Изкуственият интелект продължава да се развива със скокове и граници, но не е без своите предизвикателства. DeepSeek, чатбот с изкуствен интелект, разработен в Китай, който се характеризира с отворен код и се конкурира с гиганти като OpenAI и Google, е в центъра на скандал след разкриването на сериозен пробив в сигурността което изложи на риск данните на милиони потребители по целия свят.
Изследователи от фирмата за облачна сигурност Wiz идентифицираха публична база данни DeepSeek, достъпна без ограничения за удостоверяване. Тази база данни, хоствана в система за управление, наречена ClickHouse, съдържаше чувствителна информация като API ключове, обикновени текстови чат съобщения, вътрешни системни регистрационни файлове и потребителски заявки. Такова излагане представлява значителен риск както за потребителите, така и за компанията, като отваря врати за кибератаки и злоупотреба с лични данни.
Уязвимостите на DeepSeek будят безпокойство
Докладът на Wiz описва как достъпът до базата данни е изненадващо лесен. С повърхностно сканиране изследователите откриха пътя за достъп през HTTP интерфейса на ClickHouse, който позволяваше SQL заявките да се изпълняват директно от браузър. Това ниво на достъпност е тревожно във всеки контекст, но е още по-тревожно, когато става въпрос за чатбот, който обработва поверителна информация.
Според специалисти, Базата данни съдържа чат съобщения, много от тях на китайски, въпреки че не е изключено да е имало съобщения и на други езици. Освен това откриха вътрешни системни маршрути и API ключове, използвани за удостоверяване на заявки. Нападателят може да е използвал този тип информация, за да манипулира вътрешните системи на DeepSeek, да получи достъп до още по-критични данни или да компрометира цялата инфраструктура на компанията.
В отговор изследователите се опитаха да предупредят манипулаторите на DeepSeek чрез различни средства, включително имейли и профили в LinkedIn, свързани с компанията. Въпреки че първоначално не получиха отговор, Те блокираха публичната база данни около 30 минути след тези опити, оставяйки съдържанието му недостъпно за външни потребители.
Въздействие върху доверието към генериращите AI платформи
Откритият пропуск в сигурността повдига сериозни въпроси относно зрелостта и готовността на DeepSeek да се справи чувствителна информация. Според Ami Luttwak, технически директор на Wiz, Този тип грешки са неприемливи в системи, които се стремят да спечелят доверието на потребители и компании по целия свят. Въпреки че Грешките в сигурността не са рядкост в технологичния сектор, фактът, че тази празнина беше толкова лесна за намиране и използване подчертава липсата на основни мерки за безопасност.
Инцидентът също поднови дебата за рисковете, свързани с използването на AI технологии, разработени в Китай. И Ирландия, и Италия, наред с други държави в Европейския съюз, поискаха информация за това как DeepSeek обработва потребителските данни и дали те се съхраняват в китайски сървъри. Този епизод припомня предишни случаи, като например ChatGPT временно блокиран в Италия през 2023 г поради подобни опасения.
Дилемата с отворен код
Като отворен код, DeepSeek предлага определени предимства като достъпност за разработчици и стартиращи фирми. обаче Тази функция също така увеличава риска от злонамерени инструменти, които използват уязвимости във вашата инфраструктура, както се случи в този случай. Експертите по сигурността предупреждават, че модели като DeepSeek трябва да бъдат щателно одитирани и непрекъснато наблюдавани, за да се предотвратят подобни пробиви.
Тъй като влиянието на DeepSeek продължава да расте, нарастват и опасенията относно поверителност и киберсигурност. Условията за обслужване на чатбота разкриват, че компанията събира и съхранява потребителски данни за неопределено време, факт, който може да предизвика допълнителни критики и международно наблюдение.
Този инцидент подчертава Значение на установяването на по-строги глобални стандарти за гарантиране на сигурността и поверителността на потребителските данни. В свят, който все повече зависи от тези технологии, разработчиците трябва да дадат приоритет на доверието и прозрачността като основни стълбове на своето развитие.