최근 보고서는 중국 회사 DeepSeek가 개발 한 생성 AI 모델 인 DeepSeek R1의 상당한 취약점을 강조했습니다. 이러한 취약점에는 악의적 인 착취를 허용하는 주요 데이터 노출 사고 및 보안 결함이 모두 포함됩니다.
데이터 노출 사고
Wiz 연구원들은 DeepSeek이 공개적으로 액세스 할 수있는 클릭 하우스 데이터베이스를 가지고 있음을 발견했습니다. 이것은 사용자 채팅 이력, API 비밀 및 운영 세부 사항을 포함하여 백만 줄 이상의 민감한 내부 데이터를 노출 시켰습니다. 이 데이터베이스는 DeepSeek의 두 가지 하위 도메인 중 두 가지와 연결되어 2025 년 1 월 6 일로 거슬러 올라가는 내부 로그에 대한 무제한 액세스를 허용했습니다. 연구원들은 임의의 SQL 쿼리를 실행할 수 있었으며, 이로 인해 회사 시스템 내에서 추가 데이터 추출 및 잠재적 권한 에스컬레이션이 발생할 수있었습니다. [1] [3] [5].DeepSeek R1의 취약점
데이터 노출 외에도 보안 전문가들은 DeepSeek R1이 "사악한 탈옥"을 포함한 다양한 공격 방법에 취약하다는 것을 확인했습니다. 이 기술을 통해 악성 행위자는 안전 제약을 우회하고 맬웨어 생성 또는 재무 사기에 대한 지침과 같은 유해한 출력을 생성 할 수 있습니다. 유사한 취약점을 패치 한 Openai의 GPT-4와 같은 다른 AI 모델과 달리 DeepSeek R1은 사용자가 조작 할 수있는 투명한 추론 프로세스로 인해 활용 가능합니다 [2] [4].응답 및 패치
현재로서는 이러한 취약점에 대해 DeepSeek에 의해 구현되는 패치 나 수정에 대한 구체적인 언급이 없습니다. 이 회사는이 문제를 인정했지만 연구원이 식별 한 보안 위반 또는 취약점에 대한 응답으로 취한 수정 조치를 공개적으로 자세히 설명하지 않았습니다. 이러한 결과의 중요한 특성을 고려할 때, DeepSeek은 보안 향상을 우선시하고 사용자 데이터를 보호하고 향후 악용을 방지하기 위해 강력한 보호 조치를 구현하는 것이 중요합니다 [1] [2] [4].인용 :
[1] https://cyberscoop.com/deepseek-ai-security-issues-wiz-research/
[2] https://www.kelacyber.com/blog/deepseek-r1-security-flaws/
[3] https://www.theeregister.com/2025/01/30/deepseek_database_left_open/
[4] https://nordicdefender.com/blog/deepseek-ai-security-privacy-risks
[5] https://www.wiz.io/blog/wiz-research-uncovers-oxpressed-deepseek-database-leak
[6] https://news.ycombinator.com/item?id=42852866
[7] https://www.endorlabs.com/learn/deepseek-r1-whatecurity-teams-need-to- know
[8] https://github.com/deepseek-ai/deepseek-r1/activity
[9] https://github.blog/changelog/2025-01-29-deepseek-r1-is-now-avail-in-github-public-preview/