
กรณีมัลแวร์ที่เกี่ยวข้อง และการถูกรับรองที่มีข้อกังขาจะจบลงอย่างไร ? ขอให้ผู้สนใจ และผู้ที่เคยใช้งาน ทำการติดตามข่าวอย่างใกล้ชิด
#ติดเทรนด์ #Lemon8ฮาวทู #lemon8ไดอารี่ #litellm #freedomhack
เคยได้ยินข่าวเกี่ยวกับการถูกฝังมัลแวร์ในซอฟต์แวร์ AI ที่ใช้งานบ่อย ๆ อย่าง LiteLLM แล้วคิดว่ามันเป็นเรื่องไกลตัว แต่ถ้าวันหนึ่งเราต้องใช้ AI เหล่านี้ในงานที่สำคัญ เช่น การช่วยวิเคราะห์ข้อมูล หรือช่วยเขียนโค้ด การที่มีมัลแวร์แฝงอยู่ใน Dependency ที่ไม่ได้รับการตรวจสอบอย่างละเอียดอาจส่งผลกระทบหนักมากกับข้อมูลส่วนตัวและความปลอดภัยของเรา จากประสบการณ์ส่วนตัว เวลาเราเลือกใช้ซอฟต์แวร์ โดยเฉพาะโปรเจ็ค Open Source ที่ดูเหมือนจะปลอดภัย ก็ยังควรต้องระวังให้มากขึ้น เพราะแฮกเกอร์อาจสร้างโค้ดมัลแวร์แอบแฝงในส่วนขยายเพื่อที่จะขโมยข้อมูลรหัสผ่านหรือข้อมูลสำคัญอื่น ๆ ได้ โดยเฉพาะเมื่อซอฟต์แวร์นั้นมีผู้ใช้งานจำนวนมากอย่าง LiteLLM ที่ได้รับความนิยมสูง หมายความว่าความเสียหายจะเกิดขึ้นกับผู้ใช้นับล้านได้ อีกเรื่องที่น่าสนใจคือใบรับรอง SOC2 และ ISO 27001 ซึ่งเป็นมาตรฐานด้านความปลอดภัยของข้อมูล ที่โปรเจ็ค LiteLLM ได้ยกขึ้นมาอ้างอิง แต่กลับพบว่าบริษัทที่ออกใบรับรองนั้นเป็นสตาร์ทอัพที่มีข้อสงสัยเกี่ยวกับความน่าเชื่อถือ ช่วยทำให้ผู้ใช้งานต้องตั้งคำถามถึงความโปร่งใสและความน่าเชื่อถือของซอฟต์แวร์ที่ใช้อยู่ สิ่งที่อยากฝากคือการติดตามข่าวสารและอัพเดตความเคลื่อนไหวเกี่ยวกับซอฟต์แวร์หรือ AI ที่เราใช้อยู่เป็นประจำ รวมถึงตรวจสอบสิทธิ์การเข้าถึงและความปลอดภัยในระบบให้ดี เพื่อป้องกันการถูกโจมตีจากมัลแวร์ที่เราไม่ทันตั้งตัว ในยุคที่เทคโนโลยี AI ถูกนำมาใช้กันอย่างกว้างขวางนี้ ความรู้เรื่องความปลอดภัยไซเบอร์จึงต้องเพิ่มพูนขึ้นตามไปด้วย จากกรณีนี้ ยังเป็นบทเรียนว่าผู้ใช้งานต้องมีส่วนร่วมในการตรวจสอบและระมัดระวัง ไม่เชื่อถือคำโฆษณาหรือใบรับรองเพียงอย่างเดียว แต่ควรตรวจสอบและเรียนรู้ข้อมูลที่แท้จริง เพราะความปลอดภัยไซเบอร์นั้นไม่มีใครดูแลเราได้ดีไปกว่าตัวเราเอง
