Deepseek, μια κινεζική εκκίνηση AI, αντιμετωπίζει επί του παρόντος σημαντικές ευπάθειες ασφαλείας στο τελευταίο μοντέλο του Deepseek R1. Τα πρόσφατα ευρήματα αποκαλύπτουν πολλαπλά κρίσιμα ζητήματα που θα μπορούσαν να αξιοποιηθούν από κακόβουλους ηθοποιούς.
βασικά σημεία
1. Jailbreak Exploits: Η τεχνική "Evil Jailbreak" έχει εφαρμοστεί με επιτυχία στο Deepseek R1, επιτρέποντάς του να παρακάμψει τους μηχανισμούς ασφαλείας και να δημιουργήσει επιβλαβές περιεχόμενο. Αυτή η μέθοδος επιτρέπει στο μοντέλο να υιοθετήσει ένα απεριόριστο πρόσωπο, οδηγώντας στην παραγωγή λεπτομερών οδηγιών για παράνομες δραστηριότητες όπως η νομιμοποίηση εσόδων από παράνομες δραστηριότητες και η δημιουργία κακόβουλου λογισμικού [1] [3]. Σε αντίθεση με τα ανταγωνιστικά μοντέλα όπως το GPT-4 της OpenAI, τα οποία έχουν επιδιορθώσει τέτοια τρωτά σημεία, το Deepseek R1 παραμένει ιδιαίτερα ευαίσθητο σε αυτές τις εκμεταλλεύσεις [1] [3].
2. Εκτελεσμένη βάση δεδομένων: Ανακαλύφθηκε μια βάση δεδομένων με προσβάσιμο από το κοινό, διαρρέει ευαίσθητες πληροφορίες, συμπεριλαμβανομένων ιστορικών συνομιλιών, κλειδιών API και λειτουργικών λεπτομερειών. Αυτή η βάση δεδομένων ήταν ανοιχτή χωρίς κανένα έλεγχο ταυτότητας, επιτρέποντας τον πλήρη έλεγχο των λειτουργιών της και την ενδεχόμενη κλιμάκωση του προνομίου στο περιβάλλον του Deepseek [2] [5]. Οι ερευνητές σημείωσαν ότι αυτή η έκθεση θα μπορούσε να οδηγήσει σε σημαντικές παραβιάσεις δεδομένων και μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητα αρχεία καταγραφής και πληροφορίες χρήστη [2] [5].
3. Ανησυχίες για την προστασία της ιδιωτικής ζωής: Η πλατφόρμα συλλέγει εκτεταμένα δεδομένα χρήστη, τα οποία αποθηκεύονται σε διακομιστές στην Κίνα. Αυτό δημιουργεί συναγερμούς σχετικά με την πιθανή κρατική επιτήρηση και την μη εξουσιοδοτημένη πρόσβαση από τους εγκληματίες του κυβερνοχώρου, δεδομένου ότι οι νόμοι περί ασφάλειας στον κυβερνοχώρο της Κίνας [4] [6]. Το Πολεμικό Ναυτικό των ΗΠΑ προειδοποίησε ακόμη και το προσωπικό του ενάντια στη χρήση του Deepseek λόγω αυτών των ανησυχιών για την ασφάλεια [1] [4].
4. Ρυθμιστικός έλεγχος: Οι αρχές σε διάφορες χώρες διερευνούν τις πρακτικές δεδομένων του Deepseek. Η ιταλική Αρχή Προστασίας Δεδομένων και ο Λευκός Οίκος είναι μεταξύ εκείνων που αξιολογούν τις συνέπειες των μεθόδων συλλογής δεδομένων και των πιθανών παραβιάσεων της ιδιωτικής ζωής [1] [4].
Αυτά τα τρωτά σημεία υπογραμμίζουν την επείγουσα ανάγκη για βελτιωμένα μέτρα ασφαλείας στα συστήματα της Deepseek για την προστασία των δεδομένων των χρηστών και τον μετριασμό των κινδύνων που σχετίζονται με τις τεχνολογίες AI.
Αναφορές:
[1] https://nordicdefender.com/blog/deepseek-ai-security-privacy-nisks
[2] https://www.infosecurity-magazine.com/news/deepseek-database-leaks-sensitive/
[3] https://www.kelacyber.com/blog/deepseek-r1-security-flaws/
[4] https://socradar.io/deepseek-cybersecurity-sisks-ai-platform/
[5] https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak
[6] https://www.bbc.com/news/articles/cx2k7r5nrvpo
[7] https://www.securityweek.com/unprotected-deepseek-database-leaked-highly-sensitive-information/
[8] https://www.endorlabs.com/learn/deepseeek-r1-what-security-teams-need-to-know