DeepSeek AI adatbázis szivárgás – logok, kulcsok, chat előzmények
A DeepSeek nevű kínai mesterséges intelligencia (AI) startup – amelynek népszerűsége az elmúlt napokban ugrásszerűen megnőtt – egyik adatbázisa elréhető voltaz Interneten, ami lehetővé tette, hogy bárki hozzáférjenek érzékeny adatokhoz. A ClickHouse adatbázis „teljes ellenőrzést tesz lehetővé az adatbázis műveletei felett, beleértve a belső adatokhoz való hozzáférést is” – mondta Gal Nagli, a Wiz biztonsági kutatója.
Az adatbázis több mint egymillió sornyi naplóbejegyzést is tartalmaz, amely csevegési előzményeket, titkos kulcsokat, backend részleteket és egyéb rendkívül érzékeny információkat, például API secret-ek és működési metaadatokat tartalmaz. A DeepSeek azóta javította a biztonsági rést, miután a felhőbiztonsági cég megpróbálta felvenni velük a kapcsolatot. Az oauth2callback.deepseek[.]com:9000 és dev.deepseek[.]com:9000 címen tárolt adatbázis állítólag sokféle információhoz tett lehetővé jogosulatlan hozzáférést. A Wiz megjegyezte, hogy a hozzáférés teljes adatbázis-ellenőrzést és potenciális jogosultság kiterjesztést tett lehetővé a DeepSeek-környezeten belül, anélkül, hogy bármilyen hitelesítésre lett volna szükség.
A mesterséges intelligenciával kapcsolatos szolgáltatások gyors adoptálása megfelelő biztonság nélkül eleve kockázatos. Ez az eset hangsúlyozza, hogy az AI-alkalmazások közvetlen biztonsági kockázatai az őket támogató infrastruktúrából és eszközökből erednek. Míg az AI biztonsága körüli figyelem nagy része a futurisztikus fenyegetésekre összpontosul, a valódi veszélyek gyakran alapvető kockázatokból erednek – például az adatbázisok véletlen külső kitettségéből. Ezeknek a kockázatoknak, amelyek alapvetőek a biztonság szempontjából, továbbra is kiemelt prioritást kell élvezniük a biztonsági csapatok számára.
Miközben a szervezetek egyre több startup és szolgáltató AI-eszközeit és szolgáltatásait használják, nem szabad elfelejteniük, hogy ezzel érzékeny adatokat bíznak ezekre a vállalatokra. A használatba vétel gyors üteme gyakran a biztonság figyelmen kívül hagyásához vezet, de az ügyféladatok védelmének továbbra is elsődleges prioritásnak kell maradnia.