DeepSeek допустил утечку данных более чем на миллиона записей: что происходит прямо сейчас
Китайская ИИ-платформа DeepSeek быстро набирает популярность, конкурируя с американскими сервисами. Однако вместе с ростом внимания она столкнулась с проблемами безопасности.
Эксперты из компании Wiz, специализирующейся на облачной безопасности, выяснили, что DeepSeek оставил одну из своих баз данных открытой для всех. В ней было более миллиона записей, включая системные логи, запросы пользователей и их API-ключи.
DeepSeek не ответил на запрос WIRED о комментарии. Исследователи Wiz тоже не знали, как связаться с компанией, поэтому отправили сообщения на все найденные email-адреса и профили в LinkedIn. Ответа не последовало, но через 30 минут после рассылки база данных стала недоступной. Неизвестно, успел ли кто-то скачать данные до этого.
«Ошибки случаются, но здесь утечка была слишком серьезной и легко обнаруживаемой», — отметил CTO Wiz Ами Луттвак. По его словам, DeepSeek пока не готов работать с конфиденциальной информацией.
Доступ к базе можно было получить за считанные минуты
Неавторизованный доступ к базам данных — распространенная проблема, с которой облачные сервисы борются годами. Однако в случае DeepSeek уязвимость была настолько очевидной, что ее нашли практически сразу.
«Обычно такие утечки сложно обнаружить, но здесь база данных была открыта прямо на виду», — рассказал Нир Офельд, глава отдела исследований Wiz.
По его словам, DeepSeek использовал базу ClickHouse, предназначенную для серверной аналитики. В ней хранились маршруты пользователей внутри системы, их запросы и API-ключи. Все обнаруженные данные были на китайском, но в базе могли быть и другие языки.
Эксперты Wiz проверили только минимум информации, чтобы не нарушать конфиденциальность пользователей. Однако они считают, что злоумышленники могли использовать доступ для проникновения в другие системы DeepSeek.
«Создать ИИ-сервис и оставить его без защиты — это шокирующая халатность», — заявил независимый исследователь безопасности Джеремайя Фаулер. По его словам, такая утечка угрожает и компании, и ее пользователям.
DeepSeek копирует OpenAI, но проигрывает в безопасности
По данным Wiz, DeepSeek во многом повторяет OpenAI, включая формат API-ключей. Это может упрощать переход пользователей на китайскую платформу.
Неизвестно, кто еще мог найти утечку до Wiz, но эксперты уверены: база была настолько доступной, что ее могли обнаружить как исследователи, так и злоумышленники.
DeepSeek под давлением регуляторов и военных
На прошлой неделе DeepSeek стал одним из самых скачиваемых приложений в App Store и Google Play. Однако его стремительный рост вызвал опасения у конкурентов и властей.
По данным Financial Times, OpenAI проверяет, использовал ли DeepSeek данные ChatGPT для обучения своих моделей. В то же время регуляторы в разных странах начали изучать политику конфиденциальности китайской компании.
Итальянское агентство по защите данных направило DeepSeek запрос о происхождении обучающих данных и возможном использовании персональной информации. После этого приложение стало недоступно в Италии, сообщает WIRED Italy.
В США DeepSeek вызвал обеспокоенность у военных. CNBC сообщает, что ВМС США запретили своим сотрудникам скачивать и использовать сервис из-за «потенциальных рисков безопасности и этических проблем».
Хотя DeepSeek оказался в центре скандала, этот случай показывает более широкую проблему. Большинство ИИ-сервисов работают на облачных платформах, а ошибки в настройках могут приводить к утечкам данных.
Читать далее:
89 секунд до ядерной войны: почему «Часы Судного дня» только что перевели на рекордное время
Пациент со свиной почкой впервые прожил больше двух месяцев
Посмотрите, как сверхзвуковой самолет Boom Supersonic преодолел звуковой барьер
The post DeepSeek допустил утечку данных более чем на миллиона записей: что происходит прямо сейчас appeared first on Хайтек.