In jüngsten Berichten wurden bedeutende Schwachstellen in Deepseek R1 hervorgehoben, einem generativen KI -Modell, das vom chinesischen Unternehmen Deepseek entwickelt wurde. Zu diesen Sicherheitslücken gehören sowohl Vorfälle als auch Sicherheitsfehler der Datenbelastung, die eine böswillige Ausbeutung ermöglichen.
Datenexposition Vorfall
Wiz -Forscher stellten fest, dass Deepseek eine öffentlich zugängliche Clickhouse -Datenbank hatte, die ohne Authentifizierung offen gelassen wurde. Dies enthüllte über eine Million Linien sensibler interner Daten, einschließlich Benutzer -Chat -Historien, API -Geheimnisse und Betriebsdetails. Die Datenbank wurde mit zwei der Subdomains von Deepseek verknüpft und uneingeschränkten Zugriff auf interne Protokolle aus dem 6. Januar 2025 ermöglicht. Die Forscher konnten willkürliche SQL [1] [3] [5].Schwachstellen in Deepseek R1
Zusätzlich zur Datenbelastung haben Sicherheitsexperten festgestellt, dass Deepseek R1 für verschiedene Angriffsmethoden, einschließlich des "bösen Jailbreak", anfällig ist. Diese Technik ermöglicht es böswilligen Akteuren, Sicherheitsbeschränkungen zu umgehen und schädliche Ergebnisse zu generieren, z. B. Anweisungen zur Erstellung von Malware oder zur Einführung von Finanzbetrug. Im Gegensatz zu anderen KI-Modellen wie dem GPT-4 von OpenAI, die ähnliche Schwachstellen gepatcht haben, bleibt Deepseek R1 aufgrund seines transparenten Argumentationsprozesses, der von Benutzern manipuliert werden kann [2] [4].Antwort und Patches
Ab sofort werden von Deepseek für diese Schwachstellen keine spezifische Erwähnung von Patches oder Korrekturen erwähnt. Das Unternehmen hat die Probleme anerkannt, aber keine korrektiven Maßnahmen, die als Reaktion auf die von Forschern identifizierten Sicherheitsverletzungen oder Schwachstellen ergriffen wurden, nicht öffentlich beschrieben. Angesichts der kritischen Natur dieser Ergebnisse ist es für Deepseek von entscheidender Bedeutung, Sicherheitsverbesserungen zu priorisieren und robuste Schutzmaßnahmen zu implementieren, um Benutzerdaten zu schützen und zukünftige Exploits zu verhindern [1] [2] [4].Zitate:
[1] https://cyberscoop.com/deepseek-ai-security- isues-wiz-research/
[2] https://www.kelacyber.com/blog/deepseek-r1-security-flaws/
[3] https://www.theregister.com/2025/01/30/deepseek_database_left_open/
[4] https://nordicdefender.com/blog/deepseek-ai-security-privacy-risks
[5] https://www.wiz.io/blog/wiz-research-uncovers-exposeddeepseek-database-Leak
[6] https://news.ycombinator.com/item?id=42852866
[7] https://www.endorlabs.com/learn/deepseek-r1-what-security-teams-need-to-know
[8] https://github.com/deepseek-ai/deepseek-r1/activity
[9] https://github.blog/changelog/2025-01-29-leepseek-r1-is-now-avail-in-in-github-models-public-preview/