在最近的網絡安全啟示中,總部位於紐約的網絡安全公司Wiz表示,它最近發現了一個無意間暴露的中國人工智能(AI)公司DeepSeek的數據庫,這些數據庫洩漏了敏感的數據,包括用戶的聊天消息和個人信息,以及個人信息,開放的互聯網。
DeepSeek於2023年在杭州建立,由於其創新的聊天機器人模型,尤其是DeepSeek-R1推理模型,因此在AI行業迅速上升。
這種AI模型因其性能而受到稱讚,在利用較少資源的同時,與Openai的O1這樣的同行競爭。
Wiz在周三發表的博客文章中說,它確定了與DeepSeek相關的公開訪問的Clickhouse數據庫。
裸露的數據庫允許完全控制數據庫操作,包括訪問內部數據的能力。它包括一百萬行的日誌流,其中包含聊天歷史記錄,秘密鍵,後端細節和其他高度敏感的信息。
“在幾分鐘之內,我們發現了一個可公開訪問的點擊室數據庫,這些數據庫鏈接到DeepSeek,完全打開和未經身份驗證,暴露了敏感數據。它在oauth2callback.deepseek.com:9000和dev.deepseek.com:9000託管。寫在其博客文章中。
“該數據庫包含大量聊天歷史記錄,後端數據和敏感信息,包括日誌流,API秘密和操作細節。
“更重要的是,暴露允許在深層環境中進行完整的數據庫控制和潛在的特權升級,而無需向外界進行任何身份驗證或國防機制。”
Wiz的聯合創始人Ami Luttwak在發現裸露的數據庫時說,他們的研究團隊立即向DeepSeek負責任地披露了該問題,然後迅速確保了數據庫。
盧特瓦克說:“他們在不到一個小時的時間內將其倒下了。” “但這很容易找到我們相信我們不是唯一找到它的人。”
儘管DeepSeek迅速採取行動解決了這一問題,但這一發現引起了人們對數據隱私和政府實體濫用的潛力的重大關注。
DeepSeek目前由於用戶註冊而有限。僅僅兩天后,另一家網絡安全公司就能。
這些事件強調了確保數據安全和隱私的日益增長的挑戰,尤其是隨著AI技術的快速發展。
DeepSeek尚未對此問題發表評論。
