Истражувачи од фирмата за сајбер-безбедност „Wiz“ ги истражувале позадинските системи на револуционерниот модел со отворен код DeepSeek, откако за само неколку минути откриле дека лесно можат да пристапат до низа целосно нешифрирани внатрешни податоци. „Оваа база на податоци содржеше значителна количина на историја на разговори, податоци во заднина и чувствителни информации, вклучувајќи записници, API тајни и оперативни детали“, сподели „Wiz“ во својот извештај за ранливост.
„Уште полошо, овој очигледен безбедносен пропуст во системот за вештачка интелигенција со отворен код на компанијата можеше да дозволи напад врз системите на DeepSeek без никаков механизам за автентикација или одбрана од надворешниот свет“, напишаа истражувачите.
Како што забележа „Wiz“ во својот извештај за ова сериозно прекршување, DeepSeek презеле чекори за да ги обезбеди своите бази на податоци веднаш штом безбедносните истражувачи ја известија компанијата за истекување на податоците.
Но, во интервју за „Wired“, експертите за безбедност од „Wiz“ рекоа дека е исклучително тешко да се стапи во контакт со луѓе од DeepSeek, поради што вработените мораа да се потпрат на пораките и е-поштата на LinkedIn, кои ги испраќаа на сите поврзани сметки на DeepSeek што ги можеле да најдат или да претпостават дека се нивни.
Никој од DeepSeek не одговорил на обидите на „Wiz“ да контактира со нив, но за еден час базата на податоци била заклучена, пренесе Wired.
Безбедносниот проблем не бил ниту скриен, ниту било тешко да се открие. „Обично, кога ќе откриеме вакво протекување на податоци, се случува во занемарените услуги да бараме со часови – часови скенирање“, изјави за „Wired“ Нир Охфелд, раководител на истражување за ранливост во „Wiz“. Во случајот со DeepSeek, додаде тој, безбедносните пропусти беа на „влезната врата“.
Со пристап до базите на податоци на DeepSeek, истражувачите на „Wiz“ открија многу детали за начинот на кој компанијата ги развива своите модели, вклучително и дека нивната инфраструктура речиси „целосно го имитира OpenAI“.
Овој вид на увид во податоците на компанијата, кој стана исклучително популарен за краток временски период, е релативно безбеден во рацете на етичките хакери. Сепак, истражувачите изјавија за Wired дека ако некој друг пристапил до базите на податоци на DeepSeek пред нив, тие лесно можеле да украдат онолку внатрешни податоци колку што сакаат со минимален напор.
„Фактот дека грешките се случуваат е вистина, но ова е драматична грешка бидејќи е потребно многу мал напор за да се дојде до екстремно високо ниво на пристап“, изјави за Wired Ами Лутвак, технолошки директор на „Wiz“.
„Би рекол дека тоа значи дека услугата не е доволно развиена за да се користи за какви било чувствителни податоци“, додал тој.