Deepseek, de trending Chinese kunstmatige intelligentie (AI) startup, heeft onlangs een van zijn databases op internet blootgesteld, waardoor mogelijk ongeautoriseerde toegang tot gevoelige gegevens mogelijk is. De blootgestelde clickhouse -database bood volgens Wiz Security Researcher volledige controle over de bewerkingen, volgens Wiz Security Gal Nagli.
Deepseek legt meer dan een miljoen lijnen bloot
De blootstelling omvatte meer dan een miljoen regels logstromen met chatgeschiedenis, geheime toetsen, backend -details en andere kritieke informatie, zoals API -geheimen en operationele metadata. Na meldingspogingen van het cloudbeveiligingsbedrijf heeft DeepSeek sindsdien de beveiligingslek opgelost.
De database, die toegankelijk was op oAuth2Callback.deepseek[.]com: 9000 en dev.deepseek[.]COM: 9000, niet -geautoriseerde gebruikers in staat om willekeurige SQL -query’s uit te voeren via de webbrowser zonder authenticatie te vereisen. Het blijft onduidelijk of er kwaadaardige acteurs zijn toegankelijk of gedownload de gegevens voordat het probleem werd opgelost.
Nagli benadrukte de risico’s van snelle AI -service -acceptatie zonder adequate beveiligingsmaatregelen, en benadrukte dat reële risico’s vaak voortkomen uit basisoverzicht zoals onbedoelde blootstelling aan database. Hij verklaarde: “Het beschermen van klantgegevens moet de topprioriteit blijven voor beveiligingsteams, en het is van cruciaal belang dat beveiligingsteams nauw samenwerken met AI -ingenieurs om gegevens te beschermen en blootstelling te voorkomen.”
Deepseek heeft verouderd Belangrijke aandacht voor zijn innovatieve open-source AI-modellen die willen concurreren met gevestigde systemen zoals Openai, waardoor het redeneermodel R1 wordt geplaatst als een “AI’s Sputnik-moment”. De AI-chatbot klom snel naar de top van App Store-ranglijsten op meerdere markten, zelfs toen het bedrijf te maken kreeg met ‘grootschalige kwaadaardige aanvallen’, wat leidde tot een tijdelijke pauze in nieuwe registraties.
In een update van 29 januari 2025, Deepseek erkend Het databaseprobleem en gaf aan dat het een oplossing implementeert. Tegelijkertijd wordt het bedrijf geconfronteerd met controle met betrekking tot zijn privacybeleid, waarbij zijn Chinese voorkeuren de bezorgdheid over de nationale veiligheid in de Verenigde Staten aan de orde stellen.
In gerelateerde ontwikkelingen waren de toepassingen van Deepseek niet beschikbaar in Italië nadat de gegevensbeschermingsregelgever van het land, de Garante, informatie zocht over de gegevensverwerkingspraktijken van de startup en de bronnen van trainingsgegevens. De intrekking van apps uit de Italiaanse markt kan al dan niet een directe reactie op deze vragen zijn geweest, omdat de Irish Data Protection Commission (DPC) ook vergelijkbare informatieverzoeken heeft gedaan.
Openai en Microsoft zijn onderzoek Of Deepseek Openai’s Application Programming Interface (API) gebruikte zonder toestemming om zijn modellen te trainen door een proces dat bekend staat als destillatie. Een woordvoerder van Openai verklaarde: “We weten dat groepen in [China] werken actief aan het gebruik van methoden, inclusief wat bekend staat als destillatie, om te proberen geavanceerde US AI -modellen te repliceren. ”
