Нашумелият китайски стартъп за изкуствен интелект DeepSeek, чиято популярност нарасна главоломно през последните дни, е оставил една от своите бази данни изложена на риск в интернет. Това е могло да позволи на злонамерени лица да получат достъп до чувствителни данни. Базата ClickHouse „позволява пълен контрол върху операциите на базата данни, включително възможност за достъп до вътрешни данни“, заяви Гал Нагли, изследовател на сигурността във веригата за компютърна сигурност Wiz.
Излагането на риск включва и повече от милион реда потоци, съдържащи история на чатовете, секретни ключове, данни за т.нар. бекенд и друга изключително чувствителна информация - например API Secrets и оперативни метаданни.
DeepSeek е запушила дупката в сигурността след опитите на Wiz да се свърже с нея, но данните са били налични за около час. Китайската компания още не е коментирала официално.
Още: DeepSeek, или как Китай обърка сметките на Big Tech
Снимка: deepseek.com
Неоторизиран достъп: има ли теч?
Твърди се, че базата данни, хоствана на адреси oauth2callback.deepseek[.]com:9000 и dev.deepseek[.]com:9000, е позволила неоторизиран достъп до широк спектър от информация. Wiz отбелязва, че разкриването е позволило пълен контрол на базата данни, без да се изисква удостоверяване.
Това е включвало използване на HTTP интерфейса на ClickHouse за изпълнение на произволни SQL заявки директно през уеб браузъра. Засега не е ясно дали други злонамерени участници са се възползвали от възможността за достъп или изтегляне на данните.
„Бързото внедряване на услуги с изкуствен интелект без съответната сигурност е рисковано“, казва Нагли в изявление пред специализираното издание The Hacker News. „Макар че голяма част от вниманието около сигурността на ИИ е насочено към футуристични заплахи, истинските опасности често идват от основни рискове като случайното външно излагане на базите данни. Защитата на данните на клиентите трябва да остане основен приоритет за екипите по сигурността и е изключително важно тези екипи по сигурността да работят в тясно сътрудничество с инженерите по изкуствен интелект, за да защитят данните и да предотвратят излагането им на риск".
Още: Австралия предупреди да се внимава с китайския чатбот DeepSeek
Снимка: X.com, DeepSeek
Възходът на DeepSeek
DeepSeek се превърна в топ тема в сферата на AI заради своите новаторски модели с отворен код, за които се твърди, че могат да се конкурират с водещи системи за изкуствен интелект като тези на OpenAI, като същевременно са ефикасни и рентабилни.
Чатботът с изкуствен интелект на стартъпа - DeepSeek-R1 - се изстреля към върха на класациите на магазините за приложения за Android и iOS на няколко пазара, дори след като се оказа обект на „широкомащабни злонамерени атаки“, спрели временно регистрациите. В актуализация, публикувана на 29 януари 2025 г., компанията съобщи, че е установила проблема и че работи за въвеждането на поправка.
Възходът на DeepSeek срина акциите на големите технологични гиганти от Силициевата долина като Nvidia и Oracle: Възходът на китайския AI DeepSeek стопи богатството на най-заможните хора в света.
Проблеми
Приложенията на DeepSeek станаха недостъпни в Италия малко след като регулаторът за защита на данните на страната поиска информация за практиките на компанията за обработка на данни. Не е известно дали изтеглянето на приложенията е било в отговор на въпросите на надзорния орган.
Още: DeepSeek е блокиран в магазините за приложения на Apple и Google за Италия
Снимка: iStock
Bloomberg, Financial Times и The Wall Street Journal също така съобщиха, че OpenAI и Microsoft проверяват дали DeepSeek е използвала интерфейса за програмиране на приложения (API) на OpenAI без разрешение, за да обучава свои собствени модели на базата на резултатите от системите на OpenAI.
„Знаем, че групи в (Китай) работят активно за използване на методи, включително това, което е известно като "дестилация", за да се опитат да възпроизведат усъвършенствани американски модели на изкуствен интелект“, заяви говорител на OpenAI пред британското издание The Guardian.
Още: Заради мощна кибератака: Китайският чатбот DeepSeek има проблем с регистрацията на нови потребители
В същото време DeepSeek е и в края на проверките относно политиките си за защита на личните данни. Връзките ѝ с Китай се превръщат в повод за безпокойство за националната сигурност на САЩ, така както вече се случва с TikTok.
