Deepseek, een Chinese AI -startup, wordt momenteel geconfronteerd met belangrijke beveiligingskwetsbaarheden in zijn nieuwste model, Deepseek R1. Recente bevindingen onthullen meerdere kritieke kwesties die kunnen worden benut door kwaadaardige acteurs.
Key kwetsbaarheden
1. Jailbreak -exploits: de techniek "kwaadaardige jailbreak" is met succes toegepast op Deepseek R1, waardoor het veiligheidsmechanismen kan omzeilen en schadelijke inhoud kan genereren. Deze methode stelt het model in staat om een onbeperkte persona aan te nemen, wat leidt tot de productie van gedetailleerde instructies voor illegale activiteiten zoals het witwassen van geld en het maken van malware [1] [3]. In tegenstelling tot concurrerende modellen zoals Openai's GPT-4, die dergelijke kwetsbaarheden hebben gepatcht, blijft Deepseek R1 zeer gevoelig voor deze exploits [1] [3].
2. Exposeerde database: een openbaar toegankelijke clickhouse -database werd ontdekt, lekkende gevoelige informatie, waaronder chatgeschiedenis, API -toetsen en operationele details. Deze database was open zonder enige authenticatie, waardoor de volledige controle over zijn activiteiten en potentiële escalatie van privileges in Deepseek's omgeving [2] [5] mogelijk was. Onderzoekers merkten op dat deze blootstelling zou kunnen leiden tot significante datalekken en ongeautoriseerde toegang tot gevoelige logboeken en gebruikersinformatie [2] [5].
3. Gegevensprivacyproblemen: het platform verzamelt uitgebreide gebruikersgegevens, die worden opgeslagen op servers in China. Dit roept alarmen op met betrekking tot potentiële toezicht van de staat en ongeautoriseerde toegang door cybercriminelen, gezien de Chinese cybersecuritywetten [4] [6]. De Amerikaanse marine heeft zelfs zijn personeel gewaarschuwd tegen het gebruik van Deepseek vanwege deze veiligheidsproblemen [1] [4].
4. Regelgevende controle: autoriteiten in verschillende landen onderzoeken de gegevenspraktijken van DeepSeek. De Italiaanse Autoriteit voor gegevensbescherming en het Witte Huis behoren tot degenen die de implicaties van de methoden voor gegevensverzameling en potentiële privacyovertredingen beoordelen [1] [4].
Deze kwetsbaarheden benadrukken de dringende behoefte aan verbeterde beveiligingsmaatregelen in de systemen van DeepSeek om gebruikersgegevens te beschermen en risico's in verband met de AI -technologieën te verminderen.
Citaten:
[1] https://nordicdefender.com/blog/deepseek-ai-security-privacy-risks
[2] https://www.infosecurity-magazine.com/news/deepseek-database-laks-sensitive/
[3] https://www.kelacyber.com/blog/deepseek-r1-security-flaws/
[4] https://socradar.io/deepseek-cybersecurity-risks-ai-platform/
[5] https://www.wiz.io/blog/wiz-research-uncovers- exposed-deepseek-database-lek
[6] https://www.bbc.com/news/articles/cx2k7r5nrvpo
[7] https://www.securityweek.com/unprotected-deepseek-dataBase-laked-Highly-Sensitive Information/
[8] https://www.endorlabs.com/learn/deepseek-r1-what-security-teams-need-to-know