รูปแบบที่น่าเป็นห่วงของช่องโหว่ด้านความปลอดภัยที่กรม Government Efficiency ( DOGE ) ได้เกิดขึ้น โดยมีพนักงานอีกคนหนึ่งเผลอเปิดเผย API keys ที่ละเอียดอ่อนซึ่งให้การเข้าถึงระบบปัญญาประดิษฐ์ xAI ของ Elon Musk เหตุการณ์ล่าสุดนี้เกี่ยวข้องกับ Marko Elez พนักงาน DOGE วัย 25 ปี ซึ่งได้รับสิทธิ์เข้าถึงฐานข้อมูลที่ละเอียดอ่อนหลายแห่งของหน่วยงานรัฐบาลกลาง
การละเมิดความปลอดภัยเกิดขึ้นเมื่อ Elez เผยแพร่โค้ดบน GitHub ที่มี API key ส่วนตัวสำหรับ xAI ทำให้ใครก็ตามสามารถเข้าถึงโมเดลภาษาขนาดใหญ่กว่า 50 โมเดลที่บริษัทใช้งาน สิ่งที่น่าเป็นห่วงเป็นพิเศษคือ key ที่ถูกเปิดเผยยังคงใช้งานได้แม้หลังจากมีการรายงานเหตุการณ์แล้ว ซึ่งบ่งบอกถึงแนวปฏิบัติด้านความปลอดภัยที่แย่และเวลาตอบสนองที่ช้า
รายละเอียดทางเทคนิค:
- API key ที่รั่วไหลให้สิทธิ์เข้าถึงโมเดลภาษาขนาดใหญ่มากกว่า 52 โมเดล
- Key ดังกล่าวยังคงใช้งานได้แม้หลังจากมีการรายงานเหตุการณ์รั่วไหลแล้ว
- Repository บน GitHub โดยทั่วไปจะมีระบบตรวจจับข้อมูลรับรองอัตโนมัติ
- การรั่วไหลครั้งก่อนหน้านี้เปิดเผย LLM แบบกำหนดเองสำหรับข้อมูลภายในของ SpaceX , Tesla และ Twitter/X
รูปแบบของความประมาท ไม่ใช่ความผิดพลาดที่เกิดขึ้นเป็นครั้งคราว
นี่ไม่ใช่ครั้งแรกที่พนักงาน DOGE รั่วไหล credentials ของ xAI พนักงาน DOGE คนอื่นเคยเปิดเผย keys ที่คล้ายกันเป็นเวลาสองเดือน เผยให้เห็นโมเดล AI ที่กำหนดเองซึ่งออกแบบมาสำหรับใช้งานภายในของบริษัทของ Musk รวมถึง SpaceX , Tesla และ Twitter/X ชุมชนได้แสดงความไม่พอใจกับสิ่งที่ดูเหมือนจะเป็นปัญหาเชิงระบบมากกว่าการผิดพลาดเป็นครั้งคราว
การรั่วไหลครั้งหนึ่งเป็นความผิดพลาด แต่เมื่อ key ที่ละเอียดอ่อนประเภทเดียวกันถูกเปิดเผยซ้ำแล้วซ้ำเล่า มันไม่ใช่แค่โชคร้าย แต่เป็นสัญญาณของความประมาทที่ลึกซึ้งกว่าและวัฒนธรรมความปลอดภัยที่เสียหาย
ชุมชนด้านเทคนิคได้ชี้ให้เห็นว่าแม้แต่เครื่องมือความปลอดภัยพื้นฐานเช่นการตรวจจับ key อัตโนมัติของ GitHub ควรจะตรวจพบการเปิดเผยเหล่านี้ได้ แพลตฟอร์มการพัฒนาสมัยใหม่ตรวจสอบ credentials ที่ถูก commit โดยไม่ตั้งใจเป็นประจำ ทำให้การรั่วไหลเหล่านี้ยิ่งไม่มีข้อแก้ตัว
ไทม์ไลน์สำคัญ:
- 9 กรกฎาคม 2025: โมเดล xAI ล่าสุด "grok-4-0709" ถูกสร้างขึ้น
- 13 กรกฎาคม 2025: Marko Elez คอมมิตโค้ดที่เปิดเผย API key ลง GitHub
- พฤษภาคม 2025: อดีตพนักงาน DOGE รั่วไหล xAI keys เป็นเวลาสองเดือน
- กุมภาพันธ์ 2025: เปิดตัว Grok-3
- ล่าสุด: DoD มอบสัญญาให้ xAI มูลค่าสูงสุด 200 ล้านดอลลาร์สหรัฐ
ผลกระทบด้านความปลอดภัยในวงกว้าง
ความกังวลด้านความปลอดภัยขยายไปไกลกว่าการจัดการ API key อย่างง่าย Elez ได้รับสิทธิ์เข้าถึงฐานข้อมูลที่ Social Security Administration , Treasury Department , Justice Department และ Department of Homeland Security ประวัติของเขารวมถึงการส่งข้อมูลส่วนบุคคลที่ไม่เข้ารหัสซึ่งละเมิดนโยบายของหน่วยงาน และอดีตที่ถกเถียงเกี่ยวกับโพสต์โซเชียลมีเดียที่สนับสนุนการเหยียดเชื้อชาติและการปรับปรุงพันธุ์
จังหวะเวลาไม่อาจแย่ไปกว่านี้ เนื่องจาก Department of Defense เพิ่งมอบสัญญาให้ xAI มูลค่าสูงสุดถึง 200 ล้านดอลลาร์สหรัฐ เพื่อใช้ระบบ Grok AI สัญญานี้เกิดขึ้นไม่นานหลังจาก Grok เริ่มสร้างเนื้อหาต่อต้านชาวยิว ทำให้เกิดคำถามเพิ่มเติมเกี่ยวกับความพร้อมของระบบ AI เหล่านี้สำหรับการใช้งานของรัฐบาล
การเข้าถึงระบบรัฐบาลของ Marko Elez :
- หน่วยงานประกันสังคมสหรัฐอมেริกา (U.S. Social Security Administration)
- กระทรวงการคลัง (Treasury Department)
- กระทรวงยุติธรรม (Justice Department)
- กระทรวงความมั่นคงแห่งมาตุภูมิ (Department of Homeland Security)
- สำนักงานศุลกากรและการป้องกันชายแดนสหรัฐฯ (U.S. Customs and Border Protection)
- หน่วยงานตรวจคนเข้าเมืองและบังคับใช้ศุลกากร (Immigration and Customs Enforcement - ICE)
- กระทรวงแรงงาน (Department of Labor)
- ระบบศาลและการอุทธรณ์ของสำนักงานบริหารเพื่อการพิจารณาคดีตรวจคนเข้าเมือง (Executive Office for Immigration Review's Courts and Appeals System - EACS)
คำถามเกี่ยวกับความรับผิดชอบ
ชุมชนได้ตั้งคำถามสำคัญเกี่ยวกับการกำกับดูแลและความรับผิดชอบภายใน DOGE แม้จะส่งเสริมความรับผิดชอบอย่างรุนแรง แต่ก็มีความโปร่งใสเพียงเล็กน้อยเกี่ยวกับสิ่งที่พนักงาน DOGE ทำในแต่ละวัน ความล้มเหลวด้านความปลอดภัยที่เกิดขึ้นซ้ำแล้วซ้ำเล่าบ่งบอกถึงวัฒนธรรมที่ให้ความสำคัญกับความเร็วมากกว่าความปลอดภัย โดยแกว่งไปไกลเกินไปจากแนวปฏิบัติ IT ของรัฐบาลแบบดั้งเดิม
ข้อเท็จจริงที่ว่าพนักงานรัฐบาลมีการเข้าถึง xAI API keys โดยตรงยังทำให้เกิดคำถามเกี่ยวกับความสัมพันธ์ระหว่างบริษัทเอกชนของ Musk และบทบาทในรัฐบาลของเขา เส้นแบ่งที่เบลอระหว่างการบริการสาธารณะและผลประโยชน์ทางธุรกิจส่วนตัวเพิ่มความกังวลอีกชั้นหนึ่งให้กับสถานการณ์ที่มีปัญหาอยู่แล้ว
ขณะที่วงจรข่าวเดินหน้าต่อไป หลายคนกังวลว่าช่องโหว่ด้านความปลอดภัยที่ร้ายแรงเหล่านี้จะถูกลืมโดยไม่มีความรับผิดชอบที่เหมาะสมหรือการเปลี่ยนแปลงเชิงระบบเพื่อป้องกันเหตุการณ์ในอนาคต
อ้างอิง: DOGE Denizen Marko Elez Leaked API Key for xAI
 |
|---|
| ฉากห้องปฏิบัติการคอมพิวเตอร์ที่เป็นสัญลักษณ์ของสภาพแวดล้อมที่ควรรักษาความปลอดภัยและต้องมีความตระหนักในการปกป้องข้อมูลเป็นสำคัญ |