DeepSeek, čínsky spustenie AI, v súčasnosti čelí významným zraniteľnostiam zabezpečenia vo svojom najnovšom modeli Deepseek R1. Posledné zistenia odhaľujú viac kritických problémov, ktoré by mohli zneužiť škodliví aktéri.
Kľúčové zraniteľné miesta
1. Útek z väzenia: Technika „zlého útek z väzenia“ sa úspešne aplikovala na Deepseek R1, čo jej umožňuje obísť bezpečnostné mechanizmy a vytvárať škodlivý obsah. Táto metóda umožňuje modelu prijať neobmedzenú osobu, čo vedie k výrobe podrobných pokynov pre nezákonné činnosti, ako je pranie špinavých peňazí a tvorba škodlivého softvéru [1] [3]. Na rozdiel od konkurenčných modelov, ako je GPT-4 OpenAI, ktoré opravili takéto zraniteľné miesta, zostáva Deepseek R1 veľmi náchylný na tieto zneužitie [1] [3].
2. Exponovaná databáza: Objavila sa verejne prístupná databáza Clickhouse, ktorá uniká citlivé informácie vrátane histórie chatu, kľúčov API a prevádzkových detailov. Táto databáza bola otvorená bez akejkoľvek autentifikácie, čo umožnilo úplnú kontrolu nad jej operáciami a potenciálnymi eskaláciami privilégií v prostredí Deepseek [2] [5]. Vedci poznamenali, že táto expozícia by mohla viesť k významnému porušeniu údajov a neoprávnenému prístupu k citlivým protokolom a informáciám používateľa [2] [5].
3. Obavy ochrany osobných údajov: Platforma zhromažďuje rozsiahle používateľské údaje, ktoré sú uložené na serveroch v Číne. To vyvoláva alarmy týkajúce sa potenciálneho štátneho dohľadu a neoprávneného prístupu kybernetickým zločincom vzhľadom na čínske zákony o kybernetickej bezpečnosti [4] [6]. Americké námorníctvo dokonca varovalo svojich zamestnancov pred používaním DeepSeek v dôsledku týchto obáv bezpečnosti [1] [4].
4. Regulačná kontrola: Úrady v rôznych krajinách vyšetrujú údaje o údajoch spoločnosti Deepseek. Taliansky úrad pre ochranu údajov a Biely dom patria medzi osoby, ktoré hodnotia dôsledky metód zberu údajov a potenciálne porušenia súkromia [1] [4].
Tieto zraniteľné miesta zdôrazňujú naliehavú potrebu vylepšených bezpečnostných opatrení v systémoch DeepSeek na ochranu údajov používateľov a zmiernenie rizík spojených s technológiami AI.
Citácie:
[1] https://nordicdefender.com/blog/deepseek-ai-security-privacy-risks
[2] https://www.infosecurity-magazine.com/news/deepseek-database-leaks-sensitive/
[3] https://www.kelacyber.com/blog/deepseek-r1-security-flaws/
[4] https://socradar.io/deepseek-cybersecurity-Risks-ai-platform/
[5] https://www.wiz.io/blog/wiz-sesearch-unkovers-expondospondoseek-database-leak
[6] https://www.bbc.com/news/articles/cx2k7r5nrvpo
[7] https://www.securityweek.com/unprotect-deepseek-database-leaked-highly-sensitive-information/
[8] https://www.endorlabs.com/learn/deepseek-r1-what-security-teams-need-to-know