一家同名人工智能公司背後的中國初創公司是數據洩露的受害者。 Wiz研究人員確實發現內部數據庫公司完全向公眾開放。無需任何身份驗證請求即可訪問它。
該目錄包括“超過一百萬行日誌”,即計算機系統生成的活動記錄。在那裡我們特別發現“密鑰、後端基礎設施詳細信息和其他高度敏感信息”關於中國組。
這些信息顯然可以用來進行網絡攻擊反對啟動。另請注意。
另請閱讀:
受損的對話
重要的是,數據庫包括用戶聊天記錄來自 DeepSeek。因此,聊天機器人用戶的請求發現自己受到了第一個出現的網絡犯罪分子的擺佈。事實上,用戶可能傳遞的所有個人數據也發現自己處於危險之中。
根據 Wiz 的報告,任何人都可以讀取、修改或刪除數據,甚至可以向文件中註入惡意命令。攻擊者可能利用此漏洞獲取 DeepSeek 計算機系統內的管理員權限。
“這種級別的訪問對 DeepSeek 及其用戶的安全構成了重大威脅。攻擊者不僅可以訪問敏感日誌和真實的明文聊天消息,還可能竊取未加密的密碼並提取本地存儲的文件。”,維茲在調查結束時辯稱。
Wiz 強調,針對人工智能的最嚴重威脅是“通常是由根本性漏洞引起的,例如外部可訪問數據庫的無意暴露”。專門從事人工智能的公司也容易受到與其他公司相同的風險。
Wiz 研究人員聯繫了 DeepSeek 團隊,警告他們存在安全漏洞。這家總部位於中國的初創公司沒有訓練糾正射擊。因此,該數據庫不再可供免費訪問。沒有跡象表明攻擊者能夠在 DeepSeek 部署補丁之前查看暴露的數據。
這並不是 DeepSeek 的安全性第一次受到批評。人工智能出現後不久,研究人員意識到。他們甚至估計 DeepSeek 在安全性方面落後 ChatGPT 兩年。
👉🏻實時關注科技新聞:將 01net 添加到您的來源Google,訂閱我們的頻道WhatsApp或通過視頻關注我們抖音。
來源 : 維茲
