IDA Project
VEGA Instrument
ข่าว Key API ของ xAI หลุด

เจ้าหน้าที่ DOGE เปิดเผยคีย์ API ของ xAI ในเหตุการณ์ผิดพลาดด้านความปลอดภัย

Date Post
16.07.2025
Post Views
27

คงจะมีคนไทยหลายคนสงสัยว่า หากเจ้าหน้าที่ภาครัฐที่ดูแลข้อมูลส่วนบุคคลของคนในชาติหลายล้านคนกลับเก็บแม้แต่คีย์ API ธรรมดาไม่ได้ แล้วเราจะไว้ใจให้เขารักษาข้อมูลสำคัญอื่นๆ อย่างไร นี่คือคำถามที่ชาวอเมริกันต้องตั้งหลังเหตุการณ์ที่ Marko Elez เจ้าหน้าที่วัย 25 ปีจาก Department of Government Efficiency (DOGE) ทำคีย์ API ส่วนตัวของ xAI หลุดไปบน GitHub โดยไม่ได้ตั้งใจ

เหตุการณ์ที่เกิดขึ้นเมื่อวันที่ 13 กรกฎาคม 2025 นี้ไม่ใช่แค่ความผิดพลาดธรรมดาของเจ้าหน้าที่คนหนึ่ง แต่เป็นการเปิดเผยปัญหาเชิงระบบที่ร้ายแรงของการบริหารจัดการความปลอดภัยข้อมูลในหน่วยงานภาครัฐสหรัฐฯ โดยเฉพาะเมื่อคนที่ทำผิดพลาดนี้มีสิทธิ์เข้าถึงข้อมูลของประชาชนใน Social Security Administration, Treasury Department, และ Department of Homeland Security

ความร้ายแรงที่ซ่อนอยู่เบื้องหลัง

สิ่งที่น่าตกใจไม่ใช่เพียงการที่คีย์ API หลุดไปเท่านั้น แต่เป็นสิ่งที่คีย์ดังกล่าวเปิดโอกาสให้เข้าถึงได้ Philippe Caturegli นักวิจัยความปลอดภัยไซเบอร์จากบริษัท Seralys ที่ค้นพบเหตุการณ์นี้เผยว่า คีย์ที่หลุดไปสามารถเข้าถึงโมเดลภาษาขนาดใหญ่ (LLM) ของ xAI ได้อย่างน้อย 52 ตัว รวมถึงโมเดล grok-4-0709 ที่เพิ่งถูกสร้างขึ้นเมื่อวันที่ 9 กรกฎาคม 2025

แต่สิ่งที่น่าประหลาดใจมากกว่านั้นคือ แม้ว่า Elez จะลบ repository ออกจาก GitHub ไปแล้วหลังจากที่ได้รับการแจ้งเตือน แต่คีย์ API ยังคงใช้งานได้อยู่ เนื่องจากทาง xAI ไม่ได้ทำการยกเลิกคีย์ดังกล่าวทันที นั่นหมายความว่าใครก็ตามที่เห็นคีย์นี้ก่อนหน้าที่จะถูกลบ ยังสามารถใช้งานต่อไปได้อย่างไม่มีกำหนด

รูปแบบของความล้มเหลวที่ซ้ำซาก

สิ่งที่น่าสะพรึงกลัวมากกว่านั้นคือเหตุการณ์นี้ไม่ใช่ครั้งแรกที่เกิดขึ้น มีรายงานว่าในเดือนพฤษภาคม 2025 เจ้าหน้าที่ DOGE คนอื่นก็เคยทำคีย์ API ของ xAI หลุดไปบน GitHub เป็นเวลาสองเดือนเต็ม โดยคีย์ดังกล่าวเปิดโอกาสให้เข้าถึงโมเดล LLM ที่ถูกปรับแต่งเฉพาะสำหรับข้อมูลภายในของบริษัทต่างๆ ของ Musk รวมถึง SpaceX, Tesla และ Twitter/X

เหตุการณ์ที่เกิดขึ้นซ้ำๆ แบบนี้ทำให้ Philippe Caturegli ออกมาแสดงความเห็นอย่างกระชับว่า

“One leak is a mistake, but when the same type of sensitive key gets exposed again and again, it’s not just bad luck, it’s a sign of deeper negligence and a broken security culture”

หรือ

“ถ้าคีย์หลุดครั้งเดียว มันอาจเป็นความผิดพลาด แต่ถ้าหลุดซ้ำ ๆ แบบเดิมอีก มันไม่ใช่แค่เรื่องโชคร้ายแล้ว ปัญหามันใหญ่กว่านั้นทั้งความละเลย และวัฒนธรรมด้านความปลอดภัยที่บกพร่อง อย่างชัดเจน”

ความน่าขันที่หันมาเป็นความน่ากลัว

ที่น่าตลกร้ายก็คือเหตุการณ์นี้เกิดขึ้นเพียงไม่กี่วันหลังจากที่ xAI ประกาศได้รับสัญญาจากกระทรวงกลาโหมสหรัฐฯ มูลค่า 200 ล้านดอลลาร์ เพื่อนำ Grok ไปใช้งานในระบบความมั่นคงแห่งชาติ และสิ่งที่น่าขำร้ายมากกว่านั้นคือเหตุการณ์นี้เกิดขึ้นไม่ถึงสัปดาห์หลังจากที่ Grok เริ่มสร้างโพสต์ที่มีเนื้อหาเหยียดชาวยิวและอ้างอิงถึง Adolf Hitler โดยตรง รวมถึงเรียกตัวเองว่า MechaHitler

สถานการณ์ดังกล่าวทำให้เกิดคำถามที่น่าสนใจว่า หากระบบ AI ที่จะมาช่วยงานด้านความมั่นคงแห่งชาติกลับมีปัญหาในการควบคุมเนื้อหาที่ออกมาจากปาก และเจ้าหน้าที่ที่ดูแลระบบกลับเก็บแม้แต่คีย์ API ไม่ได้ แล้วเราจะมั่นใจในความปลอดภัยของข้อมูลแห่งชาติได้อย่างไร

ปัญหาใหญ่ที่ใครก็มองข้ามได้

สิ่งที่น่าเป็นห่วงมากที่สุดไม่ใช่การที่คีย์ API หลุดไปเท่านั้น แต่เป็นการที่ Elez มีสิทธิ์เข้าถึงข้อมูลสำคัญในหลายหน่วยงาน ตั้งแต่ระบบของ Social Security Administration ที่เก็บข้อมูลผู้รับสวัสดิการ ไปจนถึงระบบของ Department of Homeland Security ที่จัดการข้อมูลด้านความมั่นคงแห่งชาติ

การที่คนที่เคยมีประวัติการเผยแพร่เนื้อหาเหยียดเชื้อชาติและไม่สามารถจัดการแม้แต่คีย์ API ได้อย่างถูกต้อง กลับได้รับสิทธิ์เข้าถึงข้อมูลสำคัญในระดับนี้ สะท้อนให้เห็นปัญหาเชิงระบบในการคัดเลือกและกำกับดูแลบุคลากรของ DOGE ที่อาจส่งผลกระทบต่อความมั่นคงของข้อมูลประชาชนในวงกว้าง

บทเรียนสำคัญที่ควรจำ / เราควรเรียนรู้

เหตุการณ์นี้เป็นการเตือนสติที่สำคัญว่าในยุคที่เทคโนโลยี AI กำลังเข้ามามีบทบาทมากขึ้นในการบริหารภาครัฐ การจัดการความปลอดภัยข้อมูลและการคัดเลือกบุคลากรจะต้องมีความเข้มงวดมากยิ่งขึ้น เพราะความผิดพลาดเล็กๆ ของคนคนหนึ่งอาจกลายเป็นประตูสู่การเข้าถึงข้อมูลสำคัญของประชาชนหลายล้านคน

การที่ภาครัฐสหรัฐฯ ให้ความสำคัญกับประสิทธิภาพและความรวดเร็วในการนำเทคโนโลยี AI มาใช้ โดยไม่มีระบบรักษาความปลอดภัยที่เพียงพอ อาจกลายเป็นดาบสองคมที่เสี่ยงต่อการสูญเสียข้อมูลสำคัญในอนาคต

ในท้ายที่สุด เหตุการณ์ที่เจ้าหน้าที่ DOGE ทำคีย์ API ของ xAI หลุดไปนี้ ไม่ใช่เพียงแค่ข่าวเทคโนโลยีธรรมดา แต่เป็นเครื่องเตือนใจให้เราตระหนักว่าการพัฒนาเทคโนโลยีที่ขาดการบริหารความเสี่ยงอย่างรอบคอบ อาจนำไปสู่ผลกระทบที่ร้ายแรงต่อความมั่นคงของข้อมูลและความเป็นส่วนตัวของประชาชน

Logo-Company
Logo-Company
Logo-Company
logo-company
Pisit Poocharoen
Former field engineer seeking to break free from traditional learning frameworks. อดีตวิศวกรภาคสนามที่ต้องการหลุดออกจากกรอบการเรียนรู้แบบเดิม ๆ
Super Source-E-market place สำหรับสินค้าอุตสาหกรรม