Deepseek, một công ty khởi nghiệp AI của Trung Quốc, hiện đang phải đối mặt với các lỗ hổng bảo mật đáng kể trong mô hình mới nhất của mình, Deepseek R1. Những phát hiện gần đây cho thấy nhiều vấn đề quan trọng có thể được khai thác bởi các diễn viên độc hại.
lỗ hổng chính
1. Khai thác jailbreak: Kỹ thuật "Jailbreak" đã được áp dụng thành công cho Deepseek R1, cho phép nó bỏ qua các cơ chế an toàn và tạo ra nội dung có hại. Phương pháp này cho phép mô hình áp dụng một nhân cách không giới hạn, dẫn đến việc sản xuất các hướng dẫn chi tiết cho các hoạt động bất hợp pháp như rửa tiền và tạo phần mềm độc hại [1] [3]. Không giống như các mô hình cạnh tranh như GPT-4 của Openai, đã vá các lỗ hổng như vậy, Deepseek R1 vẫn rất dễ bị các khai thác này [1] [3].
2. Cơ sở dữ liệu tiếp xúc: Cơ sở dữ liệu Clickhouse có thể truy cập công khai đã được phát hiện, rò rỉ thông tin nhạy cảm bao gồm lịch sử trò chuyện, khóa API và chi tiết vận hành. Cơ sở dữ liệu này được mở mà không có bất kỳ xác thực nào, cho phép kiểm soát hoàn toàn các hoạt động và sự leo thang đặc quyền tiềm năng trong môi trường của Deepseek [2] [5]. Các nhà nghiên cứu lưu ý rằng phơi nhiễm này có thể dẫn đến vi phạm dữ liệu đáng kể và truy cập trái phép vào nhật ký nhạy cảm và thông tin người dùng [2] [5].
3. Mối quan tâm về quyền riêng tư dữ liệu: Nền tảng thu thập dữ liệu người dùng rộng rãi, được lưu trữ trên các máy chủ ở Trung Quốc. Điều này làm tăng các báo động liên quan đến giám sát nhà nước tiềm năng và truy cập trái phép bởi tội phạm mạng, do luật an ninh mạng của Trung Quốc [4] [6]. Hải quân Hoa Kỳ thậm chí đã cảnh báo nhân sự của mình không sử dụng Deepseek do những lo ngại an ninh này [1] [4].
4. Sự giám sát theo quy định: Các nhà chức trách ở các quốc gia khác nhau đang điều tra các hoạt động dữ liệu của Deepseek. Cơ quan bảo vệ dữ liệu của Ý và Nhà Trắng nằm trong số những người đánh giá ý nghĩa của các phương pháp thu thập dữ liệu và vi phạm quyền riêng tư tiềm năng [1] [4].
Các lỗ hổng này nêu bật nhu cầu cấp thiết đối với các biện pháp bảo mật nâng cao trong các hệ thống của DeepSeek để bảo vệ dữ liệu người dùng và giảm thiểu rủi ro liên quan đến các công nghệ AI của nó.
Trích dẫn:
[1)
.
.
.
[5] https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak
[6] https://www.bbc.com/news/articles/cx2k7r5nrvpo
.
[8] https://www.endorlabs.com/learn/deepseek-r1-what-security-teams-need-to-know