Deepseek, kiinalainen AI -startup, on tällä hetkellä merkittäviä turvallisuus haavoittuvuuksia viimeisimmässä mallissaan Deepseek R1. Viimeaikaiset havainnot paljastavat useita kriittisiä kysymyksiä, joita haitalliset toimijat voivat hyödyntää.
Tärkeimmät haavoittuvuudet
1. Jailbreak -hyväksikäytöt: "Evil Jailbreak" -tekniikkaa on sovellettu onnistuneesti Deepseek R1: hen, jolloin se voi ohittaa turvallisuusmekanismit ja tuottaa haitallista sisältöä. Tämä menetelmä antaa mallille mahdollisuuden hyväksyä rajoittamaton henkilö, joka johtaa laittomien toimintojen, kuten rahanpesun ja haittaohjelmien luomisen, yksityiskohtaisten ohjeiden tuottamiseen [1] [3]. Toisin kuin kilpailevat mallit, kuten Openain GPT-4, jotka ovat korjattaneet tällaiset haavoittuvuudet, Deepseek R1 on edelleen erittäin alttiina näille hyväksikäytöille [1] [3].
2. Paljastettu tietokanta: Löydettiin julkisesti saatavissa oleva Clickhouse -tietokanta, joka vuotaa arkaluontoisia tietoja, mukaan lukien chat -historia, API -avaimet ja operatiiviset tiedot. Tämä tietokanta oli avoin ilman todennusta, mikä mahdollisti sen toiminnan ja mahdollisen etuoikeuden lisääntymisen täydellisen hallinnan Deepseekin ympäristössä [2] [5]. Tutkijat huomauttivat, että tämä valotus voi johtaa merkittäviin tietorikkomuksiin ja luvattomiin pääsyyn arkaluontoisiin lokiin ja käyttäjätietoihin [2] [5].
3. Tietojen tietosuojaongelmat: Alusta kerää laajoja käyttäjätietoja, jotka tallennetaan Kiinan palvelimille. Tämä herättää hälytyksiä mahdollisesta valtion seurannasta ja luvattomasta pääsystä tietoverkkorikollisilla, ottaen huomioon Kiinan kyberturvallisuuslaki [4] [6]. Yhdysvaltain merivoimat ovat jopa varoittaneet henkilöstöään Deepseekin käytöstä näiden turvallisuusongelmien vuoksi [1] [4].
4. Sääntelyvalvonta: Eri maiden viranomaiset tutkivat Deepseekin tietokäytäntöjä. Italian tietosuojaviranomainen ja Valkoinen talo ovat niiden tiedonkeruumenetelmien ja mahdollisten yksityisyyden loukkausten vaikutuksia arvioitavia [1] [4].
Nämä haavoittuvuudet korostavat kiireellistä tarvetta parannetuille tietoturvatoimenpiteille Deepseekin järjestelmissä käyttäjätietojen suojaamiseksi ja AI -tekniikoihin liittyvien riskien lieventämiseksi.
Viittaukset:
[1] https://nordicdefender.com/blog/deepseek-ai-security-privacy-Risks
.
[3] https://www.kelacyber.com/blog/deepseek-r1-security-flaws/
[4] https://socradar.io/deeptseek-cybersecurity-risks-ai-platform/
.
[6] https://www.bbc.com/news/articles/cx2k7r5nrvpo
.
.