Závažná bezpečnostní chyba v čínské AI společnosti DeepSeek, vyvolala vážné obavy ohledně ochrany osobních údajů a kybernetické bezpečnosti. Bezpečnostní tým společnosti Wiz Research zjistili, že databáze společnosti DeepSeek zůstala na internetu zcela nechráněná. To vedlo k odhalení citlivých údajů uživatelů a interních informací společnosti.
Bezpečnostní chyba Deepseek: Co bylo odhaleno?
Zdroj: WizResearch
Odhalená databáze ClickHouse obsahovala více než milion datových sad s některými velmi soukromými informacemi. Únik zahrnoval kompletní protokoly chatu, interní API klíče a další podrobnosti o systému společnosti DeepSeek. Horší je, že databáze poskytovala plnou kontrolu nad datovými úlohami, což mohlo vést k dalším škodám.
Databáze byla přístupná prostřednictvím adres **oauth2callback.deepseek.com:9000** a **dev.deepseek.com:9000**, přičemž nebylo vyžadováno žádné ověření. To znamenalo, že kdokoli se základními technickými znalostmi mohl provádět SQL dotazy a přistupovat k datům.
Jak byla zranitelnost odhalena?
Zdroj: WizResearch
Podle příspěvku na blogu Wiz Research objevil bezpečnostní tým nechráněnou databázi během několika minut při rutinní kontrole vnějšího zabezpečení společnosti DeepSeek. Tým Wiz Research zdůraznil, že ačkoli podobné zranitelnosti nejsou neobvyklé, rozsah a závažnost tohoto incidentu jsou obzvláště znepokojivé.
Ami Luttwak, technologický ředitel společnosti Wiz, popsal incident jako „zásadní chybu“ a zdůraznil minimální úsilí potřebné ke zneužití zranitelnosti a vysokou úroveň přístupu, kterou umožňovala. Upozornil, že služby DeepSeek „nejsou dostatečně vyspělé na to, aby mohly být používány s citlivými údaji“. Řekl:
Skutečnost, že k chybám dochází, je občas pochopitelná. Ale toto vidíme jako dramatickou chybu, protože zabezpečení je velmi nízké a úroveň získaného přístupu je velmi vysoká.
Tato událost jest jasným důkazem rizik spojených s rychlým růstem technologií umělé inteligence. Zatímco mnoho rozhovorů o bezpečnosti AI se zaměřuje na budoucí škody, skutečná rizika často pramení z jednoduchých chyb, jako jsou otevřené datové soubory. Gal Nagli, bezpečnostní expert společnosti Wiz, také zdůraznil, že vidí jako velmi důležité zabývat se základními riziky. „Skutečná rizika často pocházejí ze základních problémů – jako je náhodné odhalení nechráněných databází,“ řekl.
Zdroj: WizResearch
Bezpečnostní chyba Deepseek: Reakce společnosti
Společnost DeepSeek reagovala na problém rychle a zranitelnost vyřešila do hodiny od oznámení. Zůstává však nejasné, zda k datům v době, kdy vše neměli ošetřeno, neměly přístup neoprávněné třetí strany.
Tato událost může poškodit důvěru v DeepSeek, protože firma právě získala slávu díky svému nástroji pro umělou inteligenci DeepSeek-R1. Tento nástroj se svými dovednostmi a cenou může rovnat GPT-4, zřejmě stále nejvýkonnější generativní umělé inteligenci od ChatGPT. Únik klíčových dat také zpochybňuje schopnost firmy nakládat s informacemi o uživatelích a bezpečnost jejich řešení. Únik dat DeepSeek navíc ukazuje, proč pro práci s umělou inteligencí nutná silná webová bezpečnost. Jak firmy zabývající se umělou inteligencí rostou a přidávají nové technologie, musí zajistit bezpečnost informací o uživatelích, aby zůstaly zdravé. Prozatím je tento případ znamením: pokud jde o bezpečnost, vše prověřujte.
