Критичен пропуск в сигурността на DeepSeek разкрива данни на милиони потребители

  • Изследователите на Wiz откриха публично изложена база данни DeepSeek, компрометирана с критична потребителска информация.
  • Пробивът включваше чат съобщения, API ключове и системни регистрационни файлове, разкривайки силно въздействащ пробив в сигурността.
  • Базата данни беше заключена след откриването, но не е ясно дали злонамерени участници са имали достъп до информацията.
  • Този инцидент поставя под въпрос сигурността на генеративния AI, който се разработва в световен мащаб, особено в китайски приложения като DeepSeek.

Пропуск в сигурността в DeepSeek

Изкуственият интелект продължава да се развива със скокове и граници, но не е без своите предизвикателства. DeepSeek, чатбот с изкуствен интелект, разработен в Китай, който се характеризира с отворен код и се конкурира с гиганти като OpenAI и Google, е в центъра на скандал след разкриването на сериозен пробив в сигурността което изложи на риск данните на милиони потребители по целия свят.

Изследователи от фирмата за облачна сигурност Wiz идентифицираха публична база данни DeepSeek, достъпна без ограничения за удостоверяване. Тази база данни, хоствана в система за управление, наречена ClickHouse, съдържаше чувствителна информация като API ключове, обикновени текстови чат съобщения, вътрешни системни регистрационни файлове и потребителски заявки. Такова излагане представлява значителен риск както за потребителите, така и за компанията, като отваря врати за кибератаки и злоупотреба с лични данни.

Уязвимостите на DeepSeek будят безпокойство

Бази данни, изложени в DeepSeek

Докладът на Wiz описва как достъпът до базата данни е изненадващо лесен. С повърхностно сканиране изследователите откриха пътя за достъп през HTTP интерфейса на ClickHouse, който позволяваше SQL заявките да се изпълняват директно от браузър. Това ниво на достъпност е тревожно във всеки контекст, но е още по-тревожно, когато става въпрос за чатбот, който обработва поверителна информация.

Според специалисти, Базата данни съдържа чат съобщения, много от тях на китайски, въпреки че не е изключено да е имало съобщения и на други езици. Освен това откриха вътрешни системни маршрути и API ключове, използвани за удостоверяване на заявки. Нападателят може да е използвал този тип информация, за да манипулира вътрешните системи на DeepSeek, да получи достъп до още по-критични данни или да компрометира цялата инфраструктура на компанията.

В отговор изследователите се опитаха да предупредят манипулаторите на DeepSeek чрез различни средства, включително имейли и профили в LinkedIn, свързани с компанията. Въпреки че първоначално не получиха отговор, Те блокираха публичната база данни около 30 минути след тези опити, оставяйки съдържанието му недостъпно за външни потребители.

Въздействие върху доверието към генериращите AI платформи

Откритият пропуск в сигурността повдига сериозни въпроси относно зрелостта и готовността на DeepSeek да се справи чувствителна информация. Според Ami Luttwak, технически директор на Wiz, Този тип грешки са неприемливи в системи, които се стремят да спечелят доверието на потребители и компании по целия свят. Въпреки че Грешките в сигурността не са рядкост в технологичния сектор, фактът, че тази празнина беше толкова лесна за намиране и използване подчертава липсата на основни мерки за безопасност.

Инцидентът също поднови дебата за рисковете, свързани с използването на AI технологии, разработени в Китай. И Ирландия, и Италия, наред с други държави в Европейския съюз, поискаха информация за това как DeepSeek обработва потребителските данни и дали те се съхраняват в китайски сървъри. Този епизод припомня предишни случаи, като например ChatGPT временно блокиран в Италия през 2023 г поради подобни опасения.

Дилемата с отворен код

Управление на данни в DeepSeek

Като отворен код, DeepSeek предлага определени предимства като достъпност за разработчици и стартиращи фирми. обаче Тази функция също така увеличава риска от злонамерени инструменти, които използват уязвимости във вашата инфраструктура, както се случи в този случай. Експертите по сигурността предупреждават, че модели като DeepSeek трябва да бъдат щателно одитирани и непрекъснато наблюдавани, за да се предотвратят подобни пробиви.

Тъй като влиянието на DeepSeek продължава да расте, нарастват и опасенията относно поверителност и киберсигурност. Условията за обслужване на чатбота разкриват, че компанията събира и съхранява потребителски данни за неопределено време, факт, който може да предизвика допълнителни критики и международно наблюдение.

Този инцидент подчертава Значение на установяването на по-строги глобални стандарти за гарантиране на сигурността и поверителността на потребителските данни. В свят, който все повече зависи от тези технологии, разработчиците трябва да дадат приоритет на доверието и прозрачността като основни стълбове на своето развитие.


Следвайте ни в Google Новини

Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговаря за данните: Actualidad Blog
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.