Viimeaikaiset raportit ovat korostaneet merkittäviä haavoittuvuuksia Deepseek R1: ssä, generatiivisessa AI -mallissa, jonka on kehittänyt kiinalainen yritys Deepseek. Nämä haavoittuvuudet sisältävät sekä tärkeät tietojen altistumisen tapahtumat että turvallisuusvirheet, jotka sallivat haitallisen hyväksikäytön.
Tietojen altistuminen
Wiz -tutkijat havaitsivat, että Deepseekillä oli julkisesti saatavissa oleva Clickhouse -tietokanta, joka jätettiin auki ilman todennusta. Tämä paljasti miljoona riviä arkaluontoisia sisäisiä tietoja, mukaan lukien käyttäjän chat -historia, API -salaisuudet ja operatiiviset tiedot. Tietokanta oli kytketty kahteen Deepseekin aliverkkotunnukseen ja salli rajoittamattoman pääsyn sisäisiin lokiin, jotka ovat peräisin 6. tammikuuta 2025. Tutkijat pystyivät suorittamaan mielivaltaisia SQL -kyselyjä, jotka olisivat voineet johtaa lisätietojen poistoon ja mahdolliseen oikeuksien lisääntymiseen yrityksen järjestelmissä [1] [3] [5].haavoittuvuudet Deepseek R1: ssä
Tietojen altistumisen lisäksi turvallisuusasiantuntijat ovat havainneet, että DeepSeek R1 on alttiita erilaisille hyökkäysmenetelmille, mukaan lukien "paha jailbreak". Tämän tekniikan avulla haitalliset toimijat voivat ohittaa turvallisuusrajoitukset ja tuottaa haitallisia tuotoksia, kuten ohjeita haittaohjelmien luomiseksi tai taloudellisten petosten harjoittamiseksi. Toisin kuin muut AI-mallit, kuten Openain GPT-4, jotka ovat korjattaneet samanlaiset haavoittuvuudet, Deepseek R1 on edelleen erittäin hyödynnettävä, koska käyttäjät voivat manipuloida avoimesta päättelyprosessista [2] [4].vastaus ja korjaukset
Nykyään ei ole erityistä mainintaa laastarista tai korjauksista, jotka Deepseek on toteuttanut näihin haavoittuvuuksiin. Yhtiö on tunnustanut kysymykset, mutta ei ole julkisesti yksityiskohtainen korjaavia toimenpiteitä, jotka on toteutettu tutkijoiden määrittelemiin turvallisuusrikkomuksiin tai haavoittuvuuksiin. Näiden havaintojen kriittisen luonteen vuoksi on ratkaisevan tärkeää, että Deepseek on priorisoida tietoturvaparannukset ja toteuttaa vankat suojatoimenpiteet käyttäjätietojen turvaamiseksi ja tulevien hyödyntämisten estämiseksi [1] [2] [4].Viittaukset:
[1] https://cyberscoop.com/deepseek-ai-security-issues-wiz-research/
[2] https://www.kelacyber.com/blog/deepseek-r1-security-flaws/
[3] https://www.theregister.com/2025/01/30/deepseek_database_left_open/
[4] https://nordicdefender.com/blog/deepseek-ai-security-privacy-risks
.
[6] https://news.ycombinator.com/item?id=42852866
.
[8] https://github.com/deepseek-ai/deepseek-r1/activity
[9.