أبرزت التقارير الحديثة نقاط الضعف الكبيرة في Deepseek R1 ، وهو نموذج من الذكاء الاصطناعى التوليدي الذي طورته شركة Deepseek الصينية. تشمل هذه الثغرات الأمنية كل من الحوادث الرئيسية للتعرض للبيانات والعيوب الأمنية التي تسمح بالاستغلال الخبيث.
حادث التعرض للبيانات
اكتشف الباحثون Wiz أن Deepseek لديها قاعدة بيانات Clickhouse التي يمكن الوصول إليها للجمهور ، والتي تركت مفتوحة دون أي مصادقة. هذا يتعرض لأكثر من مليون سطر من البيانات الداخلية الحساسة ، بما في ذلك تاريخ دردشة المستخدم وأسرار API وتفاصيل التشغيل. تم ربط قاعدة البيانات باثنين من النطاقات الفرعية لـ DEEPSEEK وسمحت للوصول غير المقيد إلى السجلات الداخلية التي يعود تاريخها إلى 6 يناير 2025. تمكن الباحثون من تشغيل استعلامات SQL التعسفية ، مما قد يؤدي إلى مزيد من استخراج البيانات وتصعيد الامتياز المحتمل داخل أنظمة الشركة [1] [3] [5].نقاط الضعف في Deepseek R1
بالإضافة إلى التعرض للبيانات ، حدد خبراء الأمن أن Deepseek R1 عرضة لطرق الهجوم المختلفة ، بما في ذلك "شرير السجن". تتيح هذه التقنية الجهات الفاعلة الضارة تجاوز قيود السلامة وتوليد مخرجات ضارة ، مثل تعليمات إنشاء برامج ضارة أو الانخراط في الاحتيال المالي. على عكس نماذج منظمة العفو الدولية الأخرى مثل Openai's GPT-4 ، والتي لديها نقاط ضعف مماثلة ، لا تزال Deepseek R1 قابلة للاستغلال للغاية بسبب عملية التفكير الشفافة التي يمكن معالجتها من قبل المستخدمين [2] [4].الاستجابة والبقع
اعتبارًا من الآن ، لا يوجد ذكر محدد للبقع أو الإصلاحات التي يتم تنفيذها بواسطة Deepseek لهذه الثغرات. اعترفت الشركة بالمشكلات ولكنها لم تقم بالتفصيل علنًا عن أي تدابير تصحيحية اتخذت استجابة لانتهاكات الأمن أو نقاط الضعف التي حددها الباحثون. بالنظر إلى الطبيعة الحرجة لهذه النتائج ، من الأهمية بمكان أن يحدد Deepseek الأولوية لتحسينات الأمان وتنفيذ تدابير وقائية قوية لحماية بيانات المستخدم ومنع مآثر المستقبل [1] [2] [4].الاستشهادات:
[1]
[2]
[3]
[4] https://nordicdefender.com/blog/deepseek-ai-security-privacy-risks
[5] https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak
[6] https://news.ycombinator.com/item؟id=42852866
[7 "
[8] https://github.com/deepseek-ai/deepeek-r1/activity
[9]