DeepSeek,同名AI背後的中國初創企業是數據洩漏的受害者。 Wiz的研究人員確實發現了內部數據庫公司完全向公眾開放。無需絲毫認證請求即可訪問。
此曲目包括“超過一百萬個報紙線”也就是說,計算機系統生成的活動錄音。特別是“秘密鑰匙,有關後端基礎架構的詳細信息以及其他高度敏感的信息”在中國團體上。
這些信息顯然可以用來鉛網絡攻擊反對啟動。注意DeepSeek已經在海盜的黑客中。
另請閱讀:具有諷刺意味
妥協對話
最重要的是,數據庫包括用戶討論的歷史DeepSeek。聊天機器人用戶請求發現自己受到第一個網絡犯罪分子的擺佈。事實上,用戶可能傳達的所有個人數據也發現自己處於危險之中。
根據WIZ報告,任何人都可以閱讀,修改或刪除數據,甚至將惡意軟件注入文件。攻擊者可以利用此洩漏,以在DeepSeek計算機系統中獲得管理員權利。
“對於DeepSeek及其用戶的安全性,這種訪問級別代表了主要威脅。攻擊者不僅可以在清晰文本中訪問敏感的報紙和真實的討論消息,而且可能會竊取非註冊密碼並提取本地存儲的文件”,在調查之後,威茲認為。
Wiz強調了對AI的最嚴重威脅“通常來自基本漏洞,例如從外部訪問數據庫的非自願暴露”。專門從事AI的公司對與其他公司的風險相同。
DeepSeek糾正了缺陷
Wiz的研究人員與DeepSeek團隊接觸,以防止他們的安全缺陷。總部位於中國的初創企業還沒有拖動。數據庫不再可用。沒有跡象表明攻擊者在DeepSeek部署修復程序之前已經設法諮詢了顯示的數據。
這不是第一次指出DeepSeek安全。 AI提供後不久,研究人員意識到聊天機器人充滿了安全故障。他們甚至認為,DeepSeek在安全領域的Chatgpt落後兩年。
來源 : 威茲
