在最近的一次網絡安全爆料中,總部位於紐約的網絡安全公司 Wiz 表示,它最近發現了中國著名人工智能公司 DeepSeek 的一個無意中暴露的數據庫,該數據庫將包括聊天消息和用戶個人信息在內的敏感數據洩露到開放互聯網上。
DeepSeek於2023年在杭州成立,憑藉其創新的聊天機器人模型,特別是DeepSeek-R1推理模型,在人工智能行業迅速崛起。
該人工智能模型因其性能而受到稱讚,可與 OpenAI 的 o1 等美國同行相媲美,同時佔用的資源更少。
Wiz 在周三發布的博客文章中表示,它發現了一個與 DeepSeek 相關的可公開訪問的 ClickHouse 數據庫。
公開的數據庫允許完全控制數據庫操作,包括訪問內部數據的能力。它包含超過一百萬行日誌流,其中包含聊天歷史記錄、密鑰、後端詳細信息和其他高度敏感信息。
“幾分鐘之內,我們發現了一個與 DeepSeek 鏈接的可公開訪問的 ClickHouse 數據庫,該數據庫完全開放且未經身份驗證,暴露了敏感數據。它託管在 oauth2callback.deepseek.com:9000 和 dev.deepseek.com:9000,”網絡安全部門寫了在其博客文章中。
“該數據庫包含大量聊天歷史記錄、後端數據和敏感信息,包括日誌流、API 機密和操作詳細信息。
“更重要的是,此次暴露允許在 DeepSeek 環境中實現完全的數據庫控制和潛在的權限升級,而無需向外界提供任何身份驗證或防禦機制。”
Wiz 的聯合創始人 Ami Luttwak 表示,在發現數據庫被暴露後,他們的研究團隊立即負責任地向 DeepSeek 披露了該問題,DeepSeek 隨後迅速保護了數據庫的安全。
“他們在不到一個小時內就將其拆除,”勒特瓦克說。 “但這很容易找到,我們相信我們不是唯一發現它的人。”
儘管 DeepSeek 迅速採取行動解決了該問題,但這一發現引起了人們對數據隱私和政府實體濫用的可能性的嚴重擔憂。
DeepSeek 目前限制用戶註冊,因為。就在兩天前,另一家網絡安全公司能夠。
這些事件凸顯了確保數據安全和隱私面臨的日益嚴峻的挑戰,特別是隨著人工智能技術的快速發展。
DeepSeek 尚未對此問題發表評論。
