Deepseek, trendowy startup chińskiej sztucznej inteligencji (AI), niedawno ujawnił jedną z swoich baz danych w Internecie, potencjalnie umożliwiając nieautoryzowany dostęp do poufnych danych. Według WIZ Security Security baza danych Exponed Clickhouse zapewniła pełną kontrolę nad działaniami Gal Nagli.
Deepseek odsłania ponad milion linii
Ekspozycja obejmowała ponad milion linii strumieni dzienników zawierających historię czatu, tajne klucze, szczegóły zaplecza i inne krytyczne informacje, takie jak tajemnice API i metadane operacyjne. Po próbach powiadomień z firmy bezpieczeństwa w chmurze DeepSeek od tego czasu naprawiła lukę w zabezpieczeniach.
Baza danych, która była dostępna na OAuth2Callback.Deepseek[.]com: 9000 i dev.deepseek[.]com: 9000, umożliwiło nieautoryzowanym użytkownikom wykonywanie dowolnych zapytań SQL za pośrednictwem przeglądarki internetowej bez wymagania uwierzytelnienia. Pozostaje niejasne, czy jakiekolwiek złośliwe aktorzy uzyskali dostęp lub pobrały dane przed rozwiązaniem problemu.
Nagli podkreślił ryzyko szybkiego przyjęcia usług AI bez odpowiednich środków bezpieczeństwa, podkreślając, że rzeczywiste ryzyko często wynikają z podstawowych nadzoru, takich jak przypadkowa ekspozycja na bazę danych. Stwierdził: „Ochrona danych klientów musi pozostać najwyższym priorytetem dla zespołów bezpieczeństwa, i kluczowe jest, aby zespoły bezpieczeństwa ściśle współpracować z inżynierami AI w celu ochrony danych i zapobiegania ekspozycji”.
Deepseek ma Zebrany Znaczna uwaga na innowacyjne modele AI open source, które mają na celu konkurowanie z ustalonymi systemami, takimi jak Openai, pozycjonując model rozumowania R1 jako „moment sputnik”. Jego AI Chatbot szybko wspiął się na szczyt rankingów App Store na wielu rynkach, nawet gdy firma stanęła w obliczu „złośliwych ataków na dużą skalę”, co doprowadziło do tymczasowej przerwy w nowych rejestracjach.
W aktualizacji 29 stycznia 2025 r. Deepseek uznane Problem z bazy danych i wskazał, że wdraża poprawkę. Jednocześnie firma staje w obliczu kontroli dotyczącej polityki prywatności, a jej chińskie przynależności wzbudzają obawy dotyczące bezpieczeństwa narodowego w Stanach Zjednoczonych.
W powiązanych zmianach aplikacje Deepseek stały się niedostępne we Włoszech po tym, jak krajowy regulator ochrony danych, Garante, szukał informacji o praktykach obsługi danych startupu i jego źródłach danych szkoleniowych. Wycofanie aplikacji z rynku włoskiego mogło, ale nie musi, było bezpośrednią odpowiedzią na te zapytania, ponieważ Irlandzka Komisja Ochrony danych (DPC) również złożyła podobne wnioski o informacje.
Openai i Microsoft są badanie Niezależnie od tego, czy Deepseek użył interfejsu programowania aplikacji Openai (API) bez upoważnienia do szkolenia swoich modeli poprzez proces znany jako destylacja. Rzecznik Openai stwierdził: „Wiemy, że grupy w [China] Aktywnie pracują nad stosowaniem metod, w tym tak zwanych destylacji, aby próbować odtworzyć zaawansowane modele AI. ”
