DeepSeek, ķīniešu AI starta, šobrīd saskaras ar ievērojamām drošības ievainojamībām savā jaunākajā modelī DeepSeek R1. Jaunākie atklājumi atklāj vairākus kritiskus jautājumus, kurus var izmantot ļaunprātīgi dalībnieki.
atslēgas ievainojamības
1. Jailbreak ekspluatācijas: "ļaunais jailbreak" paņēmiens ir veiksmīgi izmantots DeepSeek R1, ļaujot tai apiet drošības mehānismus un radīt kaitīgu saturu. Šī metode ļauj modelim pieņemt neierobežotu personību, kā rezultātā tiek veidoti sīki izstrādāti norādījumi par nelikumīgām darbībām, piemēram, naudas atmazgāšanu un ļaunprātīgas programmatūras radīšanu [1] [3]. Atšķirībā no konkurējošajiem modeļiem, piemēram, Openai GPT-4, kuri ir ielikuši šādas ievainojamības, DeepSeek R1 joprojām ir ļoti jutīgs pret šiem ekspluatācijas gadījumiem [1] [3].
2. Atklātā datu bāze: tika atklāta publiski pieejama klikšķa nama datu bāze, kas noplūda sensitīvu informāciju, ieskaitot tērzēšanas vēsturi, API atslēgas un operatīvo informāciju. Šī datu bāze bija atvērta bez jebkādas autentifikācijas, ļaujot pilnībā kontrolēt tās darbību un iespējamo privilēģiju eskalāciju DeepSeek vidē [2] [5]. Pētnieki atzīmēja, ka šī iedarbība var izraisīt ievērojamus datu pārkāpumus un neatļautu piekļuvi sensitīviem žurnāliem un lietotāju informācijai [2] [5].
3. Datu privātuma problēmas: platforma apkopo plašus lietotāju datus, kas tiek glabāti serveros Ķīnā. Tas rada trauksmes signālus par iespējamo valsts uzraudzību un kibernoziegumu neatļautu piekļuvi, ņemot vērā Ķīnas kiberdrošības likumus [4] [6]. ASV Jūras spēki pat ir brīdinājuši savu personālu par DeepSeek izmantošanu šo drošības problēmu dēļ [1] [4].
4. Normatīvā pārbaude: dažādu valstu varas iestādes izmeklē DeepSeek datu praksi. Itālijas datu aizsardzības pārvalde un Baltais nams ir vieni no tiem, kas novērtē tās datu vākšanas metožu un iespējamo privātuma pārkāpumu ietekmi [1] [4].
Šīs ievainojamības uzsver steidzamo nepieciešamību pēc uzlabotiem drošības pasākumiem DeepSeek sistēmās, lai aizsargātu lietotāju datus un mazinātu riskus, kas saistīti ar tās AI tehnoloģijām.
Atsauces:
[1] https://nordicdefender.com/blog/deepseek-ai-security-privacy-risk
[2] https://www.infosecurity-magazine.com/news/deepseek-database-laks-sensitive/
[3] https://www.kelaceber.com/blog/deepseek-r1-security-flaws/
[4] https://socradar.io/deepseek-cybersecurity-risk-ai-platform/
[5] https://www.wiz.io/blog/wiz-research-uncovers-exposed-depseek-database-song
[6] https://www.bbc.com/news/articles/cx2k7r5nrvpo
.
[8] https://www.endorlabs.com/learn/deepseek-r1-what-security-teams-need-to-know
