Raziskovalci izraelskega podjetja za kibernetsko varnost Wiz so odkrili izpostavljeno podatkovno zbirko, povezano z DeepSeekom. Baza podatkov, ki je bila prosto dostopna prek spleta brez vsakršne avtentikacije, je vsebovala občutljive informacije, vključno z navodili za treniranje modela, uporabniškimi poizvedbami in potencialno občutljivimi nabori podatkov: "Ne samo da bi napadalec lahko pridobil občutljive dnevnike in dejanska sporočila v klepetu z navadnim besedilom, ampak bi lahko izbrskal tudi gesla in lokalne datoteke skupaj z informacijami o lastništvu," so zapisali pri Wiz.
Wizovi raziskovalci so pri rutinskem pregledu internetno dostopnih podatkovnih zbirk odkrili javno dostopen strežnik, ki je hranil velik obseg podatkov, povezanih z DeepSeekom. Kot so zapisali v svojem poročilu, baza podatkov ni zahtevala nobene oblike avtentikacije, kar pomeni, da bi do nje lahko dostopal kdorkoli z ustreznim URL. Po navedbah Wiz je baza podatkov vsebovala 6,6 terabajta podatkov, vključno s specifikacijami modela, algoritmi za izboljšanje učenja in pogovornimi podatki uporabnikov.
Točka vstopa je očitno bil sistem za upravljanje podatkovnih sistemov ClickHouse. Ta je sicer odprtokoden in zasnovan za hitre analitične poizvedbe v velikih zbirkah podatkov. Razvil ga je Yandex in se široko uporablja za obdelavo podatkov v realnem času, shranjevanje dnevnikov in analitiko velikih podatkov, so zapisali pri Wiz.
Preberi še
Alibaba: Naš model Qwen2.5-VL prekaša OpenAI, Google in Anthropic
Novi igralec v AI drami. Po DeepSeek zdaj še Alibaba s še bolj zmogljivim Qwen2.5. Ali lahko ZDA ustavi kitajsko AI revolucijo?
29.01.2025
Je DeepSeek ukradel intelektualno lastnino OpenAI?
Se kitajski AI razvija na račun ameriške tehnologije? Microsoft in OpenAI preiskujeta sum kraje podatkov.
29.01.2025
DeepSeek ali kako Kitajska razvija umetno inteligenco
Sašo Šmigić, Generali: Kitajska napoveduje tehnološki pohod, v čipe vlaga enormna sredstva.
29.01.2025
Sam Altman pozdravil DeepSeek in napovedal nove proizvode
Kitajsko zagonsko podjetje za umetno inteligenco, ki je postalo svetovno znano, je ponudilo "impresiven model, predvsem, ker ga lahko zagotovijo za to ceno", je zapisal Altman.
28.01.2025
"To ni prvič, da smo priča takšnim incidentom, in verjetno ne bo zadnji," je dejal Amitai Cohen, raziskovalec pri Wizu, "pomanjkanje osnovnih varnostnih ukrepov, kot so avtentikacija in šifriranje, kaže na sistemski problem pri obvladovanju varnosti modelov umetne inteligence."
Wiz je takoj po odkritju baze podatkov obvestil odgovorne pri DeepSeeku, ki so nato hitro ukrepali in onemogočili dostop do strežnika. "Baza podatkov ni več dostopna, prav tako pa smo uvedli dodatne varnostne protokole za preprečitev podobnih incidentov v prihodnosti," so sporočili iz DeepSeeka. "Dostop so onemogočili v manj kot eni uri," je za Reuters pojasnil Ami Luttwak, vodja tehnološkega razvoja pri Wizu, "toda dostop je bilo tako preprosto najti, da verjamemo, da nismo edini, ki smo ga odkrili."
Ni pa jasno, koliko časa so bili podatki javno dostopni, a baza je vsebovala podatke najmanj od 5. januarja 2025, in ali jih je kdorkoli prenesel ali uporabil v zlonamerne namene. Wiz je v poročilu prav tako zapisal, da je bil dostop veliko večji, ampak zaradi etičnih pomislekov niso predolgo brskali po njem in so obvestili odgovorne pri DeepSeeku.
.webp){kind=icon}