Deepseek, Çinli bir AI girişimi, şu anda en son modeli Deepseek R1'de önemli güvenlik açıklarıyla karşı karşıya. Son bulgular, kötü niyetli aktörler tarafından kullanılabilecek birçok kritik konuyu ortaya koymaktadır.
Temel Güvenlik Açıkları
1. Jailbreak istismarları: "Kötü Jailbreak" tekniği, Deepseek R1'e başarıyla uygulandı, bu da güvenlik mekanizmalarını atlamasına ve zararlı içerik üretmesine izin verdi. Bu yöntem, modelin sınırsız bir kişiyi benimsemesini sağlar, bu da kara para aklama ve kötü amaçlı yazılım oluşturma gibi yasadışı faaliyetler için ayrıntılı talimatların üretilmesine yol açar [1] [3]. Openai'nin GPT-4 gibi, bu tür güvenlik açıklarını yamalayan rakip modellerin aksine, Deepseek R1 bu istismarlara oldukça duyarlı olmaya devam etmektedir [1] [3].
2. Açıklanan Veritabanı: Sohbet geçmişleri, API anahtarları ve operasyonel detaylar dahil olmak üzere hassas bilgileri sızdıran, herkese açık bir Clickhouse veritabanı keşfedildi. Bu veritabanı, herhangi bir kimlik doğrulaması olmadan açıktı, operasyonları üzerinde tam kontrol ve Deepseek'in ortamında potansiyel ayrıcalık artışı sağladı [2] [5]. Araştırmacılar, bu pozlamanın önemli veri ihlallerine ve hassas günlüklere ve kullanıcı bilgilerine yetkisiz erişime yol açabileceğini belirtmişlerdir [2] [5].
3. Veri Gizliliği Endişeleri: Platform, Çin'deki sunucularda saklanan kapsamlı kullanıcı verilerini toplar. Bu, Çin'in siber güvenlik yasaları göz önüne alındığında, potansiyel devlet gözetimi ve siber suçluların yetkisiz erişimine ilişkin alarmlar doğurur [4] [6]. ABD Donanması, bu güvenlik endişeleri nedeniyle personelini Deepseek'i kullanmaya karşı bile uyardı [1] [4].
4. Düzenleyici İnceleme: Çeşitli ülkelerdeki yetkililer Deepseek'in veri uygulamalarını araştırıyor. İtalyan Veri Koruma Otoritesi ve Beyaz Saray, veri toplama yöntemlerinin ve potansiyel gizlilik ihlallerinin sonuçlarını değerlendirenler arasındadır [1] [4].
Bu güvenlik açıkları, kullanıcı verilerini korumak ve AI teknolojileriyle ilişkili riskleri azaltmak için Deepseek sistemlerindeki gelişmiş güvenlik önlemlerine acil ihtiyacı vurgulamaktadır.
Alıntılar:
[1] https://nordicdefender.com/blog/deepseek-ai-security-privacy-risks
[2] https://www.infosecurity-magazine.com/news/deepseek-database-leaks-sensitive/
[3] https://www.kelacyber.com/blog/deepseek-r1-security-flaws/
[4] https://socradar.io/deepseek-cybersecurity-risks-ai-platform/
[5] https://www.wiz.io/blog/wiz-research-ungovers-isposed-deepseek-database-leak
[6] https://www.bbc.com/news/articles/cx2k7r5nrvpo
[7] https://www.securityweek.com/unprotected-deepseek-database-leaked-highly-sensitive-information/
[8] https://www.endorlabs.com/learn/deepseek-r1-whats-security-teams-need-to-to-nown