Des rapports récents ont mis en évidence des vulnérabilités importantes dans Deepseek R1, un modèle générateur d'IA développé par la société chinoise Deepseek. Ces vulnérabilités comprennent à la fois un incident majeur d'exposition aux données et des défauts de sécurité qui permettent une exploitation malveillante.
incident d'exposition aux données
Les chercheurs de Wiz ont découvert que Deepseek avait une base de données Clickhouse accessible au public, qui a été ouverte sans aucune authentification. Cela a exposé plus d'un million de lignes de données internes sensibles, y compris les histoires de chat des utilisateurs, les secrets d'API et les détails opérationnels. La base de données était liée à deux des sous-domaines de Deepseek et a permis un accès sans restriction aux journaux internes datant du 6 janvier 2025. Les chercheurs ont pu exécuter des requêtes SQL arbitraires, ce qui aurait pu conduire à une extraction supplémentaire de données et à une escalade potentielle des privilèges dans les systèmes de la société de l'entreprise [1] [3] [5].Vulnérabilités dans Deepseek R1
En plus de l'exposition aux données, les experts en sécurité ont identifié que Deepseek R1 est sensible à diverses méthodes d'attaque, y compris le «mal de jailbreak». Cette technique permet aux acteurs malveillants de contourner les contraintes de sécurité et de générer des résultats nocifs, tels que des instructions pour créer des logiciels malveillants ou s'engager dans une fraude financière. Contrairement à d'autres modèles d'IA comme GPT-4 d'OpenAI, qui ont corrigé des vulnérabilités similaires, Deepseek R1 reste très exploitable en raison de son processus de raisonnement transparent qui peut être manipulé par les utilisateurs [2] [4].Réponse et correctifs
À l'heure actuelle, il n'y a pas de mention spécifique des correctifs ou des correctifs mis en œuvre par Deepseek pour ces vulnérabilités. La société a reconnu les problèmes mais n'a pas détaillé publiquement de mesures correctives prises en réponse aux violations ou vulnérabilités de sécurité identifiées par les chercheurs. Compte tenu de la nature critique de ces résultats, il est crucial pour Deepseek de hiérarchiser les améliorations de la sécurité et de mettre en œuvre des mesures de protection robustes pour protéger les données des utilisateurs et empêcher les exploits futurs [1] [2] [4].Citations:
[1] https://cyberscoop.com/deepseek-ai-security-issues-wiz-research/
[2] https://www.kelacyber.com/blog/deepseek-r1-security-flaws/
[3] https://www.thegister.com/2025/01/30/deepseek_database_left_open/
[4] https://nordicdefender.com/blog/deepseek-ai-security-privacy-risks
[5] https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak
[6] https://news.ycombinator.com/item?id=42852866
[7] https://www.endorlabs.com/learn/deepseek-r1-what-security-teams-need-to-know
[8] https://github.com/deepseek-ai/deepseek-r1/activité
[9] https://github.blog/changelog/2025-01-29-deepseek-r1-is-now-available-in-github-models-public-preview/