โปรโตคอลการส่งข้อความ Matrix กำลังเผชิญกับความท้าทายด้านความปลอดภัยที่สำคัญในหลายด้าน ในขณะที่นักพัฒนากำลังเตรียมการเผยแพร่ความปลอดภัยแบบประสานงานเพื่อแก้ไขช่องโหว่โปรโตคอลที่สำคัญ ชุมชนยังคงต่อสู้กับปัญหาสแปมที่ยืนยงซึ่งทำให้ผู้ใช้จำนวนมากหันไปใช้แพลตฟอร์มอื่น
ช่องโหว่โปรโตคอลสำคัญต้องการความสนใจเร่งด่วน
นักพัฒนา Matrix ได้ระบุช่องโหว่ความรุนแรงสูงสองช่องในอัลกอริทึมการแก้ไขสถานะของโปรโตคอล ซึ่งทำให้เกิดการเผยแพร่ความปลอดภัยแบบประสานงานที่ไม่เคยมีมาก่อนในทุกการใช้งานเซิร์ฟเวอร์ที่กำหนดไว้ในวันที่ 22 กรกฎาคม 2025 ช่องโหว่เหล่านี้ส่งผลต่อวิธีที่ Matrix จัดการกับการรีเซ็ตสถานะ - สถานการณ์ที่อัลกอริทึมการแก้ไขสถานะของโปรโตคอลให้ผลลัพธ์ที่ไม่คาดคิด การแก้ไขจะแนะนำเวอร์ชันห้องใหม่ (v12) และต้องการการอัปเกรดห้องสำหรับพื้นที่ที่มีอยู่ ซึ่งเป็นการอัปเกรดโปรโตคอลแบบประสานงานครั้งแรกนับตั้งแต่ Matrix 1.0 ในปี 2019
การแพตช์ความปลอดภัยเกี่ยวข้องกับการเปลี่ยนแปลงที่สำคัญในวิธีการจัดการผู้สร้างห้อง โดยให้พลังงานระดับอนันต์แก่พวกเขาเหนือผู้ใช้คนอื่น นักพัฒนาไคลเอนต์ต้องอัปเดตแอปพลิเคชันของพวกเขาเพื่อจดจำผู้สร้างห้องผ่านฟิลด์ผู้ส่งของเหตุการณ์การสร้างห้องแทนที่จะใช้รายการระดับพลังงานแบบดั้งเดิม
ไทม์ไลน์การเปิดตัวด้านความปลอดภัย:
- 22 กรกฎาคม 2025 เวลา 17:00 UTC: การเปิดตัวด้านความปลอดภัยแบบประสานงานทั่วทุกการใช้งาน Matrix server
- 25 กรกฎาคม 2025 เวลา 17:00 UTC: การเปิดเผยรายละเอียดช่องโหว่และ MSCs ต่อสาธารณะ
- Matrix spec เวอร์ชัน 1.16 ใหม่พร้อม room เวอร์ชัน 12 ที่จำเป็นต้องใช้
แคมเปญสแปม CSAM ทำให้ผู้ใช้หันไปใช้แพลตฟอร์มอื่น
นอกเหนือจากช่องโหว่โปรโตคอลแล้ว Matrix ยังเผชิญกับวิกฤตที่เร่งด่วนกว่าด้วยแคมเปญสแปมที่แพร่หลายซึ่งเกี่ยวข้องกับเนื้อหาผิดกฎหมาย ผู้ใช้จำนวนมากรายงานว่าพบสแปมที่ยืนยงในห้องสาธารณะบน matrix.org โดยผู้โจมตีใช้ประโยชน์จากลักษณะกระจายของ Matrix เพื่อหลีกเลี่ยงการแบนโดยการเชื่อมต่อผ่านเซิร์ฟเวอร์ต่างๆ ปัญหานี้รุนแรงมากจนสมาชิกชุมชนบางคนได้ละทิ้งแพลตฟอร์มนี้ไปส่วนใหญ่
แค่แจ้งให้ทราบว่า ผมเลิกใช้ Matrix เป็นส่วนใหญ่ยกเว้นเซิร์ฟเวอร์เฉพาะหัวข้อและมีการควบคุมอย่างเข้มงวดไม่กี่เซิร์ฟเวอร์ ทำไม? เพราะเซิร์ฟเวอร์แชทหลัก matrix.org มี 'ปัญหา' เรื่องภาพลามกเด็ก/CSAM
ปัญหาสแปมนี้เน้นย้ำถึงความท้าทายพื้นฐานของระบบสหพันธ์ - การสร้างสมดุลระหว่างความเปิดกว้างกับความปลอดภัย แม้ว่า Matrix จะได้ใช้เซิร์ฟเวอร์นโยบายเพื่อช่วยต่อสู้กับการใช้ในทางที่ผิด แต่วิธีแก้ปัญหานี้ทำลายลักษณะกระจายอำนาจที่แยก Matrix ออกจากแพลตฟอร์มการส่งข้อความอื่นๆ ในตอนแรก
ชุมชนแสวงหาทางเลือกและวิธีแก้ปัญหา
ผู้ใช้ที่หงุดหงิดกำลังสำรวจวิธีแก้ปัญหาต่างๆ เพื่อใช้ Matrix อย่างปลอดภัยต่อไป หลายคนแนะนำให้หลีกเลี่ยงห้องสาธารณะ matrix.org ทั้งหมด ปิดการโหลดภาพล่วงหน้า และมุ่งเน้นไปที่เซิร์ฟเวอร์ส่วนตัวกับผู้ติดต่อที่เชื่อถือได้ การใช้งานเซิร์ฟเวอร์ทางเลือกเช่น Conduit เสนอตัวเลือกที่มีน้ำหนักเบา โดยผู้ใช้บางคนประสบความสำเร็จในการรันอินสแตนซ์บนฮาร์ดแวร์ขั้นต่ำ
ชุมชนยังได้แสดงความกังวลเกี่ยวกับแนวทางการพัฒนาของ Matrix และการตอบสนองต่อความคิดเห็นของผู้ใช้ ผู้ใช้บางคนรายงานว่ารู้สึกถูกเพิกเฉยเมื่อแสดงความกังวลที่ถูกต้องเกี่ยวกับปัญหาประสิทธิภาพและความปลอดภัย ซึ่งสร้างความตึงเครียดระหว่างทีมพัฒนาและฐานผู้ใช้
เซิร์ฟเวอร์ Matrix ทางเลือก:
- Conduit: การใช้งาน Rust แบบเบา ทำงานได้บน VPS ขนาด 128MB
- Dendrite: การเขียนใหม่อย่างเป็นทางการด้วย Golang (ได้รับใบอนุญาต AGPL โดย Element)
- Synapse: การใช้งาน Python เดิม (ใช้ทรัพยากรมาก)
ความท้าทายทางเทคนิคเพิ่มขึ้น
นอกเหนือจากปัญหาความปลอดภัยและสแปมแล้ว ผู้ใช้รายงานปัญหาทางเทคนิคที่ยังคงดำเนินต่อไป รวมถึงระบบการแจ้งเตือนที่เสียบนไคลเอนต์มือถือ ข้อผิดพลาดสถานะการเข้ารหัส และปัญหาประสิทธิภาพในห้องสาธารณะขนาดใหญ่ ไคลเอนต์ Element X แม้จะได้รับการเผยแพร่อย่างเป็นทางการแล้ว แต่สมาชิกชุมชนส่วนใหญ่ถือว่ายังไม่พร้อมสำหรับการใช้งานจริง
ปัญหาที่สะสมเหล่านี้ทำให้ผู้ใช้บางคนพิจารณาทางเลือกที่ง่ายกว่าเช่น IRC แม้จะมีข้อจำกัด ความซับซ้อนของโปรโตคอล Matrix และความท้าทายในการใช้งานได้สร้างสถานการณ์ที่แพลตฟอร์มต่อสู้เพื่อส่งมอบสิ่งที่สัญญาไว้เรื่องการส่งข้อความแบบสหพันธ์ที่เชื่อถือได้
การเผยแพร่ความปลอดภัยที่จะมาถึงแสดงถึงการทดสอบที่สำคัญสำหรับความสามารถของ Matrix ในการประสานงานการเปลี่ยนแปลงที่ซับซ้อนทั่วระบบนิเวศของตนในขณะที่แก้ไขปัญหาความไว้วางใจและการใช้งานที่กว้างขึ้นซึ่งยังคงรบกวนแพลตฟอร์ม
อ้างอิง: Pre-disclosure: Upcoming coordinated security fix for all Matrix server implementations