Startup di intelligenza artificiale cinese (AI) Buzzy Deep -Weekche ha avuto un aumento meteorico di popolarità negli ultimi giorni, ha lasciato uno dei suoi database esposti su Web, che avrebbe potuto consentire agli attori dannosi di accedere a dati sensibili.
Il database Clickhouse “consente il controllo completo sulle operazioni del database, inclusa la possibilità di accedere ai dati interni”, il ricercatore di sicurezza Wiz Gal Nagli disse.
L’esposizione embrace anche più di un milione di righe di flussi di registro contenenti cronologia delle chat, chiavi segrete, dettagli sul again -end e altre informazioni altamente sensibili, come i segreti API e i metadati operativi. DeepSeek da allora ha collegato il foro di sicurezza a seguito dei tentativi della società di sicurezza cloud per contattarli.
Il database, ospitato su oauth2callback.deepseek (.) Com: 9000 e dev.deepseek (.) Com: 9000, si cube che abbia abilitato l’accesso non autorizzato a una vasta gamma di informazioni. L’esposizione, ha osservato Wiz, ha consentito il controllo completo del database e la potenziale escalation del privilegio all’interno dell’ambiente DeepSeek senza richiedere alcuna autenticazione.
Ciò ha comportato la leva finanziaria dell’interfaccia HTTP di Clickhouse per eseguire question SQL arbitrarie direttamente tramite il browser Net. Al momento non è chiaro se altri attori dannosi hanno colto l’opportunità di accedere o scaricare i dati.
“La rapida adozione dei servizi di intelligenza artificiale senza una sicurezza corrispondente è intrinsecamente rischiosa”, ha detto Nagli in una dichiarazione condivisa con le notizie di Hacker. “Mentre gran parte dell’attenzione sulla sicurezza dell’IA è focalizzata su minacce futuristiche, i pericoli reali provengono spesso dai rischi di base, come l’esposizione esterna accidentale dei database.”
“La protezione dei dati dei clienti deve rimanere la massima priorità per i workforce di sicurezza ed è fondamentale che i workforce di sicurezza lavorino a stretto contatto con gli ingegneri di intelligenza artificiale per salvaguardare i dati e prevenire l’esposizione.”
DeepSeek è diventato l’argomento du jour in circoli di intelligenza artificiale per i suoi rivoluzionari modelli open supply che affermano di competere con i principali sistemi di intelligenza artificiale come Openai, pur essendo efficienti ed economici. Il suo modello di ragionamento R1 è stato salutato come “il momento di sputnik dell’IA.”
L’IA Chatbot dell’UPSTART ha corso in cima alle classifiche dell’App Retailer attraverso Android e iOS in diversi mercati, anche se è emerso come il bersaglio di “attacchi dannosi su larga scala”, spingendolo a mettere temporaneamente le registrazioni.
In un aggiornamento Pubblicato il 29 gennaio 2025, la società ha dichiarato di aver identificato il problema e che sta lavorando per l’implementazione di una soluzione.
Allo stesso tempo, la società è stata anche alla superb del controllo delle sue politiche sulla privateness, per non parlare dei suoi legami cinesi che diventano una questione di preoccupazione per la sicurezza nazionale per gli Stati Uniti.
Inoltre, le app di DeepSeek divenne non disponibile In Italia, poco dopo il regolatore della protezione dei dati del paese, il Garante, ha richiesto informazioni sulle sue pratiche di gestione dei dati e dove ha ottenuto i suoi dati di formazione. Non è noto se il ritiro delle app fosse in risposta alle domande del cane da guardia. Una richiesta simile è stata inviata anche dalla Irish Information Safety Fee (DPC).
Bloomberg, Tempi finanziariE The Wall Road Journal hanno anche riferito che sia Openai che Microsoft stanno sondando se DeepSeek ha utilizzato l’API (API) di OpenSi distillazione.
“Sappiamo che i gruppi in (Cina) stanno lavorando attivamente per usare metodi, incluso quella che è nota come distillazione, per cercare di replicare i modelli AI statunitensi avanzati”, un portavoce di Openai detto Il Guardian.
