A Deepseek, a startup de inteligência artificial chinesa (AI), expôs recentemente um de seus bancos de dados na Internet, potencialmente permitindo acesso não autorizado a dados confidenciais. O banco de dados do Clickhouse exposto forneceu controle total sobre suas operações, de acordo com o Wiz Security Pesquisador Gal Nagli.
Deepseek expõe mais de um milhão de linhas
A exposição incluiu mais de um milhão de linhas de fluxos de toras com histórico de bate -papo, chaves secretas, detalhes de back -end e outras informações críticas, como segredos da API e metadados operacionais. Após as tentativas de notificação da empresa de segurança em nuvem, a Deepseek corrigiu a vulnerabilidade de segurança.
O banco de dados, que era acessível em Oauth2Callback.Deepseek[.]com: 9000 e dev.deepseek[.]com: 9000, permitiu que os usuários não autorizados executassem consultas SQL arbitrárias por meio do navegador da web sem exigir autenticação. Ainda não está claro se algum ator malicioso acessou ou baixou os dados antes que o problema fosse resolvido.
Nagli enfatizou os riscos de adoção rápida de serviço de IA sem medidas adequadas de segurança, destacando que os riscos reais geralmente resultam de supervisões básicas, como a exposição acidental ao banco de dados. Ele afirmou: “Proteger os dados do cliente deve permanecer a principal prioridade para as equipes de segurança, e é crucial que as equipes de segurança trabalhem em estreita colaboração com os engenheiros da IA para proteger os dados e impedir a exposição”.
Deepseek tem gritou Atenção significativa por seus inovadores modelos de IA de código aberto que visam competir com sistemas estabelecidos como o OpenAI, posicionando seu modelo de raciocínio R1 como um “momento de escutas da IA”. Seu chatbot de IA subiu rapidamente para o topo da classificação da App Store em vários mercados, mesmo quando a empresa enfrentou “ataques maliciosos em larga escala”, o que levou a uma pausa temporária em novos registros.
Em uma atualização de 29 de janeiro de 2025, Deepseek reconhecido o problema do banco de dados e indicou que está implementando uma correção. Simultaneamente, a empresa enfrenta escrutínio em relação às suas políticas de privacidade, com suas afiliações chinesas levantando preocupações de segurança nacional nos Estados Unidos.
Em desenvolvimentos relacionados, as aplicações da Deepseek tornaram -se indisponíveis na Itália depois que o regulador de proteção de dados do país, o Garante, procurou informações sobre as práticas de manuseio de dados da startup e suas fontes de dados de treinamento. A retirada de aplicativos do mercado italiano pode ou não ter sido uma resposta direta a essas consultas, pois a Irish Data Protection Commission (DPC) também fez solicitações de informações semelhantes.
Openai e Microsoft são investigando Se o Deepseek usou a interface de programação de aplicativos do OpenAI (API) sem autorização para treinar seus modelos através de um processo conhecido como destilação. Um porta -voz do Openai declarou: “Sabemos que grupos em [China] estão trabalhando ativamente para usar os métodos, incluindo o que é conhecido como destilação, para tentar replicar os modelos avançados de IA. ”
