DeepSeek, la startup di intelligenza artificiale cinese di tendenza (AI), ha recentemente esposto uno dei suoi database su Internet, consentendo potenzialmente l’accesso non autorizzato a dati sensibili. Il database di Clickhouse esposto ha fornito il pieno controllo sulle sue operazioni, secondo Wiz Security Researcher Gal Nagli.
DeepSeek espone oltre un milione di righe
L’esposizione includeva oltre un milione di righe di flussi di registro con cronologia delle chat, chiavi segrete, dettagli sul back -end e altre informazioni critiche, come i segreti API e i metadati operativi. A seguito di tentativi di notifica della società di sicurezza cloud, DeepSeek ha risolto la vulnerabilità della sicurezza.
Il database, che era accessibile su oauth2callback.deepseek[.]com: 9000 e dev.deepseek[.]com: 9000, abilitato agli utenti non autorizzati di eseguire query SQL arbitrarie tramite il browser Web senza richiedere l’autenticazione. Non è chiaro se gli attori dannosi accedono o scaricati i dati prima che il problema fosse risolto.
Nagli ha sottolineato i rischi dell’adozione rapida del servizio di intelligenza artificiale senza adeguate misure di sicurezza, evidenziando che i rischi reali spesso derivano da sviste di base come l’esposizione al database accidentale. Ha dichiarato: “La protezione dei dati dei clienti deve rimanere la massima priorità per i team di sicurezza ed è fondamentale che i team di sicurezza lavorino a stretto contatto con gli ingegneri di intelligenza artificiale per salvaguardare i dati e prevenire l’esposizione”.
DeepSeek ha raccolto Attenzione significativa per i suoi innovativi modelli di intelligenza artificiale open source che mirano a competere con sistemi consolidati come Openi, posizionando il suo Modello di ragionamento R1 come “momento di sputnik dell’IA”. Il suo chatbot AI è salito rapidamente in cima alle classifiche degli app store in più mercati, anche se la società ha dovuto affrontare “attacchi dannosi su larga scala”, che ha portato a una pausa temporanea nelle nuove registrazioni.
In un aggiornamento del 29 gennaio 2025, DeepSeek riconosciuto Il problema del database e ha indicato che sta implementando una correzione. Allo stesso tempo, la società deve affrontare un controllo relativo alle sue politiche sulla privacy, con le sue affiliazioni cinesi che sollevano problemi di sicurezza nazionale negli Stati Uniti.
Negli sviluppi correlati, le applicazioni di Deepseek sono diventate non disponibili in Italia dopo che il regolatore della protezione dei dati del paese, il Garante, ha cercato informazioni sulle pratiche di gestione dei dati dell’avvio e le sue fonti di formazione dei dati. Il ritiro delle app dal mercato italiano potrebbe essere stato o meno una risposta diretta a tali indagini, poiché la Commissione per la protezione dei dati irlandese (DPC) ha anche effettuato richieste di informazioni simili.
Openai e Microsoft sono indagine Se DeepSeek abbia utilizzato l’interfaccia di programmazione dell’applicazione di Openai (API) senza autorizzazione per addestrare i suoi modelli attraverso un processo noto come distillazione. Un portavoce di Openai ha dichiarato: “Sappiamo che gruppi in [China] stanno lavorando attivamente per utilizzare i metodi, incluso ciò che è noto come distillazione, per cercare di replicare i modelli AI statunitensi avanzati. “
