Deepseek, kitajski zagon AI, se trenutno sooča z velikimi varnostnimi ranljivostmi v svojem najnovejšem modelu, Deepseek R1. Nedavne ugotovitve razkrivajo več kritičnih vprašanj, ki bi jih lahko izkoristili zlonamerni igralci.
Ključne ranljivosti
1. Izkoriščanje Jailbreak: Tehnika "Zlobnega jailbreak" je bila uspešno uporabljena za Deepseek R1, ki ji omogoča, da zaobide varnostne mehanizme in ustvarja škodljivo vsebino. Ta metoda omogoča modelu, da sprejme neomejeno osebnost, kar vodi do izdelave podrobnih navodil za nezakonite dejavnosti, kot sta pranje denarja in ustvarjanje zlonamerne programske opreme [1] [3]. Za razliko od konkurenčnih modelov, kot je OpenAI-jev GPT-4, ki so zakrpali takšne ranljivosti, Deepseek R1 ostaja zelo dovzetni za te podvige [1] [3].
2. Izpostavljena baza podatkov: Odkrita je bila javno dostopna baza podatkov o kliki, ki pušča občutljive informacije, vključno z zgodovinami klepeta, tipkami API in operativnimi podrobnostmi. Ta baza podatkov je bila odprta brez preverjanja overjanja, kar je omogočilo popoln nadzor nad njegovimi operacijami in potencialnim eskalacijo privilegijev v okolju Deepseek [2] [5]. Raziskovalci so ugotovili, da bi ta izpostavljenost lahko privedla do pomembnih kršitev podatkov in nepooblaščenega dostopa do občutljivih dnevnikov in informacij o uporabnikih [2] [5].
3. Zasebnosti zasebnosti podatkov: Platforma zbira obsežne uporabniške podatke, ki so shranjeni na strežnikih na Kitajskem. To sproža alarme glede morebitnega državnega nadzora in nepooblaščenega dostopa kibernetskih kriminalcev glede na kitajske zakone o kibernetski varnosti [4] [6]. Ameriška mornarica je celo opozorila svoje osebje pred uporabo Deepseeka zaradi teh varnostnih pomislekov [1] [4].
4. Regulativni pregled: Organi v različnih državah preiskujejo podatkovne prakse Deepseeka. Italijanski organ za varstvo podatkov in Bela hiša sta med tistimi, ki ocenjujejo posledice njegovih metod zbiranja podatkov in morebitnih kršitev zasebnosti [1] [4].
Te ranljivosti poudarjajo nujno potrebo po izboljšanih varnostnih ukrepih v sistemih Deepseek za zaščito uporabniških podatkov in ublažitev tveganj, povezanih z njegovimi tehnologijami AI.
Navedbe:
[1] https://nordicdefender.com/blog/deepseek-ai-security-privacy-risks
[2] https://www.infosecurity-magazine.com/news/deepseek-database-leaks-seensive/
[3] https://www.kelyber.com/blog/deepseek-r1-security-flaws/
[4] https://sockradar.io/deepseek-cybercecurity-risks-ai-platform/
[5] https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak
[6] https://www.bbc.com/news/articles/CX2K7R5NRVPO
[7] https://www.securityweek.com/unprotedceed-deepseek-database-eak-ighly-sensive-information/
[8] https://www.endorlabs.com/learn/deepseek-r1-what-security-teams-need-to-znan