
Image by File Santilàn, from Unsplash
Нарушение безопасности в DeepSeek: обнародованы 1 миллион записей, история чатов и ключей
Обнаружена уязвимость в открытой базе данных китайской компании искусственного интеллекта DeepSeek, которая привела к утечке конфиденциальной информации, включая историю личных переписок и секретные ключи.
Спешите? Вот основные факты!
- Более миллиона строк конфиденциальных данных, включая историю чата и ключи API, были раскрыты.
- Для обработки данных в реальном времени использовалась база данных ClickHouse, система управления данными с открытым исходным кодом.
- Wiz Research предупредила DeepSeek, который устранил утечку после получения информации.
Исследователи из Wiz Research обнаружили, что к разглашенной базе данных можно получить доступ без какой-либо аутентификации, что делает ее уязвимой для возможных нарушений безопасности.
DeepSeek, известный своими инновационными моделями ИИ, в частности, экономически эффективной моделью рассуждения DeepSeek-R1, недавно привлек внимание в индустрии ИИ своим впечатляющим исполнением.
Однако, исследование Wiz Research обнаружило тревожное нарушение безопасности, которое позволяло полный доступ к базе данных DeepSeek, включая более миллиона строк чувствительных лог-данных.
База данных, размещенная по двум адресам: oauth2callback.deepseek.com:9000 и dev.deepseek.com:9000, была обнаружена в ходе рутинной проверки безопасности публично доступных веб-сайтов компании.
База данных работала на открытой системе под названием ClickHouse, которую часто используют для быстрой обработки данных. К сожалению, это сделало данные легко доступными и простыми для эксплуатации для любого человека с техническими знаниями.
Среди конфиденциальной информации, раскрытой в базе данных, были логи истории чата пользователей, ключи API, бэкэнд-данные и даже внутренние операционные детали. Эти логи включали в себя личную информацию, сообщения чата в открытом тексте, а также данные о внутренних системах DeepSeek.
Такие данные могли быть использованы злоумышленниками для доступа к учетным записям пользователей, кражи паролей или вмешательства в операции компании.
Хотя Wiz Research немедленно сообщила о произошедшем утечке информации DeepSeek, компания быстро приняла меры для устранения уязвимости. Инцидент подчеркивает постоянные риски, с которыми сталкиваются многие компании в области искусственного интеллекта, когда они быстро расширяют свои услуги, не уделяя должного внимания вопросам безопасности.
Обнаружение Wiz Research служит напоминанием о том, что, несмотря на продвижение технологий искусственного интеллекта, инфраструктура, поддерживающая их, также должна быть надежно защищена. По мере того как компании в области ИИ растут и обрабатывают все больше чувствительных данных, отрасль должна гарантировать, что введены соответствующие меры безопасности, чтобы защитить пользователей и их информацию от утечки.
Оставьте комментарий
Отменить