חברת האבטחה Wiz Research גילתה אחתפגם אבטחה קשה במאגר השייך ל- DeepSeek, סטארט -אפ של בינה מלאכותית סינית. מסד הנתונים, Clickhouse, נמצא נגיש בפומבי ללא כל דרישת אימות.
החוכמה אפשרה שליטה מלאה בפעולות מסד הנתונים וגישה לנתונים רגישים פנימיים. מחקר Wiz הזהיר את Deepseek, שסגר מייד את הפגם. עם זאת, לאורך כל ינואר, תוקף יכול היה לקחת יומנים, סיסמאות קלות ואפילו קבצים מקומיים מהשרת.
הפגם המגן
Deepseek קפץ לכותרות השבוע להשגת אדגם IA דומה לזה של Openai כביצועים, אך בהחלט קל יותר ופחות תובעני מבחינת המשאבים. הדגם הופץ גם כקיבור פתוח.
Wiz Research ניתח את החשיפה החיצונית של DeepSeek, וזיהה כ -30 תת -תחומים המחוברים לחברה. רוב אלה לא היו מזיקים, אך בשניים מהם הבחין הצוות בנוכחותן של שתי דלתות חריגות. אחד מאלה הוא השרת שמקבל את אסימון האימות בעת הגישה באמצעות חשבון Google או Apple, המופע האחר שלClickhouse פתוח באופן מלא, ללא אישוריםו
Clickhouse הוא DBMS עם קוד פתוח, עמודות, המיועדות לשאילתות מהירות בנפחי נתונים גדולים. הוא פותח על ידי ינדקס הרוסי, והוא משמש חברות רבות לניהול זמן אמיתי בזמן אמיתי ולניתוח נתונים גדולים. למצוא אותו חשוף בפומבי הוא סיכון רציני.מחקר Wiz הצליח לבצע שאילתות SQL ישירות מהדפדפןעל ידי גישה לטבלה המכילה למעלה ממיליון פריטי יומנים, כולל כרונולוגיות צ'אט, מפתחות דבורים, פרטי Backndend ומטא נתונים תפעוליים.
התערבות הפנטגון
בינתיים יש גם את הפנטגוןהגישה לאתר DeepSeek נחסמה בשרתיו בעקבות חששות בטיחותייםו נראה כי עובדי משרד ההגנה השתמשו בצ'אט בוט של DeepSeek במשך יומיים לפני שהתגלה הפעילות. סוכנות מערכות המידע להגנה, ראש רשתות ה- IT של הפנטגון, חסמה את הגישה לאתר DeepSeek ביום שלישי האחרון.
מעבר לפגם שגילה Wiz Research, הדאגה העיקרית נוגעת למדיניות הפרטיות של Deepseek, הקובעת כי נתוני המשתמשים מאוחסנים בשרתים בסין. זה העלה חשש כי מידע רגיש יכול להיות נגיש לממשלת סין.
איטליה כבר נקטה צעדים נגד Deepseekהסרת האפליקציה מחנויות אפל וגוגל בעקבות ספקות לגבי עמידה ב- GDPR. הערבה להגנת נתונים אישיים העניקה ל- DeepSeek 20 יום לענות על שאלות הנוגעות לעמידה בחקיקת הפרטיות האירופית.
למרות המצור, לאנשי הצבא האמריקני עדיין יש גישה ל- DeepSeek דרך Ask Ask Sage, פלטפורמת תוכנה מורשית שאינה מתחברת לשרתים סיניים. עם זאת, סביר להניח שממשלת ארצות הברית תנקוט בצעדים נוספים נגד Deepseek, בהתחשב בפופולריות ההולכת וגוברת של השירות והחששות מפני הביטחון הלאומי.
