ข้ออ้างขายซอร์สโค้ด Mistral AI ราคา $25,000: สิ่งที่รู้จริง และสิ่งที่ยังไม่พิสูจน์

ที่สำคัญคือ ยังไม่มีหลักฐานสาธารณะ เช่นตัวอย่างโค้ดจริง หรือการยืนยันจากผู้เชี่ยวชาญอิสระว่าข้อมูลเหล่านี้เป็นของ Mistral AI จริง

ความเกี่ยวข้องกับการโจมตี Mini Shai‑Hulud

ข้ออ้างการขายข้อมูลเกิดขึ้นหลังจากเหตุโจมตีซัพพลายเชน Mini Shai‑Hulud ซึ่งถูกเชื่อมโยงกับกลุ่ม TeamPCP

แคมเปญนี้เป็นการโจมตีระบบแพ็กเกจซอฟต์แวร์โอเพ่นซอร์ส เช่น npm และ PyPI และมีรายงานว่าทำให้แพ็กเกจกว่า 170 รายการถูกฝังมัลแวร์

แพ็กเกจที่ได้รับผลกระทบรวมถึงของหลายโปรเจกต์ เช่น

• TanStack
• Mistral AI
• UiPath
• OpenSearch
• Guardrails AI

ในบางกรณี มัลแวร์ถูกออกแบบมาเพื่อขโมยข้อมูลสำคัญจากเครื่องนักพัฒนา เช่น โทเคน GitHub, credentials ของคลาวด์ และข้อมูล CI/CD

สิ่งที่ Mistral AI ชี้แจง

Mistral AI ซึ่งเป็นบริษัท AI จากฝรั่งเศสที่พัฒนาโมเดลภาษาขนาดใหญ่ (LLM) ได้ออกประกาศด้านความปลอดภัยเกี่ยวกับเหตุการณ์นี้

ประเด็นสำคัญจากคำชี้แจง ได้แก่

• การโจมตีเกิดจาก ซัพพลายเชนของซอฟต์แวร์บุคคลที่สามที่เกี่ยวข้องกับ TanStack
• ส่งผลให้มี เวอร์ชัน SDK ที่ถูกฝังโค้ดอันตรายถูกเผยแพร่บน npm และ PyPI
• พบว่า อุปกรณ์ของนักพัฒนาบางเครื่องถูกกระทบ แต่
• การตรวจสอบทางนิติวิทยาศาสตร์ระบุว่า โครงสร้างพื้นฐานของ Mistral ไม่ได้ถูกเจาะระบบ

แพ็กเกจที่ได้รับผลกระทบ ได้แก่

• npm: @mistralai/mistralai เวอร์ชัน 2.2.2–2.2.4
• npm: @mistralai/mistralai-azure เวอร์ชัน 1.7.1–1.7.3
• npm: @mistralai/mistralai-gcp เวอร์ชัน 1.7.1–1.7.3
• PyPI: mistralai เวอร์ชัน 2.4.6

ในกรณีของ PyPI แพ็กเกจที่ติดมัลแวร์จะทำงานทันทีเมื่อถูก import โดยดาวน์โหลดไฟล์ชื่อ transformers.pyz จากเซิร์ฟเวอร์ภายนอกและรันเป็นโปรเซสเบื้องหลังบนระบบ Linux

ทำไมข้ออ้างเรื่องซอร์สโค้ดยังไม่น่าเชื่อถือ

เหตุผลหลักที่ผู้เชี่ยวชาญยังไม่ยืนยันข่าวนี้ ได้แก่

• ยังไม่มีตัวอย่างข้อมูลหรือหลักฐานทางเทคนิคที่ตรวจสอบได้
• ไม่มีการยืนยันจาก Mistral ว่ามี repository ภายในรั่วไหล
• ไม่มีการตรวจสอบ commit history หรือ metadata ของ repository
• ยังไม่มีการยืนยันจากนักวิจัยความปลอดภัยอิสระ

แม้ Mistral จะยืนยันว่าโครงสร้างพื้นฐานของตนไม่ถูกเจาะ แต่ก็ไม่ได้ปิดความเป็นไปได้ทั้งหมด เช่น การที่ไฟล์อาจหลุดจาก เครื่องนักพัฒนา ที่ได้รับผลกระทบจากมัลแวร์

ภาพรวมสถานการณ์ตอนนี้

โดยสรุป

• มี โพสต์อ้างขาย repository ของ Mistral AI ราคา $25,000 จริง
• แต่ ยังไม่มีหลักฐานยืนยันว่าไฟล์เป็นของจริง
• เหตุการณ์เกิดขึ้นหลังการโจมตีซัพพลายเชน Mini Shai‑Hulud ที่กระทบแพ็กเกจนักพัฒนาในวงกว้าง
• Mistral ระบุว่า โครงสร้างพื้นฐานของบริษัทไม่ได้ถูกเจาะ จากการตรวจสอบภายใน

ดังนั้น ณ ตอนนี้ ข่าวการขายซอร์สโค้ดของ Mistral AI ยังควรถูกมองว่าเป็น ข้อกล่าวอ้างที่ยังไม่ได้รับการพิสูจน์ มากกว่าจะเป็นการรั่วไหลที่ยืนยันแล้ว