Son günlerde popülerlikte meteorik bir artışa sahip olan Buzzy Çin Yapay Zekası (AI) Startup Deepseek, veritabanlarından birini internette maruz bıraktı ve bu da kötü niyetli aktörlerin hassas verilere erişmesine izin verebilir.
Clickhouse veritabanı “Dahili verilere erişme yeteneği de dahil olmak üzere veritabanı işlemleri üzerinde tam kontrol sağlar,” Wiz Güvenlik Araştırmacısı Gal Nagli söz konusu.
Pozlama ayrıca sohbet geçmişi, gizli anahtarlar, arka uç detayları ve API sırları ve operasyonel meta veriler gibi diğer son derece hassas bilgileri içeren bir milyondan fazla günlük akışı içerir. Deepseek, o zamandan beri bulut güvenlik firmasının onlarla iletişim kurma girişimlerinin ardından güvenlik deliğini taktı.
OAUTH2Callback.Deepseek’te barındırılan veritabanı[.]com: 9000 ve Dev.Deepseek[.]com: 9000, çok çeşitli bilgilere yetkisiz erişim sağladığı söyleniyor. Wiz, herhangi bir kimlik doğrulaması gerekmeden DeepSeek ortamında tam veritabanı kontrolü ve potansiyel ayrıcalık artışına izin verildiğine dikkat çekti.
Bu, doğrudan web tarayıcısı aracılığıyla keyfi SQL sorgularını yürütmek için Clickhouse’un HTTP arabiriminden yararlanmayı içeriyordu. Şu anda diğer kötü niyetli aktörlerin verilere erişme veya indirme fırsatını ele geçirip ele geçirmediği belirsiz.
Hacker News ile paylaşılan bir açıklamada Nagli, “AI hizmetlerinin karşılık gelen güvenlik olmadan hızlı bir şekilde benimsenmesi doğal olarak risklidir.” Dedi. “Yapay zeka güvenliği etrafındaki dikkatin çoğu fütüristik tehditlere odaklanırken, gerçek tehlikeler genellikle veritabanlarının kazara dışsal maruz kalması gibi temel risklerden gelir.”
“Müşteri verilerinin korunması, güvenlik ekipleri için en önemli öncelik olarak kalmalıdır ve güvenlik ekiplerinin verileri korumak ve maruz kalmayı önlemek için AI mühendisleri ile yakın çalışması çok önemlidir.”
Deepseek, Openai gibi önde gelen AI sistemlerine rakip olduğunu ve aynı zamanda verimli ve uygun maliyetli olduğunu iddia eden çığır açan açık kaynaklı modelleri için AI çevrelerinde du jour konusu haline geldi. Akıl yürütme modeli R1 selamlanmış “AI’nın Sputnik anı” olarak.
UpStart’ın AI chatbot’u, “büyük ölçekli kötü niyetli saldırıların” hedefi olarak ortaya çıkmasına rağmen, geçici olarak kayıtları duraklatmaya teşvik etse bile, çeşitli pazarlarda Android ve iOS genelinde uygulama mağazası grafiklerinin zirvesine çıktı.
Bir güncelleme Yayınlanan 29 Ocak 2025’te şirket, sorunu belirlediğini ve bir düzeltme uygulamak için çalıştığını söyledi.
Aynı zamanda, şirket aynı zamanda gizlilik politikaları hakkında incelemenin sonunda, Çin bağlarının meselesi haline gelmediğinden bahsetmiyorum. Ulusal Güvenlik Endişesi Amerika Birleşik Devletleri için.
Ayrıca, Deepseek’in uygulamaları mevcut olmadı Ülkenin veri koruma düzenleyicisi Garante’den kısa bir süre sonra İtalya’da, veri işleme uygulamaları ve eğitim verilerini nereden aldığı hakkında bilgi istedi. Uygulamaların geri çekilmesinin bekçi köpeğinden gelen sorulara yanıt olup olmadığı bilinmemektedir. Benzer bir talep de İrlanda Veri Koruma Komisyonu (DPC) tarafından da gönderildi.
Bloomberg– Finansal ZamanlarVe Wall Street Journal Ayrıca Openai ve Microsoft’un Deepseek’in Openai’nin Openai’nin sistemlerinin çıktısı konusunda kendi modellerini eğitme izni olmadan Openai’nin Uygulama Programlama Arabirimini (API) kullanıp kullanmadığını araştırdığını bildirdi. damıtma.
“Grupların [China] Damıtma olarak bilinenler de dahil olmak üzere, gelişmiş ABD AI modellerini çoğaltmaya çalışmak için aktif olarak çalışıyorlar, ” söylenmiş Guardian.
