Нарушение безопасности DeepSeek: исследование Wiz Research выявило уязвимость DeepLeak

ДипСик, восходящая звезда в области разработки искусственного интеллекта, привлекла внимание своей моделью рассуждения DeepSeek-R1, которая конкурирует с ведущими системами искусственного интеллекта. 

Однако недавние исследования Wiz Research выявили критическую уязвимость безопасности, которая теперь называется DeepLeak. В результате атаки была задействована открытая и неаутентифицированная база данных ClickHouse, обеспечивающая неограниченный доступ к высококонфиденциальной информации. Этот инцидент вызывает серьезную обеспокоенность по поводу конфиденциальности данных, безопасности инфраструктуры и потенциальных рисков, связанных с быстрым развитием ИИ-технологии.

Подробности взлома безопасности DeepSeek 

Wiz Research провела оценку состояния внешней безопасности DeepSeek и обнаружила серьезную уязвимость. Их выводы включают в себя:

• Общедоступная база данных ClickHouse, размещенная на поддоменах DeepSeek, оказалась полностью открытой и не требовала аутентификации.

• База данных содержала более миллиона записей журнала, раскрывающих конфиденциальные данные, такие как истории чатов, ключи API и сведения о работе серверной части.

• В результате уязвимости неавторизованные пользователи могли выполнять запросы к базе данных, что создавало риск кражи данных и повышения привилегий.

• Уязвимость безопасности была обнаружена в течение нескольких минут с использованием базовых методов разведки, что выявило значительную ошибку в протоколах безопасности DeepSeek.

Обнаружив нарушение, Wiz Research незамедлительно сообщила о проблеме компании DeepSeek, которая быстро защитила раскрытую базу данных. 

Хотя до обнаружения никаких доказательств злонамеренной эксплуатации не было, инцидент подчеркивает более широкие риски, связанные со слабыми методами обеспечения безопасности в инфраструктуре искусственного интеллекта.

Читайте также: Как купить DeepSeek AI

Более широкие последствия для безопасности ИИ 

Нарушение DeepSeek является ярким напоминанием о том, что, хотя достижения ИИ стимулируют инновации, они также создают критические уязвимости безопасности. Ключевые выводы из этого инцидента включают в себя:

• Риски инфраструктуры искусственного интеллекта: Многие стартапы в области искусственного интеллекта фокусируются на производительности моделей, но пренебрегают надежными мерами безопасности, оставляя конфиденциальные данные открытыми.

• Регулирующая проверка: Поскольку модели искусственного интеллекта обрабатывают огромные объемы пользовательских данных, регулирующие органы во всем мире уделяют более пристальное внимание пробелам в безопасности. Расследования деятельности DeepSeek уже начались в западных странах, включая Белый дом и Управление по защите данных Италии.

• Необходимость более строгих стандартов безопасности: Компании, занимающиеся искусственным интеллектом, должны принять меры безопасности, сопоставимые с мерами в традиционной облачной инфраструктуре, чтобы предотвратить подобные риски.

Заключение 

Нарушение безопасности DeepSeek послужило тревожным звонком для компаний, занимающихся искусственным интеллектом, и заставило их уделять приоритетное внимание безопасности наряду с инновациями. Поскольку системы искусственного интеллекта продолжают интегрироваться в критически важные отрасли, обеспечение защиты конфиденциальных данных должно оставаться главным приоритетом. 

Организации, внедряющие технологии искусственного интеллекта, должны применять строгие политики безопасности, чтобы предотвратить случайное воздействие, которое может привести к серьезной утечке данных.

Часто задаваемые вопросы

1. Какая основная уязвимость была в системе DeepSeek?

У DeepSeek была общедоступная база данных ClickHouse без аутентификации, предоставляющая доступ к более чем миллиону конфиденциальных записей журнала, включая истории чатов и ключи API.

2. Использовала ли Wiz Research данные?

Нет, Wiz Research следовала этическим нормам безопасности и ответственно раскрыла уязвимость компании DeepSeek, которая оперативно обеспечила ее раскрытие.

3. Как это нарушение влияет на безопасность ИИ в целом?

Это подчеркивает острую необходимость в более надежных протоколах безопасности в инфраструктуре искусственного интеллекта, поскольку компании часто отдают приоритет разработке моделей, а не надежным мерам безопасности.

4. Какие шаги следует предпринять компаниям, занимающимся искусственным интеллектом, чтобы предотвратить подобные инциденты?

Компании, занимающиеся искусственным интеллектом, должны внедрить строгий контроль аутентификации, регулярно проверять свою инфраструктуру и внедрять системы безопасности, аналогичные тем, которые используются в облачных вычислениях, для защиты конфиденциальных данных.