Recente rapporten hebben aanzienlijke kwetsbaarheden benadrukt in Deepseek R1, een generatief AI -model ontwikkeld door het Chinese bedrijf Deepseek. Deze kwetsbaarheden omvatten zowel een groot incident met gegevensblootstelling als beveiligingsfouten die kwaadaardige uitbuiting mogelijk maken.
Gegevensblootstelling incident
WIZ -onderzoekers ontdekten dat Deepseek een openbaar toegankelijke clickhouse -database had, die zonder enige authenticatie open werd gelaten. Dit stelde meer dan een miljoen regels gevoelige interne gegevens bloot, waaronder chatgeschiedenis van gebruikers, API -geheimen en operationele details. De database was gekoppeld aan twee van de dieptewaren van Deepseek en stond onbeperkte toegang toe tot interne logboeken die teruggaan tot 6 januari 2025. De onderzoekers konden willekeurige SQL -query's uitvoeren, wat had kunnen leiden tot verdere gegevensextractie en potentiële escalatie in het bedrijf binnen de systemen van het bedrijf [1] [3] [5].kwetsbaarheden in Deepseek R1
Naast de blootstelling aan gegevens hebben beveiligingsexperts vastgesteld dat Deepseek R1 gevoelig is voor verschillende aanvalsmethoden, waaronder de 'kwaadaardige jailbreak'. Met deze techniek kunnen kwaadaardige actoren veiligheidsbeperkingen omzeilen en schadelijke outputs genereren, zoals instructies voor het maken van malware of financiële fraude. In tegenstelling tot andere AI-modellen zoals Openai's GPT-4, die soortgelijke kwetsbaarheden hebben gepatcht, blijft Deepseek R1 zeer exploiteerbaar vanwege het transparante redeneringsproces dat door gebruikers kan worden gemanipuleerd [2] [4].Reactie en patches
Vanaf nu is er geen specifieke vermelding van patches of fixes die door Deepseek worden geïmplementeerd voor deze kwetsbaarheden. Het bedrijf heeft de kwesties erkend, maar heeft geen corrigerende maatregelen genomen als reactie op de inbreuken op de beveiliging of kwetsbaarheden die door onderzoekers zijn geïdentificeerd. Gezien de kritische aard van deze bevindingen, is het cruciaal voor deepseek om prioriteit te geven aan beveiligingsverbeteringen en robuuste beschermende maatregelen te implementeren om gebruikersgegevens te beschermen en toekomstige exploits te voorkomen [1] [2] [4].Citaten:
[1] https://cyberscoop.com/deepseek-ai-security-issues-wiz-research/
[2] https://www.kelacyber.com/blog/deepseek-r1-security-flaws/
[3] https://www.theregister.com/2025/01/30/deepseek_database_left_open/
[4] https://nordicdefender.com/blog/deepseek-ai-security-privacy-risks
[5] https://www.wiz.io/blog/wiz-research-uncovers- exposed-deepseek-database-lek
[6] https://news.ycombinator.com/item?id=42852866
[7] https://www.endorlabs.com/learn/deepseek-r1-what-security-teams-need-to- Know
[8] https://github.com/deepseek-ai/deepseek-r1/activity
[9] https://github.blog/changelog/2025-01-29-deepseek-r1-is-is-Ald-Ald-in-github-models-public-preview/