Mākslīgais intelekts turpina attīstīties ar lēcieniem un robežām, taču tas nav bez izaicinājumiem. DeepSeek, mākslīgā intelekta tērzēšanas robots, kas izstrādāts Ķīnā un kam raksturīgs atvērtais pirmkoda veids un konkurēt ar tādiem milžiem kā OpenAI un Google. atrodas skandāla centrā pēc nopietna drošības pārkāpuma atklāšanas kas ir pakļāvis miljoniem lietotāju datus visā pasaulē.
Mākoņdrošības firmas Wiz pētnieki ir identificējuši publisku DeepSeek datu bāzi, kas pieejama bez autentifikācijas ierobežojumiem. Šī datubāze, kas mitināta pārvaldības sistēmā ClickHouse, ietvēra konfidenciālu informāciju piemēram, API atslēgas, vienkārša teksta tērzēšanas ziņojumi, iekšējie sistēmas žurnāli un lietotāju pieprasījumi. Šāda iedarbība rada būtisku risku gan lietotājiem, gan uzņēmumam, paverot durvis kiberuzbrukumiem un personas datu ļaunprātīgai izmantošanai.
DeepSeek ievainojamības rada bažas
Wiz ziņojumā ir aprakstīts, kā piekļuve datubāzei bija pārsteidzoši vienkārša. Ar virspusēju skenēšanu pētnieki atrada piekļuves ceļu, izmantojot ClickHouse HTTP saskarni, kas ļāva SQL vaicājumus izpildīt tieši no pārlūkprogrammas. Šāds pieejamības līmenis ir satraucošs jebkurā kontekstā, taču tas ir vēl satraucošāks, ja runa ir par tērzēšanas robotu, kas apstrādā konfidenciāla informācija.
Pēc speciālistu domām, Datu bāzē bija tērzēšanas ziņojumi, daudzi no tiem ķīniešu valodā, lai gan nav izslēgts, ka bija arī ziņas citās valodās. Turklāt viņi atrada iekšējie sistēmas maršruti un API atslēgas, ko izmanto pieprasījumu autentificēšanai. Uzbrucējs varēja izmantot šāda veida informāciju, lai manipulētu ar DeepSeek iekšējām sistēmām, piekļūtu vēl svarīgākiem datiem vai apdraudētu visu uzņēmuma infrastruktūru.
Atbildot uz to, pētnieki mēģināja brīdināt DeepSeek apdarinātājus, izmantojot dažādus līdzekļus, tostarp e-pastus un ar uzņēmumu saistītos LinkedIn profilus. Lai gan sākotnēji viņi nesaņēma nekādu atbildi, Viņi bloķēja publisko datubāzi aptuveni 30 minūtes pēc šiem mēģinājumiem, atstājot tā saturu nepieejamu ārējiem lietotājiem.
Ietekme uz uzticēšanos ģeneratīvām AI platformām
Atklātais drošības trūkums rada nopietnus jautājumus par DeepSeek briedumu un gatavību rīkoties sensitīva informācija. Saskaņā ar Wiz tehnoloģiju direktora Ami Luttwak teikto, Šāda veida kļūdas ir nepieņemamas sistēmās, kas cenšas iegūt lietotāju un uzņēmumu uzticību visā pasaulē. Kaut gan Drošības kļūdas tehnoloģiju nozarē nav nekas neparasts, tas, ka šo plaisu bija tik viegli atrast un izmantot uzsver elementāru drošības pasākumu trūkumu.
Incidents arī atsācis diskusijas par riskiem, kas saistīti ar Ķīnā izstrādāto AI tehnoloģiju izmantošanu. Gan Īrija, gan Itālijastarp citām Eiropas Savienības valstīm ir pieprasījušas informāciju par to, kā DeepSeek apstrādā lietotāja datus un vai tie tiek glabāti Ķīniešu serveri. Šī epizode atgādina par iepriekšējiem gadījumiem, piemēram, ChatGPT Itālijā uz laiku tika bloķēts 2023. gadā līdzīgu bažu dēļ.
Atvērtā koda dilemma
Tā kā DeepSeek ir atvērtā koda avots, tā piedāvā noteiktas priekšrocības, piemēram, pieejamību izstrādātājiem un jaunizveidotiem uzņēmumiem. tomēr Šī funkcija arī palielina risku, ka ļaunprātīgi rīki izmanto jūsu infrastruktūras ievainojamības, kā tas ir noticis šajā gadījumā. Drošības eksperti brīdina, ka tādi modeļi kā DeepSeek ir rūpīgi jāpārbauda un pastāvīgi jāuzrauga, lai novērstu šādus pārkāpumus.
Tā kā DeepSeek ietekme turpina pieaugt, pieaug arī bažas par privātumu un kiberdrošību. Tērzēšanas robota pakalpojumu sniegšanas noteikumi atklāj, ka uzņēmums vāc un glabā lietotāju datus bezgalīgi, un tas var izraisīt turpmāku kritiku un starptautisku pārbaudi.
Šis incidents izceļ Stingrāku globālu standartu noteikšanas nozīme lai nodrošinātu lietotāja datu drošību un privātumu. Pasaulē, kas arvien vairāk ir atkarīga no šīm tehnoloģijām, izstrādātājiem par prioritāti ir jāuzskata uzticēšanās un pārredzamība kā savas attīstības pamatpīlāri.