Nylige rapporter har fremhævet betydelige sårbarheder i Deepseek R1, en generativ AI -model udviklet af det kinesiske firma Deepseek. Disse sårbarheder inkluderer både en større hændelser i dataeksponering og sikkerhedsfejl, der muliggør ondsindet udnyttelse.
Dataeksponeringshændelse
Wiz -forskere opdagede, at Deepseek havde en offentligt tilgængelig Clickhouse -database, som blev efterladt åben uden godkendelse. Dette udsatte over en million linjer med følsomme interne data, herunder brugerchathistorier, API -hemmeligheder og operationelle detaljer. Databasen var knyttet til to af Deepseeks underdomæner og gav ubegrænset adgang til interne logfiler, der stammer tilbage til 6. januar 2025. Forskerne var i stand til at køre vilkårlige SQL -forespørgsler, hvilket kunne have ført til yderligere dataekstraktion og potentiel privilegium -eskalering inden for virksomhedens systemer [1] [3] [5].Sårbarheder i Deepseek R1
Ud over dataeksponeringen har sikkerhedseksperter identificeret, at DeepSeek R1 er modtagelig for forskellige angrebsmetoder, herunder "Onde Jailbreak." Denne teknik giver ondsindede aktører mulighed for at omgå sikkerhedsbegrænsninger og generere skadelige output, såsom instruktioner til at skabe malware eller deltage i økonomisk svig. I modsætning til andre AI-modeller som Openai's GPT-4, der har lappet lignende sårbarheder, forbliver Deepseek R1 meget udnyttelig på grund af sin gennemsigtige ræsonnementsproces, der kan manipuleres af brugere [2] [4].Respons og programrettelser
I øjeblikket er der ingen specifik omtale af patches eller rettelser, der implementeres af Deepseek for disse sårbarheder. Virksomheden har anerkendt problemerne, men har ikke offentliggjort nogen korrigerende foranstaltninger, der er truffet som svar på de sikkerhedsbrud eller sårbarheder, der er identificeret af forskere. I betragtning af den kritiske karakter af disse fund er det vigtigt for dybseek at prioritere sikkerhedsforbedringer og implementere robuste beskyttelsesforanstaltninger for at beskytte brugerdata og forhindre fremtidige udnyttelse [1] [2] [4].Citater:
[1] https://cyberscoop.com/deepseek-i-security-issues-wiz-research/
[2] https://www.kelacyber.com/blog/deepseek-r1-security-flaws/
[3] https://www.theregister.com/2025/01/30/deepseek_database_left_open/
[4] https://nordicdefender.com/blog/deepseek-i-security-privacy-risici
[5] https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak
[6] https://news.ycombinator.com/item?id=42852866
[7] https://www.endorlabs.com/learn/deepseek-r1-what-security-teams-need-to-now
[8] https://github.com/deepseek-i/deepseek-r1/aktivitet
)