趋势中国人工智能(AI)初创公司DeepSeek最近在Internet上揭露了其一个数据库之一,可能允许未经授权访问敏感数据。 Wiz安全研究人员说 加尔·纳格利(Gal Nagli)。
DeepSeek暴露了超过一百万行
该曝光包括超过一百万行的日志流,其中包含聊天历史记录,秘密键,后端细节以及其他关键信息,例如API秘密和操作元数据。云安全公司的通知尝试后,DeepSeek自此解决了安全漏洞。
数据库,可在OAuth2Callback.Deepseek上访问[.]com:9000和Dev.Deepseek[.]com:9000,启用未经授权的用户可以通过Web浏览器执行任意SQL查询,而无需认证。目前尚不清楚是否有任何恶意演员在解决问题之前访问或下载了数据。
Nagli强调了采用快速AI服务的风险,而无需采取足够的安全措施,强调了实际风险通常源于诸如意外数据库暴露之类的基本监督。他说:“保护客户数据必须是安全团队的重中之重,至关重要的是,安全团队与AI工程师紧密合作以保护数据并防止曝光。”
DeepSeek拥有 赢得了 旨在与OpenAI等既定系统竞争的创新开源AI模型,将其推理Model R1定位为“ AI的Sputnik时刻”。它的AI聊天机器人迅速爬上了多个市场的App Store排名,即使该公司面临“大规模的恶意攻击”,这导致了新的注册暂时停顿。
在2025年1月29日的更新中,DeepSeek 承认 数据库问题,并指出它正在实现修复程序。同时,该公司对其隐私政策面临审查,其中国从属关系引起了美国的国家安全问题。
在相关的发展中,在该国的数据保护监管机构Garante寻求有关该初创公司的数据处理实践及其培训数据来源的信息之后,DeepSeek的应用在意大利无法获得。由于爱尔兰数据保护委员会(DPC)也提出了类似的信息请求,因此从意大利市场中撤出应用程序可能是对这些询问的直接响应。
Openai和Microsoft是 调查 DeepSeek是否使用OpenAI的应用程序编程接口(API)未经授权来通过称为蒸馏的过程来训练其模型。 Openai发言人说:“我们知道 [China] 正在积极使用方法,包括所谓的蒸馏,以尝试复制高级美国AI模型。”
