DeepSeek alami kebocoran data awal tahun lepas, dengan lebih sejuta entri log dan rekod perbualan dijumpai dalam pangkalan data awam.

PETALING JAYA : Pakar keselamatan siber menggesa kerajaan mengharamkan penggunaan sistem AI buatan China, DeepSeek, dalam sektor awam bagi proses melibatkan data sensitif dan aliran kerja kritikal.

Menurut mereka, langkah ini penting demi keselamatan data dan privasi, khususnya dalam infrastruktur kerajaan yang menguruskan maklumat penting berkait keselamatan dan kedaulatan negara.

Sameer Kumar daripada Universiti Malaya berkata, DeepSeek mengalami kebocoran data awal tahun lepas, dengan lebih sejuta entri log dan rekod perbualan dijumpai dalam pangkalan data awam tanpa sebarang pengesahan.

Beliau berkata, insiden berkenaan menjejaskan kredibiliti platform China itu, walaupun punca utamanya ialah konfigurasi pangkalan data yang salah. Kejadian serupa turut dilaporkan berlaku pada sistem AI lain, tambahnya.

“Dalam kes kebocoran DeepSeek pada 2025, saya percaya insiden seumpama ini berpunca daripada penyulitan (encryption) yang lemah.

“Bagi pengguna sektor kerajaan, ini bermakna komunikasi rutin mereka juga boleh dipintas pihak ketiga. Ini masalah serius,” kata Sameer kepada FMT.

Beliau juga berkata, DeepSeek didapati menyimpan data peribadi di China tanpa keselamatan yang mencukupi, sekali gus mendorong pengawal selia Itali menyekat akses kepada platform berkenaan, berkait pelanggaran Peraturan Perlindungan Data Am (GDPR) Kesatuan Eropah.

“Hal sama boleh berlaku apabila pegawai kerajaan Malaysia menggunakan DeepSeek. Data mereka tertakluk kepada undang-undang China, termasuk Artikel 7 Undang-Undang Risikan Negara.

“Artikel ini menyatakan ‘semua organisasi dan warganegara menyokong, membantu dan bekerjasama dengan usaha risikan negara’,” katanya.

Bagaimanapun, Sameer berkata, larangan menyeluruh tidak perlu, sebaliknya menyarankan pihak berkuasa kawal selia menguatkuasakan syarat pematuhan ke atas semua penyedia AI.

Fong Choong Fook, pengasas firma perkhidmatan keselamatan LGMS, memberi amaran bahawa maklumat penting mungkin termasuk secara tidak sengaja ke dalam chatbot apabila penjawat awam memasukkan ‘prompt’.

Beliau mengingatkan data itu mungkin diproses atau disimpan di luar negara dan digunakan untuk melatih serta menambah baik model AI berkenaan.

Fong berkata, perkara ini boleh menimbulkan risiko terhadap kedaulatan dan pematuhan, selain berpotensi membawa kepada ‘data exfiltration’, kebocoran tauliah (credentials), dan pemberian kebenaran akses data kerajaan.

Beliau mencadangkan DeepSeek diharamkan di agensi keselamatan negara, penguatkuasaan undang-undang dan infrastruktur penting lain serta jabatan yang mengendalikan data sensitif rakyat.

Beberapa negara mengenakan larangan menyeluruh terhadap platform berkenaan, termasuk Jerman dan Itali.

Manakala negara lain seperti Australia, Republik Czech, India, Korea, Belanda, Taiwan dan Amerika Syarikat (AS) memperkenalkan larangan merentasi sektor awam atau mengehadkan penggunaannya di jabatan tertentu.

Fong berkata, larangan menyeluruh wajar dikenakan hanya jika jelas terbukti wujudnya risiko yang tidak boleh diterima atau ketidakpatuhan, menyifatkan sekatan berasaskan risiko sebagai langkah paling praktikal.

Dibangunkan penyelidik dan jurutera China, DeepSeek mencetuskan fenomena awal tahun lepas dan disebut-sebut sebagai pesaing ChatGPT, khususnya kerana kelebihannya dalam bahasa Mandarin dan bahasa Asia lain.

Simpan data tempatan secara eksklusif paling ideal

Sameer berkata, penyimpanan data peribadi di luar pesisir bukan amalan khusus AI China.

Walaupin rangka kerja undang-undang China dan AS masing-masing mewajibkan syarikat mendedahkan data, perbezaan utamanya terletak pada ketelusan.

“Syarikat AS seperti OpenAI menerbitkan laporan ketelusan secara berkala, yang menyenaraikan permintaan kerajaan sedemikian, namun syarikat China beroperasi di bawah syarat kerahsiaan.

“DeepSeek mesti memperkukuh keselamatannya bagi mengelak kebocoran data dan meyakinkan pengguna bahawa ‘backend’ sistemnya selamat,” katanya.

“Ketidakpatuhan DeepSeek terhadap GDPR dan kekurangan ketelusan ialah kebimbangan kawal selia yang sah, dan perlu ditangani DeepSeek sendiri.

“Infrastruktur kompleks yang menjadi asas operasi platform AI bermakna sebarang kompromi pada mana-mana lapisan boleh mendedahkan data, tanpa mengira amalan keselamatan platform AI berkenaan.”

Ahli akademik itu berkata, Putrajaya perlu menggubal Rangka Kerja Tadbir Urus AI Nasional, dan penyimpanan data AI secara eksklusif dalam bidang kuasa Malaysia ialah langkah paling ideal.

“Jika tidak, penyulitan berdaulat boleh dilaksanakan dengan kunci yang hanya dipegang pihak berkuasa Malaysia, menghalang akses data kepada penyedia platform asing atau kerajaan mereka,” katanya.

Sameer juga berkata, penjawat awam mesti diwajibkan menjalani latihan penggunaan AI untuk membendung kemasukan tidak sengaja data sensitif ke dalam platform AI

Fong bersetuju dengan perkara itu, menyatakan manusia kekal menjadi risiko terbesar kerana mereka mungkin memasukkan maklumat sensitif ke dalam sistem AI awam.

Beliau turut mencadangkan Putrajaya melaksanakan usaha wajar dan ujian keselamatan ke atas vendor AI sebelum membenarkan penggunaannya dalam sektor awam.