© ROOT-NATION.com - Використання контенту дозволено за наявністю зворотнього посилання.
Надзвичайно популярний останнім часом китайський стартап у сфері штучного інтелекту DeepSeek залишив одну зі своїх баз даних у відкритому доступі в інтернеті, тож зловмисники потенційно могли отримати доступ до конфіденційних даних. Про це заявила нью-йоркська фірма з кібербезпеки Wiz.
Щоб дізнатись останні новини, слідкуйте за нашим каналом Google News онлайн або через застосунок.
База даних ClickHouse “дозволяє повністю контролювати операції з базою даних, включаючи можливість доступу до внутрішніх даних”, – зазначає дослідник безпеки Wiz Гал Наглі.
База включає понад мільйон рядків потоків журналів, що містять історію чатів, секретні ключі, деталі бекенду та іншу дуже конфіденційну інформацію, таку як секрети API та операційні метадані. Вона зробила можливим несанкціонований доступ до широкого спектра інформації та дозволяла повністю контролювати базу даних і потенційно підвищувати привілеї в середовищі DeepSeek без автентифікації.
У Wiz говорять, що DeepSeek швидко захистила дані після того, як фірма попередила їх. “Вони видалили їх менш ніж за годину, – говорять у компанії. – Але це було так просто знайти, що ми віримо, що ми не єдині, хто знайшов це”. Проте зараз невідомо, чи скористалися зловмисники можливістю отримати доступ до даних або завантажити їх.
Теж цікаво: Що таке DeepSeek і чому всі про нього говорять
“Швидке впровадження послуг штучного інтелекту без відповідного захисту є ризикованим за своєю суттю, – додав Гал Наглі. – Хоча значна частина уваги навколо безпеки AI зосереджена на футуристичних загрозах, реальні небезпеки часто походять від базових ризиків, таких як випадковий зовнішній вплив на бази даних”.
Він наголосив, що захист даних клієнтів повинен залишатися пріоритетом для команд безпеки, і дуже важливо, щоб вони тісно співпрацювали з інженерами AI для захисту даних та запобіганню їх витоку.
DeepSeek став надзвичайно популярним останнім часом. Застосунок навіть обійшов своїх конкурентів, зокрема і ChatGPT, у рейтингу безкоштовних застосунків в App Store у США. Все завдяки своїм ефективним та економічно вигідним AI-моделям. Одразу після цього він став об’єктом “масштабних зловмисних атак”, що стало причиною тимчасової призупинки реєстрації.
Водночас компанія опинилася в центрі уваги через інші причини. По-перше, викликала цікавість її політика конфіденційності, цензура та зв’язки з Китаєм. По-друге, в Італії застосунки DeepSeek стали недоступними, коли регуляторний орган з питань захисту даних запросив інформацію про методи обробки даних і про те, звідки компанія отримує дані для навчання. OpenAI та Microsoft також зараз з’ясовують, чи використовувала DeepSeek API OpenAI без дозволу для навчання власних моделей на вихідних даних систем OpenAI.
Читайте також:
- У Rakuten Viber дізналися, чи стикалися українці з кібершахраями у 2024 році
- Microsoft і OpenAI розпочинають розслідування щодо DeepSeek